LAN-LAN-Kopplung über Zentrale - Firewall Probleme?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
sebezahn
Beiträge: 62
Registriert: 03 Jan 2009, 00:30

LAN-LAN-Kopplung über Zentrale - Firewall Probleme?

Beitrag von sebezahn »

Hallo alle,

ich versuche, zwei Netze, die per VPN mit der Zentrale verbunden sind, miteinander bekannt zu machen. Folgender Aufbau:

Filiale F1: 192.168.60.0/255.255.255.0
Zentrale Z: 192.168.123.0/255.255.255.0
Filiale F2: 192.168.30.0/255.255.255.0

Ich habe mich strickt an diesen Aufbau gehalten:
https://www2.lancom.de/kb.nsf/1275/0194 ... enDocument

Sobald ich die Tunnel neu aufbaue, können Z und F2 nicht mehr kommunizieren! Z und F1 geht einwandfrei. F1 und F2 geht natürlich auch nicht.

Wenn ich aber die Firewall in Z komplett ausschalte, geht alles, wie es soll! Der einzige Unterschied zwischen den beiden VPN-Verbindungen ist, dass ich die Verbindung von Z zu F2 mit IPSec-over-HTTPS mache, gewungenermaßen. Kann das eine Fehlerursache sein?

In der besagten Anleitung sind ja auch noch nicht die Stations-Objekte in der Firewall verwendet, die Anleitung scheint schon etwas betagt zu sein. Gibt es vielleicht neue Optionen, die man ein- oder ausschalten muss?

Vielen Dank für Hilfe,
Sebastian
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LAN-LAN-Kopplung über Zentrale - Firewall Probleme?

Beitrag von GrandDixence »

Vielleicht sollte noch die entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
beigezogen werden. Insbesondere auf die Security Association (SA) sollte ein genaues Auge geworfen werden:

fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: LAN-LAN-Kopplung über Zentrale - Firewall Probleme?

Beitrag von Jirka »

Hallo Sebastian,

bloß weil da keine Stations-Objekte verwendet wurden, würde ich jetzt nicht sagen, dass die Anleitung alt ist, man kann ja auch weiterhin ohne Stations-Objekte arbeiten und außerdem machen in ganz gewissen Konstellationen, gerade was VPN betrifft, zu viel Objekte sogar Probleme (wenn man z. B. Quelle und Ziel mit den VPN-Gegenstellen bezeichnet und nicht mit dem IP-Adresskreis). Aber Du hast ja geschrieben, dass Du Dich strikt nach Anleitung gehalten hast.
Hast Du denn eine Deny-All-Regel in der Firewall? Dann musst Du natürlich auch Regeln haben, die den Traffic durch die Firewall lassen. Dazu kann man natürlich auch die bestehenden VPN-Regeln nehmen (und nur den Haken setzen).
Wenn das Problem jedenfalls verschwindet, wenn Du die Firewall ausschaltest, muss es eine Regel geben, die es blockiert, wenn sie an ist. Und das rauszufinden, dürfte ja nicht so schwierig sein (Firewall-Trace).

Viele Grüße,
Jirka
Antworten