Hallo liebe LANCOM-Gemeinschaft,
ich hoffe dies ist der richtige Bereich für diesen Beitrag.
Ausgangssituation:
Es besteht eine VPN-Verbindung zwischen einer unbekannten SOPHOS und unserem Lancom 1781VA-4G.
LCOS 10.42.0740 (RU6)
Diese Verbindung ist von Hand eingerichtet (kein WIzard war beteiligt).
VPN auf IKEv1-Basis erstellt und SOPHOS ist aktiver und LANCOM ist passiver Partner.
Schema:
Wie zu sehen ist, von der SOPHOS Seite wird das lokale Netz noch umgesetzt, da sie dieses wohl schon vergeben haben.
Problem:
Auf der SOPHOS-Seite läuft ein Webserver und es sollen auch weiter Dienste erreichbar sein.
Im Browser ist also "http://10.254.6.35" möglich und funktional. (seit mehr als einem Monat)
Die Leute von Sophos wollen nun von sich auf einen lokalen Mailserver und Drucker zugreifen und konnten dies nun nicht.
Allerlei PING Requests von beiden Seiten laufen ins Leere. Auch auf den Webserver. (HTTP geht aber noch immer)
Sie meinen es liegt an meiner Firewall Einstellung. Ich habe dahingehend für die VPN-Gegenstelle und den kompletten IP-Bereich (10.254.6.32/28) mit einer ACCEPT-ALL Regel belegt, aber dies führte nicht zum Erfolg. (SA kein Haken)
Ich begrenze die Verbindung nach außen vorerst GAR NICHT. (jaja DENY-ALL)
DOS und IDS machen auch keine Einträge im Syslog und wurden Testweise auch auf übertragen gestellt.
Trace-Versuche haben erstmal nicht zum Grund geführt.
Fragen:
Kann es sein, dass meine Firewall am Lancom Anfragen blockt ohne dies in den LOG zu schreiben?
Welche Einstellungen auf meiner Seite würden das Routing hier beinträchtigen?
Beim Firewall/IP-Routing Trace ist keine Gegenstelle auswählbar .. woran könnte dies liegen? Wie könnte man es vielleicht trotzdem eintragen?
VPN-Regelerzeugung manuell oder automatisch? Ich habe so einen Fall mit umgesetzter Adresse auf 2 Lancoms und dies klappte ohne Probleme.
Hilferuf:
Ich habe bisher alle Probleme mit der Lancom Knowledgebase dem Forum hier und genereller Fleißarbeit gelöst.
Mein großer Problem ist wirklich, dass ich nicht nachvollziehen kann, wie ich von mir aus einen HTTP-Request durchbekomme aber keinen Ping, wenn ich den keine ausgehenden Protokolle begrenze, wenn bei SOPHOS den alles stimmen sollte.
Meine parallel laufende VPN-Verbindung zwischen 2 Lancoms hat diese Problem unter anderem nicht. (Also meine Zugangsleitung zum Kunden)
Ich wäre auch einer Hilfestellung gewerblicher Art nicht abgeneigt. Hier bitte PM.
MfG
Jan K.
Verwirrendes VPN-Routing Sophos und Lancom
Moderator: Lancom-Systems Moderatoren
Verwirrendes VPN-Routing Sophos und Lancom
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Verwirrendes VPN-Routing Sophos und Lancom
Hi JanK,
Ja,ja.. pings sind böse und müssen in einer UTM-Firewall ganz dingend blockiert werden.. Zu so einem Mist habe ich mich hier schon mehrfach geäußert - genauso wie zum Thema "Stealth-Mode"... Das alles bringt keinerlei Sicherheit, behindert aber die Fehlersuche...
Gruß
Backslash
im Prinzip ja, denn du mußt bei einer Regel schon sagen, daß die im geloggt werden soll (entweder Syslog, SNMP oder Mail). ASber mindestens eine Log-Aktion muß aktiv sein... Das ist bei IDS/DOS sowie der REJECT-Aktion standardmässig der Fall, solange du das nicht änderst.Kann es sein, dass meine Firewall am Lancom Anfragen blockt ohne dies in den LOG zu schreiben?
du kannst nur Filter setzen mit deren Hilfe der Trace gefiltert wird: Der LANtracer gibt dir dazu eine Hilfe aus: im CLI werden die Filter hinter dem Trace-Kommando mit @ angehängt, z.B. trcae ip-router @ 192.168.1.1.1Beim Firewall/IP-Routing Trace ist keine Gegenstelle auswählbar .. woran könnte dies liegen? Wie könnte man es vielleicht trotzdem eintragen?
da fällt mir eigentlich nur ein, daß es auf der SOPHOS gfefiltert wird...Mein großer Problem ist wirklich, dass ich nicht nachvollziehen kann, wie ich von mir aus einen HTTP-Request durchbekomme aber keinen Ping, wenn ich den keine ausgehenden Protokolle begrenze, wenn bei SOPHOS den alles stimmen sollte.
Ja,ja.. pings sind böse und müssen in einer UTM-Firewall ganz dingend blockiert werden.. Zu so einem Mist habe ich mich hier schon mehrfach geäußert - genauso wie zum Thema "Stealth-Mode"... Das alles bringt keinerlei Sicherheit, behindert aber die Fehlersuche...
Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
GrandDixence
- Beiträge: 1148
- Registriert: 19 Aug 2014, 22:41
Re: Verwirrendes VPN-Routing Sophos und Lancom
Kontrollieren, ob die LANCOM-VPN-Konfiguration der entsprechenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
entspricht. Wahrscheinlich fehlt einfach ein Eintrag in der Routingtabelle.
Danach mit Trace + Wireshark kontrollieren, wie weit die ICMP-Datenpakete kommen.
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p108170
Sind die ICMP-Datenpakete im entsprechenden VPN-Trace vom LANCOM-Router ersichtlich oder nicht? Danach immer enger mit Trace + Wireshark die Fehlerquelle eingrenzen...
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
entspricht. Wahrscheinlich fehlt einfach ein Eintrag in der Routingtabelle.
Danach mit Trace + Wireshark kontrollieren, wie weit die ICMP-Datenpakete kommen.
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p108170
Sind die ICMP-Datenpakete im entsprechenden VPN-Trace vom LANCOM-Router ersichtlich oder nicht? Danach immer enger mit Trace + Wireshark die Fehlerquelle eingrenzen...