Verwirrendes VPN-Routing Sophos und Lancom

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
JanK
Beiträge: 6
Registriert: 24 Feb 2015, 09:26

Verwirrendes VPN-Routing Sophos und Lancom

Beitrag von JanK »

Hallo liebe LANCOM-Gemeinschaft,

ich hoffe dies ist der richtige Bereich für diesen Beitrag.

Ausgangssituation:
Es besteht eine VPN-Verbindung zwischen einer unbekannten SOPHOS und unserem Lancom 1781VA-4G.
LCOS 10.42.0740 (RU6)
Diese Verbindung ist von Hand eingerichtet (kein WIzard war beteiligt).
VPN auf IKEv1-Basis erstellt und SOPHOS ist aktiver und LANCOM ist passiver Partner.

Schema:
lancom_sophos.jpg
Wie zu sehen ist, von der SOPHOS Seite wird das lokale Netz noch umgesetzt, da sie dieses wohl schon vergeben haben.

Problem:
Auf der SOPHOS-Seite läuft ein Webserver und es sollen auch weiter Dienste erreichbar sein.
Im Browser ist also "http://10.254.6.35" möglich und funktional. (seit mehr als einem Monat)
Die Leute von Sophos wollen nun von sich auf einen lokalen Mailserver und Drucker zugreifen und konnten dies nun nicht.
Allerlei PING Requests von beiden Seiten laufen ins Leere. Auch auf den Webserver. (HTTP geht aber noch immer)
Sie meinen es liegt an meiner Firewall Einstellung. Ich habe dahingehend für die VPN-Gegenstelle und den kompletten IP-Bereich (10.254.6.32/28) mit einer ACCEPT-ALL Regel belegt, aber dies führte nicht zum Erfolg. (SA kein Haken)
Ich begrenze die Verbindung nach außen vorerst GAR NICHT. (jaja DENY-ALL)
DOS und IDS machen auch keine Einträge im Syslog und wurden Testweise auch auf übertragen gestellt.
Trace-Versuche haben erstmal nicht zum Grund geführt.

Fragen:
Kann es sein, dass meine Firewall am Lancom Anfragen blockt ohne dies in den LOG zu schreiben?
Welche Einstellungen auf meiner Seite würden das Routing hier beinträchtigen?
Beim Firewall/IP-Routing Trace ist keine Gegenstelle auswählbar .. woran könnte dies liegen? Wie könnte man es vielleicht trotzdem eintragen?
VPN-Regelerzeugung manuell oder automatisch? Ich habe so einen Fall mit umgesetzter Adresse auf 2 Lancoms und dies klappte ohne Probleme.

Hilferuf:
Ich habe bisher alle Probleme mit der Lancom Knowledgebase dem Forum hier und genereller Fleißarbeit gelöst.
Mein großer Problem ist wirklich, dass ich nicht nachvollziehen kann, wie ich von mir aus einen HTTP-Request durchbekomme aber keinen Ping, wenn ich den keine ausgehenden Protokolle begrenze, wenn bei SOPHOS den alles stimmen sollte.
Meine parallel laufende VPN-Verbindung zwischen 2 Lancoms hat diese Problem unter anderem nicht. (Also meine Zugangsleitung zum Kunden)

Ich wäre auch einer Hilfestellung gewerblicher Art nicht abgeneigt. Hier bitte PM.


MfG
Jan K.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Verwirrendes VPN-Routing Sophos und Lancom

Beitrag von backslash »

Hi JanK,
Kann es sein, dass meine Firewall am Lancom Anfragen blockt ohne dies in den LOG zu schreiben?
im Prinzip ja, denn du mußt bei einer Regel schon sagen, daß die im geloggt werden soll (entweder Syslog, SNMP oder Mail). ASber mindestens eine Log-Aktion muß aktiv sein... Das ist bei IDS/DOS sowie der REJECT-Aktion standardmässig der Fall, solange du das nicht änderst.
Beim Firewall/IP-Routing Trace ist keine Gegenstelle auswählbar .. woran könnte dies liegen? Wie könnte man es vielleicht trotzdem eintragen?
du kannst nur Filter setzen mit deren Hilfe der Trace gefiltert wird: Der LANtracer gibt dir dazu eine Hilfe aus:
tracer.png
im CLI werden die Filter hinter dem Trace-Kommando mit @ angehängt, z.B. trcae ip-router @ 192.168.1.1.1
Mein großer Problem ist wirklich, dass ich nicht nachvollziehen kann, wie ich von mir aus einen HTTP-Request durchbekomme aber keinen Ping, wenn ich den keine ausgehenden Protokolle begrenze, wenn bei SOPHOS den alles stimmen sollte.
da fällt mir eigentlich nur ein, daß es auf der SOPHOS gfefiltert wird...
Ja,ja.. pings sind böse und müssen in einer UTM-Firewall ganz dingend blockiert werden.. Zu so einem Mist habe ich mich hier schon mehrfach geäußert - genauso wie zum Thema "Stealth-Mode"... Das alles bringt keinerlei Sicherheit, behindert aber die Fehlersuche...

Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verwirrendes VPN-Routing Sophos und Lancom

Beitrag von GrandDixence »

Kontrollieren, ob die LANCOM-VPN-Konfiguration der entsprechenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
entspricht. Wahrscheinlich fehlt einfach ein Eintrag in der Routingtabelle.

Danach mit Trace + Wireshark kontrollieren, wie weit die ICMP-Datenpakete kommen.
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p108170

Sind die ICMP-Datenpakete im entsprechenden VPN-Trace vom LANCOM-Router ersichtlich oder nicht? Danach immer enger mit Trace + Wireshark die Fehlerquelle eingrenzen...
Antworten