Sonciwall NSA 2400 VPN Einwahl mit Problemen

[Kiste 10]

Hey Forum,

seit kurzem funktioniert auf unserer Sonicwall NSA 2400 die VPN Einwahl nicht mehr ordnungsgemäß.

Die Einwahl selbst ist erfolgreich. Doch dann kann man auf keine Ressourcen zugreifen.

Wenn ich ein PING auf ein Ziel in der Fa. durchführe ist immer nur das 1. Paket erfolgreich.

Im Log taucht dann der folgende Eintrag auf:

 

Priority Category Message

Alert Intrusion IP spoof dropped

Prevention

 

Die Intrusionen Prevention hab ich testweise mal auf allen Zonen deaktiviert. Aber leider ohne Erfolg.

 

Vorschläge??

 

 

MFG

Kiste

[LukasB 10]

Habe das auch schon erlebt - in meinem Fall trat das auf weil ich während einer Migration zwei verschiedene Subnetze auf dem gleichen Ethernet-Segment hatte und an diesem zwei Interfaces der SonicWALL hingen. Evtl. hast du dasselbe Problem?

[Kiste 10]

Hey Lukas,

danke für deine Blitzantwort. Ich kann dir noch nicht ganz folgen.

Hier aber mal ein Screenshot von der Interface Config der Sonicwall.

 

 

[LukasB 10]

Du hast 3 Netze auf LAN definiert. Hängen diese im gleichen Ethernet-Segment? (D.h. im gleichen VLAN bzw. am gleichen Switch)

[Kiste 10]

Hi,

ja das stimmt, die 3 Interfaces hängen im gleichen Segment.

Die frage ist jetzt wie ich das am besten löse. Die Switche stehen

an 2 unterschiedlichen Standorten. Eine möglichkeit wäre

es das ich noch 2 weitere LWL Strecken patche, oder soll

ich das vielleicht besser mit VLANs lösen? Über die jetzige Verbindung

der beiden Switche gehen im Moment halt alle 3 Netze.

192.168.2.0

192.168.10.0

192.168.0.0

Da bin ich mir dann nicht ganz sicher wie das mit VLANs zu lösen ist.

[LukasB 10]

VLAN, VLAN Trunking. Du kannst dann die drei IPs auf ein Interface der SonicWALL mit VLAN Subinterfaces legen.

[Kiste 10]

Hi,

das dürfte wohl auch nicht Problemlos funktionieren.

Aber am besten beschreib ich mal eben die Situation die wir haben.

 

Wir haben ein Verwaltungs LAN 192.168.2.x. An unser kleines Rechenzentrum

ist über LWL ein Switch in einem anderen Gebäude auf dem Gelände angebunden.

In diesem Bereich (EVA) wird das LAN 192.168.10.x verwendet, in diesem Gebäude befindet sich jedoch auch ein Client mit einer Adresse aus dem Verwaltungsnetzwerk und

ein Drucker der sich im Bereich 192.168.10.x befindet. Der Client soll Zugriff auf diesen Drucker erhalten. Außerdem soll auch von der Verwaltung aus auf diesen Drucker gedruckt werden können. Zusätzlich hängt an dem Switch im entfernten Gebäude ein

weiterer Switch an dem das LAN 192.168.0.x (EMI) angeschlossen ist. Über die VPN Einwahl muss auf dieses und das Verwaltungs LAN zugegriffen werden können.

 

Ich hoffe ich konnte es einigermaßen verständlich erklären.

[LukasB 10]

Das lässt sich mit VLANs problemlos umsetzen.

[Kiste 10]

Hi,

könntest du mir vielleicht ein bißchen mehr Hilfestellung geben?

Ich richte also auf der Sonicwall 2 VLAN Sub-Interfaces ein und

vergebe jeweils eine Adresse aus den beiden entfernten Netzen

und definiere eine VLAN ID. Diese VLAN ID kofiguriere ich dann auch

auf den Switch Ports wo die Sonicwall angeschlossen ist.

Aber wie wird dann der LWL Port des Switches VLAN mäßig definiert?

Über diesen LWL Port müssen dann ja alle Netze laufen.

bearbeitet 3. August 2010 von Kiste

[Kiste 10]

Hallo Forum,

kann mir vielleicht jemand etwas genauer beschreiben wie ich das am besten umsetzten kann?

 

Kiste