IThome 10 Geschrieben 3. Januar 2006 Melden Teilen Geschrieben 3. Januar 2006 Was ist denn für eine Software auf der Box, WFS oder Fireware (die beiden verhalten sich unterschiedlich, was die Tunnelregeln angeht). Was sagt das Logging der Firebox-Software, wenn Du die entsprechenden Filter oder Proxies auf Incoming und Outgoing-Überwachung konfigurierst, solltest Du was sehen können. Wenn Du vor den Boxen noch einen ADSL-Router stehen hast (sofern die Dinger natten), ist NAT-Traversal ein Thema. Die X700 unterstützt NAT-T, die X15 nicht ... edit: sorry, beide Produkte unterstützen NAT-Traversal Zitieren Link zu diesem Kommentar
vevie 10 Geschrieben 3. Januar 2006 Autor Melden Teilen Geschrieben 3. Januar 2006 Auf der Firebox 700 ist WFS Version 7.3, auf dem Edge X15 7.5. Wo konfiguriere ich das? Der Router vor dem X15 ist im Bridge-mode. Der Router vor der FB 700 nattet nicht. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. Januar 2006 Melden Teilen Geschrieben 3. Januar 2006 Was für Filter setzt Du ein (speziell für die VPN-Verbindung) ? Benutzt Du einen ANY-Paketfilter ? Zitieren Link zu diesem Kommentar
vevie 10 Geschrieben 4. Januar 2006 Autor Melden Teilen Geschrieben 4. Januar 2006 Ja, auf der fb 700 habe ich einen any-IPSEC Filter mit incoming and outgoing. Dort sind die LAN-Netzwerke eingetragen (incoming from 192.168.1.0/24 to trusted, outgiong from trusted to 192.168.1.0/24). Beim edge x15 stehen diese Angaben bei der Manual VPN Konfiguration in den Phase 2 settings unter local and remote network. Ich habe keine Network routes eingetragen und bei den firewall settings des x15 sind auch keine rules für IPSec eingetragen. Kann es daran liegen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 Glaube ich nicht, IPSec-Filter benutzt man, wenn man von innen nach aussen solch eine Verbindung aufbauen möchte. Du hast im Incoming und Outgoing den Button Logging, dort kannst Du die erlaubten und verweigerten Pakete aufzeichnen. Aktiviere dort alles für beide Richtungen (im ANY-Filter), schiebe die neue Config auf die Box und beobachte den Zugriff im System Manager. Poste dann eventuell unklare Einträge ... Zitieren Link zu diesem Kommentar
vevie 10 Geschrieben 4. Januar 2006 Autor Melden Teilen Geschrieben 4. Januar 2006 Hi Folgende Einträge im Log: 01/04/06 14:38 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:38 firewalld[121]: deny in eth0 48 tcp 20 117 217.8.81.39 217.8.208.175 4511 135 syn (default) 01/04/06 14:39 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:39 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:39 firewalld[121]: allow out eth1 60 icmp 20 128 192.168.0.76 192.168.111.2 8 0 (Any_IPSec) 01/04/06 14:39 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:39 firewalld[121]: allow out eth1 60 icmp 20 128 192.168.0.76 192.168.111.2 8 0 (Any_IPSec) 01/04/06 14:39 firewalld[121]: allow in ipsec0 60 icmp 20 127 192.168.1.17 192.168.0.1 8 0 (Any_IPSec) Die deny-Einträge von 62.167.236.133 sind seltsam, da das die public IP der remote Fb edge x15 ist. Dennoch bin ich einen Schritt weiter. Ich habe die Windows Firewall der DCs deaktiviert und siehe da: ich kann die DCs nun pingen, aber die IP Pakete gehen nicht durch. Pinge ich die public IP der remote fb edge x15 (62.167.236.113) erhalte ich keine Antwort. Ein tracert liefert einen timeout bei einer ip von diax telecommunications. Pingen sie remote die public IP unseres Routers (217.8.208.169) gibt es eine Antwort. Pingen sie jedoch die public IP unserer FB 700 (217.8.208.170) gibt es einen timeout. Das traceroute liefert Antworten bis zu unserem Router (217.8.208.169) und stoppt dann. Was stimmt da nicht? Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 Das stimmt doch so. Du hast eine icmp deny Regel an der Firebox outside. Damit kommt keine Antwort. Tracert ist nichts anderes wie ein ping .... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 Ich kann Deine sonstige Konfiguration der Box nicht sehen, ich weiss also nicht, wie komplex das ganze ist. Als erstes würde ich bei dem Provider erfragen, welche MTU benutzt werden soll und diese dann auf den Boxen eintragen (bei der X700 gibt es in der GUI einen Punkt, an dem ich den Wert verändern kann, bei der X15 muss man es über eine spezielle Konfigurationsseite erledigen). Als nächstes würde ich den Versuch machen, mich mit dem Server zu verbinden und dann überprüfen, welcher der Filter blockiert (das Logging muss auf den in Frage kommenden Filtern natürlich aktiviert sein). Der ANY-Dienst hat die höchste Priorität, daher sollten die relevanten Pakete über diesen Filter transportiert werden. Du kannst auf der X15 einen Echo-Host einstellen, da solltest Du die interne Schnittstelle der X700 einstellen und nicht die externe (bitte prüfen). Weiterhin solltest Du überprüfen, ob das automatische Blocken (normalerweise für 20 Minuten) auf der X700 konfiguriert ist. Ich weiss jetzt auch nicht, ob Du die Bedeutung von Incoming und Outgoing und ob Du die Reihenfolge der Prioritäten der Filter/Proxies kennst (Auto-Ordering). NAT Traversal hatte ich auch schon mal aktiviert. Hat nix gebracht. Wo hast Du das aktiviert ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.