Zur Startseite gehen
0,00 €*

Das Netzwerk hinter der Firewall ist nicht erreichbar

Wenn der Tunnel hergestellt ist, der Anforderungsverkehr vom Endpunkt jedoch die zulässige Netzwerkressource nicht erreicht, überprüfen Sie die folgenden Einstellungen.

  • Szenario: Verkehrsfluss

    • Firewall zur zulässigen Ressource
    • Endpunkt zur zulässigen Ressource

Um zu überprüfen, ob der Client-Verkehr die Firewall erreicht, lesen Sie die folgenden Seiten:

Remote access SSL VPN flow diagram.

Datenverkehr vom Endpunkt zur zulässigen Ressource

Im Endpunkt

Die Route wird nach dem Tunnelaufbau an den Endpunkt weitergeleitet. Um zu überprüfen, ob die Route hinzugefügt wurde, sehen Sie sich die Routing-Tabelle des Endpunkts wie folgt an:

  1. Geben Sie den Routenbefehl für Ihr Endpunkt-Betriebssystem ein.

  2. Der Routeneintrag muss folgende Angaben enthalten:

    1. Ziel-IP-Adresse: Adresse der zulässigen Netzwerkressource (Beispiel: 192.168.10.0).
    2. Schnittstelle: Die tun Schnittstellenadresse. Es handelt sich um eine IP-Adresse aus dem SSL-VPN-Lease-Bereich (Beispiel: 10.81.0.1).
    3. Dem Endpunkt zugewiesene Adresse: Eine IP-Adresse aus dem SSL-VPN-Lease-Bereich (Beispiel: 10.81.0.2).

Ein Beispiel:

Route on the endpoint to the permitted resource.

Die Route existiert im Endpunkt nicht.

Wenn Sie die Route im Endpunkt nicht finden, gehen Sie wie folgt vor:

  1. Laden Sie die .ovpn Datei erneut, um zu sehen, ob das Problem dadurch behoben wird.
  2. Überprüfen Sie das Protokoll des VPN-Clients, um das Problem zu ermitteln.
  3. Überprüfen Sie die Endpunktberechtigungen.

In der Firewall

Wenn die Route im Endpunkt vorhanden ist, überprüfen Sie die folgenden Parameter:

  1. Um zu überprüfen, ob SSL-VPN-Verkehr an der Firewall ankommt, gehen Sie wie folgt vor:

    1. Senden Sie eine Ping-Anfrage vom Endpunkt an die zulässige Ressource.
    2. Gehe zu Diagnose > Paketerfassung, und geben Sie unter BPF-String Folgendes ein:
    host <Destination IP address> and port <SSL VPN port> or host <Leased IP address>
    Beispiel

    host 192.168.10.2 and port 8443 or host 10.81.0.2

    Packet capture for end-to-end SSL VPN traffic.

  2. Wenn Sie das obige Ergebnis nicht erhalten, überprüfen Sie, ob die Firewall die Ressource erreichen kann:

    1. Schalten Sie den Ping in der zulässigen Netzwerkressource vorübergehend ein.
    2. Gehe zu Diagnose > Werkzeuge und senden Sie einen Ping von der Firewall an die Ressource.

    Wenn keine Antwort erfolgt, müssen Sie Ihre Netzwerktopologie überprüfen.

Überprüfen Sie die Konfigurationen

Überprüfen Sie die folgenden Konfigurationen.

Firewall-Regeln

Firewall-Regel für SSL-VPN

Stellen Sie sicher, dass die Firewall-Regel die folgenden Einstellungen hat:

  1. Quellzonen: VPN
  2. Quellnetzwerke: Das System hostet ##ALL_SSLVPN_RW oder ##ALL_SSLVPN_RW6.

  3. Zielzonen: Wählen Sie eine der folgenden Optionen:

    • Beliebig wenn Sie eingeschaltet haben Standardgateway in der SSL-VPN-Richtlinie.
    • Zonen, zu denen die zulässigen Netzwerkressourcen gehören, beispielsweise WAN, DMZ.

  4. Zielnetzwerke: Wählen Sie eine der folgenden Optionen:

    • Beliebig wenn Sie eingeschaltet haben Standardgateway in der SSL-VPN-Richtlinie.
    • Die zulässigen Netzwerkressourcen, die Sie in den SSL-VPN-Richtlinien für den Remotezugriff angegeben haben.

  5. Benutzer und Gruppen: Wenn Sie den Ressourcenzugriff für bestimmte Benutzer festgelegt haben, stellen Sie sicher, dass Sie die Benutzer oder Gruppen wie folgt hinzugefügt haben:

    1. Wählen Übereinstimmung mit bekannten Benutzern.
    2. Fügen Sie Benutzer oder Gruppen hinzu unter Benutzer oder Gruppen.

Stimmt mit einer falschen Firewall-Regel überein

Um zu überprüfen, ob der Datenverkehr der richtigen Firewall-Regel entspricht, gehen Sie wie folgt vor:

  1. Gehe zu Protokollanzeige und wählen Sie Firewall in der Dropdown-Liste.

  2. Klicken Filter hinzufügen und geben Sie die folgenden Filter an:

    Einstellung Wert
    Feld In der Schnittstelle
    Zustand Ist
    Wert tun

Die Firewall verwendet Tun-Schnittstellen, wie zum Beispiel tun0 Und tun1, für SSL-VPN-Verkehr.

  1. Klicken Filter hinzufügen.
  2. Die Firewall-Regel-ID finden Sie unter Firewall-Regel Spalte.

Ein Beispiel:

Firewall rule ID to identify the rule matching SSL VPN traffic.

Wenn eine falsche Firewall-Regel gefunden wird, führen Sie eine der folgenden Aktionen aus:

  • Verschieben Sie es in der Firewall-Regelliste nach unten als die richtige Firewall-Regel.
  • Ändern Sie seine Leistungen Einstellung zum Ausschließen der Port-Protokoll-Kombination von SSL VPN.

SSL-VPN-Konfigurationen

Globale SSL-VPN-Einstellungen

Unter IP-Adressen zuweisen, stellen Sie sicher, dass sich die Subnetze nicht mit den folgenden Adressen überschneiden:

  • Ein internes Netzwerk.
  • Die Ziel-IP-Adresse oder das Zielnetzwerk einer beliebigen statischen Route.
  • Statische Peer-IP-Adressen in Site-to-Site-SSL-VPN-Tunneln.

  • Häufig verwendete Heimrouter-Subnetze, wie z. B. 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 10.0.0.0, 10.0.1.0, Und 10.1.1.0.

  • Statische IP-Adressen müssen, sofern vorhanden, innerhalb des statischen IPv4- oder IPv6-Adressbereichs in den globalen SSL-VPN-Einstellungen liegen.

SSL-VPN-Richtlinie

  1. Gehe zu Remote-Zugriff-VPN > SSL VPN.
  2. Stellen Sie sicher, dass Sie die richtigen Benutzer oder Gruppen hinzugefügt haben Richtlinienmitglieder in der Richtlinie.

  3. Unter Erlaubte Netzwerkressourcen, stellen Sie sicher, dass Sie diese Richtlinien befolgen:

    1. Auch wenn Sie eingeschaltet StandardgatewayWählen Sie die Netzwerkressourcen aus, auf die Remotebenutzer zugreifen können.
    2. Wählen Sie die Schnittstellen nicht aus. Diese stellen nicht sicher, dass Benutzer auf die entsprechenden Subnetze zugreifen.
    3. Überprüfen Sie, ob Sie die richtigen Ressourcen ausgewählt haben.

Notiz

Um die Änderungen an den SSL-VPN-Richtlinien anzuwenden, müssen Benutzer die Verbindung zum Tunnel trennen und erneut herstellen.

DNAT-Regel

Wenn die zulässige IP-Adresse der Netzwerkressource mit der Adresse des Heimrouters übereinstimmt, fügen Sie wie folgt eine DNAT-Regel hinzu:

  • Originalquelle: IP-Host mit dem SSL-VPN-Lease-Bereich.
  • Übersetzte Quelle: Original
  • Ursprüngliches Ziel: Eine nicht in Konflikt stehende IP-Hostadresse.
  • Übersetztes Ziel: Zulässige Netzwerkressourcenadresse.

DNS-Auflösung

Wenn Benutzer mit ihrem FQDN nicht auf zulässige Ressourcen zugreifen können, überprüfen Sie die folgenden Konfigurationen:

  1. Wenn es sich bei der zulässigen Ressource um einen FQDN mit dynamischen IP-Adressen handelt, müssen Remotebenutzer die Verbindung manuell trennen und wiederherstellen, wenn sich die Adresse ändert.
  2. Stellen Sie sicher, dass Sie den richtigen DNS-Server konfiguriert haben in Globale SSL-VPN-Einstellungen.
  3. Gehe zu Verwaltung > Gerätezugriff und prüfen Sie, ob Sie DNS über VPN zugelassen haben.
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung