Beiträge von ffischer

Glaube das ist bei dir ein generelles Problem.

1. HOP muss die IP des GWs sein vom VPN

Wie sieht die restliche VPN Config aus ?

naja du stellst den Port um auf 4999, und speicherst,
er trägt es in der OpenVPN Server Config ein und gut,
er passt dann halt noch die Firewall an das eingehend 4999 akzeptiert wird, das gilt noch zu prüfen ob er das wirklich gemacht hat.

Würde aber erstmal alles auf Standard lassen, dann sieht man obs funktioniert, danach dann kann man Einstellungen verändern,
Sonnst suchst du dir echt nen Wolf.

8 Schritte ?
Wo bitte leitet der dich hin?

Das sollte direkt vom Client der an OVPN Verbunden ist die nächste Hop das VPN GW sein.

unter /var/log

findest die meisten Log Files

Log Level kann man Teils auch in den Einstellungen der Protokollierung vornehmen in der EFW
Alles andere direkt in den Config Files, aber Vorsicht, config File bearbeiten dann muss in der Console auch der Dienst neu gestartet werden,
neustart aus der UI überschreibt die Einstellungen ( außer Änderungen in der tmpl. )

nach dem Neustart,
sind da noch Logs zu finden ?

Werden da große Daten übers VPN verschickt ?

da bin ich ja mal gespannt,.
ersetzt die jetzt aktuell die Enterprise Ed.?

hmm es geht voran

VPN Firewall aus
und geht noch kein Ping zur einem der Systeme ?

Wie steht es mit einem Tracert
Ziel IP auch mal das Grüne Interface der EFW

Wenn ich Kunden VPN offen habe und den Server per tracert anfrage sieht das so aus.

C:\Users\ffischer>tracert 10.62.9.30

Routenverfolgung zu DC1 [10.62.9.30] über maximal 30 Abschnitte:

1 112 ms 107 ms 109 ms 10.242.2.1
2 113 ms 109 ms 607 ms DC1 [10.62.9.30]

Ablaufverfolgung beendet.

C:\Users\ffischer>

Dabei ist 10.242.2.1 der VPN Gateway beim Kunden ( auch wen es keine EFW ist )

Sie sollte es automatisch machen.
ist im Uplink Script mit drin, dh. wenn pppoe neu aufgebaut wird,
läuft das Script eigentlich mit und Aktualisiert den DDNS.

Hab dem aber meist nie 100% getraut und hatte auf dem Server, meist noch ein sekundären DDNS Account.

Mach mal die VPN Firewall aus.

das mit den DDNS Name kanns ein das die EFW von außen kein "ping" zu lässt und das Paket verwirft.
Ist praktisch bei Port Scannern, so wirkt das nach außen hin, dass die IP mit niemanden verbunden ist und man kann nervige Scans entkommen.

also mir ist dieses hier gerade aufgefallen.

Tue Nov 19 22:57:02 2013 us=517072 TLS Error: TLS handshake failed

Geduld.

Wir haben ja dein Netzwerk nicht vor uns stehen und können frei daran arbeiten.

Jetzt mal Screenshots von Einstellungen der Firewall,OpenVPN, OpenVPN Firewall usw.

ja hab mehrere mal probiert alle die da drin waren, mal
auch in andere Firewalls ..das Ergebnis war ich bin wieder bei DynDNS weils einfach Funktioniert.
Und das bissl was das kostet im Jahr ist akzeptabel.

Moin,
ebenfalls Kalt und Nebel.
Temperatur am Auto war heute morgen um die 3°C

Start => Ausführen => cmd (enter)
route print

das Ergebnis als Screenshot.. weil als Text klappt das mit der Formatierung nicht

ja eigentlich schon.
wie sind den die Routen am Client wen die Verb. aufgebaut ist? ( Da frag ich glaube ich schon das 4-5 mal danach )

Portweiterleitung für VPN wird nicht benötigt.
=> Löschen!

Siehe Screenshots,
mehr ist für einfaches VPN nicht zu machen,
Benutzer hast ja schon angelegt.

Auszug aus den EFW Docs.

client
dev tap
proto udp
remote your.remote.efw
resolv-retry infinite
nobind
persist-key
persist-tun
ca path-to-the-ca-certificate.pem
auth-user-pass
comp-lzo

Hallo,
prüfe doch mal ob und welche Ports an der Firewall aufschlagen wenn Whatsapp aktiv per WLAN verbunden wird.

Glaube das müssten u.a.

TCP/80 , TCP/443, TCP/5222 , TCP/5223, TCP/5228

Ausgehend sein.

jain.. etwas schon ... aber der Flaschenhals ist bisher immer noch "snort"
Sobald der eingeschaltet ist, wird alles langsam, wird halt jedes Paket geprüft.

Proxy und der Rest kann glaube ich mit mehrere CPUs fahren, aktuell hab ich in alle VMs zwischen 2 und 4 CPUs

Wenn IDS eingeschaltet ist, wirds langsam,
die Performance geht in den Keller da Snort hier nur 1 CPU verwenden kann.
Dazu gibts aber hier im Forum noch mehr solche Themen.