6
Zeiterfassung über VPN-Tunnel funktioniert nicht.
Terminal lässt sich nicht an den Server der Hauptstelle anbinden
Hallo Kollegen!
Anscheinend haben wir ein außergewöhnliches Problem, das ziemlich ins Eingemachte geht.
Und zwar planen wir das Zeiterfassungsterminal unserer Außenstelle über einen VPN-Tunnel (funktioniert bereits problemlos - realisiert mit zwei Defendo Firewalls) an den Zeiterfassungsserver der Hauptstelle anzubinden.
Nur leider scheinen die Pakete nicht "durchzukommen". Im Firewalllog steht folgendes:
defendo kernel: fw-chk drop [STATE=invalid] IN=eth0 OUT=ipsec0 SRC=192.168.180.xxx DST=192.168.1.xxx LEN=44 TOS=0x00 PREC=0x00 TTL=63 ID=43762 DF PROTO=TCP SPT=5002 DPT=5002 WINDOW=2047 RES=0x00 SYN URGP=0
Alles andere funktioniert problemlos...inzwischen sind wir ziemlich ratlos...
Vielleicht hab ihr noch die eine oder andere Idee???
Danke schonmal
Karo
Hallo Kollegen!
Anscheinend haben wir ein außergewöhnliches Problem, das ziemlich ins Eingemachte geht.
Und zwar planen wir das Zeiterfassungsterminal unserer Außenstelle über einen VPN-Tunnel (funktioniert bereits problemlos - realisiert mit zwei Defendo Firewalls) an den Zeiterfassungsserver der Hauptstelle anzubinden.
Nur leider scheinen die Pakete nicht "durchzukommen". Im Firewalllog steht folgendes:
defendo kernel: fw-chk drop [STATE=invalid] IN=eth0 OUT=ipsec0 SRC=192.168.180.xxx DST=192.168.1.xxx LEN=44 TOS=0x00 PREC=0x00 TTL=63 ID=43762 DF PROTO=TCP SPT=5002 DPT=5002 WINDOW=2047 RES=0x00 SYN URGP=0
Alles andere funktioniert problemlos...inzwischen sind wir ziemlich ratlos...
Vielleicht hab ihr noch die eine oder andere Idee???
Danke schonmal
Karo
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129788
Url: https://administrator.de/forum/zeiterfassung-ueber-vpn-tunnel-funktioniert-nicht-129788.html
Ausgedruckt am: 14.04.2025 um 10:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo Karo,
da dein Zeiterfassungssystem als "Geheim" eingestuft ist, ist auch meine evtl. Antwort als "Geheim" einzustufen.
Im ernst, was erwartest du?
Alles was du hier hinwirfst ist ein DROP resultat deiner Firewall Regel "fw-chk", oder ist das nicht die von definierte Regel?
Peter
da dein Zeiterfassungssystem als "Geheim" eingestuft ist, ist auch meine evtl. Antwort als "Geheim" einzustufen.
Im ernst, was erwartest du?
Alles was du hier hinwirfst ist ein DROP resultat deiner Firewall Regel "fw-chk", oder ist das nicht die von definierte Regel?
Peter
Hast du einfach mal in der FW den Port 5002 freigegeben? Denn eindeutig killt deine Regel diesen Port -> Schade wenn die Zeiterfassung den benötigt...
Ne - nicht geheim....nur bei der Umformulierung "rausgefallen" 
. Es ist das Zeus bzw. das System von Isgus.
Nein, die Regel hab nicht ich definiert. Wir haben jemanden, der die Firewall supportet (bzw. sollte), aber meiner Meinung nach das Ding nicht wirklich kennt.
Ich selber hab das ganze geerbt und kenne mich eigentlich nicht wirklich mit Firewall und VPN-Tunnel aus.
Da wir seit Wochen mit Firewallsupporter und Isgus erfolglos hin und her telefonieren, wollte ich mich selber mal dran versuchen...tja - anscheinend scheiterts schon an den Grundlagen).
Karo
. Es ist das Zeus bzw. das System von Isgus.Nein, die Regel hab nicht ich definiert. Wir haben jemanden, der die Firewall supportet (bzw. sollte), aber meiner Meinung nach das Ding nicht wirklich kennt.
Ich selber hab das ganze geerbt und kenne mich eigentlich nicht wirklich mit Firewall und VPN-Tunnel aus.
Da wir seit Wochen mit Firewallsupporter und Isgus erfolglos hin und her telefonieren, wollte ich mich selber mal dran versuchen...tja - anscheinend scheiterts schon an den Grundlagen
).Karo
Angeblich wurde der Port ja freigeschaltet. Muss ich nochmal nachforschen!! Danke!
Das bei TCP Source und Destination Port identisch ist ( PROTO=TCP SPT=5002 DPT=5002 ) ist auch höchst ungewöhnlich.
Vielleicht stört sich die FW auch daran ??
Häng doch einfach einen Sniffer wie den kostenlosen Wireshark ins Netz und checke ob die TCP 5002 Pakete der Zeiterfassung durch den VPN Tunnel gehen.
Vermutlich scheiterts aber wohl wirklich an den Netzwerk Basics...
Vielleicht stört sich die FW auch daran ??
Häng doch einfach einen Sniffer wie den kostenlosen Wireshark ins Netz und checke ob die TCP 5002 Pakete der Zeiterfassung durch den VPN Tunnel gehen.
Vermutlich scheiterts aber wohl wirklich an den Netzwerk Basics...
Letztendlich war das Problem ein Haken bei "NAT" in der Regel der Firewall...!!!
