10
ZyWALL USG 50, Admin Service Control Regel greift nicht
Moin,
ich habe ein für mich nicht erklärbares Problem mit meiner ZyWALL USG 50.
Es geht darum, dass SSL-VPN bereitgestellt wird.
Dazu möchte ich verbieten, dass man sich als admin aus dem WAN an die ZyWALL anmelden kann.
Allerdings funktioniert der Login, trotz Regel Anpassung.
So sieht die Konfiguration aus:
Lösche ich zum testen die IPSec Zone, so funktioniert es.
Ich kann mich als admin nicht mehr über die IPSec Verbindung an die ZyWALL anmelden - Login denied.
Aus dem WAN funktioniert es aber weiterhin.
Auch mit dieser Konfiguration gibt es keine Änderung:
Hat jemand eine Idee wo der Fehler liegt?
Danke
ich habe ein für mich nicht erklärbares Problem mit meiner ZyWALL USG 50.
Es geht darum, dass SSL-VPN bereitgestellt wird.
Dazu möchte ich verbieten, dass man sich als admin aus dem WAN an die ZyWALL anmelden kann.
Allerdings funktioniert der Login, trotz Regel Anpassung.
So sieht die Konfiguration aus:
Lösche ich zum testen die IPSec Zone, so funktioniert es.
Ich kann mich als admin nicht mehr über die IPSec Verbindung an die ZyWALL anmelden - Login denied.
Aus dem WAN funktioniert es aber weiterhin.
Auch mit dieser Konfiguration gibt es keine Änderung:
Hat jemand eine Idee wo der Fehler liegt?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221041
Url: https://administrator.de/contentid/221041
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
Testest Du denn wirklich von extern oder nur von intern per Aufruf der WAN-IP (NAT-Loopback)?
Gruß
sk
Gruß
sk
Hallo,
ja, ich teste dies von Zuhause,
Ich trenne die IPSec Verbindung und rufe die WAN-IP auf.
Ansonsten habe ich den Port per NAT noch angepasst, sodass dieser z.B. öffentlich 50112 ist.
ja, ich teste dies von Zuhause,
Ich trenne die IPSec Verbindung und rufe die WAN-IP auf.
Ansonsten habe ich den Port per NAT noch angepasst, sodass dieser z.B. öffentlich 50112 ist.
Wenn Du vom LAN aus testest, muss es ja auch gehen. Ist schließlich so eingestellt.
Vom LAN komme ich ja auch per admin rein.
Das Problem ist, dass es auch aus dem WAN über die öffentliche IP-Adresse per HTTPs funktioniert.
Allerdings sollte dies nicht so sein, dass möchte ich vermeiden.
Und wenn ich jetzt von Zuhause auf die Öffentliche IP der Firma zugreife, so kann ich mich als admin einloggen.
Dies sollte allerdings nicht funktionieren.
Das Problem ist, dass es auch aus dem WAN über die öffentliche IP-Adresse per HTTPs funktioniert.
Allerdings sollte dies nicht so sein, dass möchte ich vermeiden.
Und wenn ich jetzt von Zuhause auf die Öffentliche IP der Firma zugreife, so kann ich mich als admin einloggen.
Dies sollte allerdings nicht funktionieren.
Nochmal: teste von draußen, nicht vom LAN aus!
Hallo sk,
ich sitze hier Zuhause, ca. 24 km vom Büro entfernt.
Ich habe keinerlei Verbindung von hier ins Büro.
Ich greife von hier auf die öffentliche IP-Adresse im Büro zu und gelange auf das Webinterface der ZyWALL.
Mit Eingabe des Benutzers sowie Kennworts kann ich mich in die ZyWALL einloggen.
Ich komme also aus dem WAN.
ich sitze hier Zuhause, ca. 24 km vom Büro entfernt.
Ich habe keinerlei Verbindung von hier ins Büro.
Ich greife von hier auf die öffentliche IP-Adresse im Büro zu und gelange auf das Webinterface der ZyWALL.
Mit Eingabe des Benutzers sowie Kennworts kann ich mich in die ZyWALL einloggen.
Ich komme also aus dem WAN.
Zitat von @Bitdreher:
Ich greife von hier auf die öffentliche IP-Adresse im Büro zu und gelange auf das Webinterface der ZyWALL.
...
Ich komme also aus dem WAN.
Ich greife von hier auf die öffentliche IP-Adresse im Büro zu und gelange auf das Webinterface der ZyWALL.
...
Ich komme also aus dem WAN.
Ok. Da hatte ich Dich mißverstanden.
Zitat von @Bitdreher:
Ansonsten habe ich den Port per NAT noch angepasst, sodass dieser z.B. öffentlich 50112 ist.
Ansonsten habe ich den Port per NAT noch angepasst, sodass dieser z.B. öffentlich 50112 ist.
Poste das mal bitte. Außerdem die Zonenkonfiguration und die Policy-Routen.
Policy-Routen gibt es keine.
Der Rest:
Der Rest:
Eigentlich kann es nur an der NAT-Konfiguration liegen. Teste das doch mal, indem Du den VServer-Eintrag deaktivierst und den Port auf der Service-Control-Seite änderst.
Hallo sk,
mit geändertem Port auf der Service-Control-Seite funktioniert es.
Nur wenn man diesen Port per NAT ändert funktioniert es nicht.
Naja, nicht ideal, aber auch nicht so schlimm
Danke für deine Hilfe!
mit geändertem Port auf der Service-Control-Seite funktioniert es.
Nur wenn man diesen Port per NAT ändert funktioniert es nicht.
Naja, nicht ideal, aber auch nicht so schlimm
Danke für deine Hilfe!
