bitdreher
Goto Top

ZyWALL USG 50, Admin Service Control Regel greift nicht

Moin,

ich habe ein für mich nicht erklärbares Problem mit meiner ZyWALL USG 50.

Es geht darum, dass SSL-VPN bereitgestellt wird.
Dazu möchte ich verbieten, dass man sich als admin aus dem WAN an die ZyWALL anmelden kann.

Allerdings funktioniert der Login, trotz Regel Anpassung.
So sieht die Konfiguration aus:

1eeb0acbadfede5bfcee753b28c54d64


Lösche ich zum testen die IPSec Zone, so funktioniert es.
Ich kann mich als admin nicht mehr über die IPSec Verbindung an die ZyWALL anmelden - Login denied.
Aus dem WAN funktioniert es aber weiterhin.

Auch mit dieser Konfiguration gibt es keine Änderung:

a561cbee34de211b9ed7e93a0e047986


Hat jemand eine Idee wo der Fehler liegt?


Danke

Content-ID: 221041

Url: https://administrator.de/forum/zywall-usg-50-admin-service-control-regel-greift-nicht-221041.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

sk
sk 03.11.2013 um 12:58:07 Uhr
Goto Top
Testest Du denn wirklich von extern oder nur von intern per Aufruf der WAN-IP (NAT-Loopback)?

Gruß
sk
Bitdreher
Bitdreher 03.11.2013 um 18:50:40 Uhr
Goto Top
Hallo,

ja, ich teste dies von Zuhause,

Ich trenne die IPSec Verbindung und rufe die WAN-IP auf.

Ansonsten habe ich den Port per NAT noch angepasst, sodass dieser z.B. öffentlich 50112 ist.
sk
sk 03.11.2013 um 19:30:38 Uhr
Goto Top
Wenn Du vom LAN aus testest, muss es ja auch gehen. Ist schließlich so eingestellt.
Bitdreher
Bitdreher 03.11.2013 um 19:53:22 Uhr
Goto Top
Vom LAN komme ich ja auch per admin rein.

Das Problem ist, dass es auch aus dem WAN über die öffentliche IP-Adresse per HTTPs funktioniert.
Allerdings sollte dies nicht so sein, dass möchte ich vermeiden.

Und wenn ich jetzt von Zuhause auf die Öffentliche IP der Firma zugreife, so kann ich mich als admin einloggen.
Dies sollte allerdings nicht funktionieren.
sk
sk 03.11.2013 um 20:05:47 Uhr
Goto Top
Nochmal: teste von draußen, nicht vom LAN aus!
Bitdreher
Bitdreher 03.11.2013 um 20:59:00 Uhr
Goto Top
Hallo sk,

ich sitze hier Zuhause, ca. 24 km vom Büro entfernt.
Ich habe keinerlei Verbindung von hier ins Büro.

Ich greife von hier auf die öffentliche IP-Adresse im Büro zu und gelange auf das Webinterface der ZyWALL.
Mit Eingabe des Benutzers sowie Kennworts kann ich mich in die ZyWALL einloggen.

Ich komme also aus dem WAN.
sk
sk 03.11.2013 um 21:22:57 Uhr
Goto Top
Zitat von @Bitdreher:
Ich greife von hier auf die öffentliche IP-Adresse im Büro zu und gelange auf das Webinterface der ZyWALL.
...
Ich komme also aus dem WAN.

Ok. Da hatte ich Dich mißverstanden.


Zitat von @Bitdreher:
Ansonsten habe ich den Port per NAT noch angepasst, sodass dieser z.B. öffentlich 50112 ist.

Poste das mal bitte. Außerdem die Zonenkonfiguration und die Policy-Routen.
Bitdreher
Bitdreher 03.11.2013 um 21:54:27 Uhr
Goto Top
Policy-Routen gibt es keine.

Der Rest:

44c47c62cf29fe5c4c635deb4d423b67

a1eb109f90d86fff729258bc67d8eecd
sk
sk 03.11.2013 um 22:35:32 Uhr
Goto Top
Eigentlich kann es nur an der NAT-Konfiguration liegen. Teste das doch mal, indem Du den VServer-Eintrag deaktivierst und den Port auf der Service-Control-Seite änderst.
Bitdreher
Bitdreher 04.11.2013 um 18:11:11 Uhr
Goto Top
Hallo sk,

mit geändertem Port auf der Service-Control-Seite funktioniert es.
Nur wenn man diesen Port per NAT ändert funktioniert es nicht.

Naja, nicht ideal, aber auch nicht so schlimm face-smile

Danke für deine Hilfe!