CPUG: The Check Point User Group

Resources for the Check Point Community, by the Check Point Community.


Tim Hall has done it again! He has just released the 2nd edition of "Max Power".
Rather than get into details here, I urge you to check out this announcement post.
It's a massive upgrade, and well worth checking out. -E

 

Page 1 of 2 12 LastLast
Results 1 to 20 of 25

Thread: VPN von R65 zu R61 steht, Ping kommt nicht durch

  1. #1
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Allemiteinander,

    bin neu hier, auch recht unerfahren mit Checkpoint und bitte um Nachsicht für meine fehlenden Grundkenntnisse.

    Mein Problem: Konnte die von mir betreute (und aufgesetzte) CP R65 mit der R61 einer Fremdfirma verbinden. (Tunnel is UP) Bringe aber keinen Ping durch.
    Laut deren Administrator verwaltet die dortige CP über 140 VPN's.
    Ich kann also davon ausgehen, dass der Fehler bei mir liegt.
    Im Tracker kann ich beobachten wie der Ping rausgeht. Er kommt auch
    bei der R61 an. Das Echo geht dort ebenfalls raus, es kommt aber nichts bei mir an. Weiters ist mir aufgefallen, dass sich die Externe Adresse (= VPN-Domain der R65) von der R61 nur anpingen lässt, wenn der Tunnel Down ist.
    Ich verwende kein NAT im Tunnel, das Netz (192.168.134.0) kommt bei der R61 nicht vor. Die R65 hat 11Rules und 1 (nicht automatisch erstellter) NAT.

    Kann mir einer einen Tip geben, oder ist die Beschreibung unzureichend ?
    Bin für alle Kommentare dankbar...

    mfg Roland

  2. #2
    Join Date
    2006-04-07
    Location
    Penzberg, Germany
    Posts
    99
    Rep Power
    14

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    ... Encryption Domain mismatch?
    Werden die ICMP packete bei R65 encrypted und bei R61 decrypted?
    Wie sieht es andersum aus?
    Wie sieht es mit anderen Protokollen aus?
    Was passiert wenn Du versuchst direkt aus dem R65 Gateway zu pingen?

    Ciao
    Maurizio

  3. #3
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Maurizio,

    die icmp-Packte werden bei der R65 verschlüsselt (gelbes Schloss im Tracker) und kommen bei der R61(gelbes Schloss mit Schlüssel) richtig an. Das Echo geht dann wieder verschlüsselt zurück. Das konnte ich mit dem Administrator der R61 mittels tcpdump feststellen. Irgendwo zwischen meiner Externen und Internen Adresse geht das Echo verloren, oder wird nicht entschlüsselt.

    >>Wie sieht es mit anderen Protokollen aus?
    versucht habe ich nur ping. Auf die Gefahr hin eine dumme Frage zu stellen: welche Protokolle testen wäre sinnvoll ?

    >>Was passiert wenn Du versuchst direkt aus dem R65 Gateway zu pingen?
    Hier muss ich mich wieder outen: Linux habe ich bisher immer verweigert. (womit ich wieder bei meinen fehlenden Grundkenntnissen angekommen bin...)
    Die R65 läuft auf einer UTM-1 (19" Blechkiste mit Checkpointlogo, ohne M/T/M).
    Ich nehme an wenn ich mit PuTTY einsteige bin ich auch richtig. Hier das selbe Bild: Ich kann rauspingen z.B. auf meinen Server, auch im internen 192iger Netz kann ich alles anpingen.
    Durch den Tunnel nicht und auch nicht die Extrene IP der R61

    lg Roland

  4. #4
    Join Date
    2009-05-24
    Location
    Bremen, Germany
    Posts
    30
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Roland,

    beim Troubleshooting von Site-to-Site Verbindungen tue ich mich auch immer etwas schwer...

    >>die icmp-Packte werden bei der R65 verschlüsselt (gelbes Schloss im Tracker) und kommen bei der R61(gelbes Schloss mit Schlüssel) richtig an.
    Ein mismatch der encryption-domains können wir eigentlich ausschließen, da der Tunnel zustande kommt.

    >>Das Echo geht dann wieder verschlüsselt zurück. Das konnte ich mit dem Administrator der R61 mittels tcpdump feststellen. Irgendwo zwischen meiner Externen und Internen Adresse geht das Echo verloren, oder wird nicht entschlüsselt.
    Hast du auf deinem externen Interface mal mit tcpdump geschaut, ob das echo bei dir ankommt? Wenn ja, was sagt fw monitor?

    >>>>Wie sieht es mit anderen Protokollen aus?
    >>versucht habe ich nur ping. Auf die Gefahr hin eine dumme Frage zu stellen: welche Protokolle testen wäre sinnvoll ?
    ICMP reicht i.d.R. - sollte nur in der Policy erlaubt sein.

    >>>>Was passiert wenn Du versuchst direkt aus dem R65 Gateway zu pingen?
    >>Hier muss ich mich wieder outen: Linux habe ich bisher immer verweigert. (womit ich wieder bei meinen fehlenden Grundkenntnissen angekommen bin...)
    >>Die R65 läuft auf einer UTM-1 (19" Blechkiste mit Checkpointlogo, ohne M/T/M).
    >>Ich nehme an wenn ich mit PuTTY einsteige bin ich auch richtig. Hier das selbe Bild: Ich kann rauspingen z.B. auf meinen Server, auch im internen 192iger Netz kann ich alles anpingen.
    >>Durch den Tunnel nicht und auch nicht die Extrene IP der R61
    Ein direkter Ping auf die externe IP der R61 kann u.U. nicht erlaubt sein. Das ist nichts Ungewöhnliches und weist deshalb nicht auf einen Fehler in der Konfiguration hin.

    Ist das Netz deiner encryption-domain neu? Muss hier vielleicht ein Route zum internen Interface ergänzt werden?

    Gruß,
    Sabrina

  5. #5
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Sabrina,

    >>Hast du auf deinem externen Interface mal mit tcpdump geschaut, ob das echo bei dir ankommt?

    Ja, kommt an

    >>Wenn ja, was sagt fw monitor?
    Tunnel is Up, Traffic kann ich nicht prüfen, weil laut Meldung nicht installiert

    >>Ist das Netz deiner encryption-domain neu? Muss hier vielleicht ein Route zum internen Interface ergänzt werden?

    Genau hier vermute ich den Fehler: Die CP wurde nur für den Zweck angeschafft um den Tunnel aufzubauen. Das Interne Netz unserer R65 (192.168.134.0) wurde mir vom Administrar der R61 vorgegeben weil dieses bei ihm noch frei ist. Unser Internes Netz besteht nur aus einem SMBS2003 7XP-PC und einem 2003Terminalserver.
    Bei der R65 hab ich als VPN-Domain (encryption-domain) das Interne Netz angeben.

    Dumme Frage: Was ist mit Route zum Internen Netz gemeint ?

    lg Roland

  6. #6
    Join Date
    2009-05-24
    Location
    Bremen, Germany
    Posts
    30
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Roland,

    wie sieht die Routing-Tabelle aus?

    Gibt es ein default gateway?

    Das Netz, dass dir der R61-Admin gegeben hat, kennt die R65 nicht. Darum müßte doch eine Route ergänzt werden, die auf das Interface zeigt, wohinter sich deine Server verbergen, oder?
    Also angenommen, deine Server sind über einen Hop hinter eth1 erreichbar, dann muss eine Route für 192.168.134.0 ergänzt werden. Sonst müßte meiner Meinung nach die R65 die Pakete wegwerfen, weil sie gar nicht weiß, wohin damit.

    Z.B.: Dein LAN, in dem sich bspw. der Terminal Server befindet, ist von der R65 über ein Gateway hinter eth1 erreichbar. Ich nehme 10.0.0.1 für eth1 und 10.0.0.10 für das default GW an.
    Dann müsstest du eine Route auf der R65 ergänzen, die 192.168.134.0/24 nach 10.0.0.10 schickt.

    Soweit jedenfalls meine Theorie.

    Ansonsten wäre ein tcpdump auf dem Interface zu deinen Servern interessant. Wenn hier die Pakete nicht rausgehen, liegt's wahrscheinlich am Routing.

    Viel Erfolg!

  7. #7
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Sabrina,

    >>Das Netz, dass dir der R61-Admin gegeben hat, kennt die R65 nicht. Darum müßte doch eine Route ergänzt werden, die auf das Interface zeigt, wohinter sich deine Server verbergen, oder?

    ich muss gestehen, das mit der Route hab ich nicht ganz verstanden:
    die 192.168.134.192 ist die Interne IP (Interface) der R65. Der SMB-Server hat die 192.168.134.200, der DHCP vergibt von 192.168.134.120-140 ...
    Die 192.168.134.0 ist auch das angegebene Netz der VPN- (Encrp.) Domain von der R65.

    Der Default Gateway ist (sollte) die 192.168.134.192 (sein). Bei den Versuch dies zu überprüfen bin ich über ein neues Problem gestolpert. Seit ich die R65 eingerichtet habe bin ich nicht mehr über die Webshell (https:\\192.168.134...) eingestigen. Komme als admin ganz normal ins SmartDashbord und via PuTTY auf die DOSshell.
    Versuch ich es via Webshell kommt nun eine Fehlermeldung:
    "Cannot Login, Make sure the appalaince is up and running, and you are allowed to login from this machine"

    Frage: kann ich mir mit einer Rule den Weg (nur) zur Webshell verbauen ?

    lg Roland

  8. #8
    Join Date
    2009-05-24
    Location
    Bremen, Germany
    Posts
    30
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Roland,

    ja, man kann sich den Weg verbauen. I.d.R. sind die Zugänge/Zugriffe aber durch die implied rules geregelt.
    Der Tracker sollte dir an der Stelle ausreichend Informationen geben und ein verbotenen/dropped Zugriff anzeigen.

    Zum Routing: Ich bin irrtümlicherweise nicht davon ausgegangen, dass dein internes Netz direkt verbunden ist. Das heißt, die Routing-Tabelle müßte dein Netz (192.168.134.0) eigentlich beinhalten. Wie groß ist dein Netz? 192.168.134.0/24?
    Wie sieht die Routing-Tabelle aus?

    Mich wundert's, dass der Tracker keine genaueren Angaben zu den Paketen im Tunnel macht. Wenn ich dich richtig verstanden habe, dann steht der Tunnel und die Pakete kommen auch an. In dem Fall müßten sie auch im Tracker auftauchen. Im Idealfall würden sie auch als verschlüsselt gekennzeichnet sein (lila mit Schloss).
    Wenn sie im Tracker nicht angezeigt werden: Hast du eine Rule, die ICMP erlaubt, aber nicht loggt?

    Gruß,
    Sabrina

  9. #9
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Sabrina,

    >>Wie groß ist dein Netz? 192.168.134.0/24?
    Ja, 256 Adressen

    >>Mich wundert's, dass der Tracker keine genaueren Angaben zu den Paketen im Tunnel macht
    Es gibt einen lila Eintrag mit Schlüssel im Tracker wenn der Tunnel aufgebaut wird und ein gelbes Schloss mit dunkelblauen Eintrag für den Ping. Wenn die R65 via Tunnel von der R61 angepingt wird gibs ein gelbes Schloss mit Schlüssel und violetten (nicht lila) Eintrag

    >>Wenn sie im Tracker nicht angezeigt werden: Hast du eine Rule, die ICMP erlaubt, aber nicht loggt?
    glaube nicht, habe nur 11 Rules

    >>Wie sieht die Routing-Tabelle aus?
    Jetzt wird's interressant, war der Meinung eine CP findet den Rückweg von alleine.
    Hier muss ich mich wieder als CP-Anfänger outen: Wo finde ich diese bei einer CheckPoint ?

    lg Roland

  10. #10
    Join Date
    2009-05-24
    Location
    Bremen, Germany
    Posts
    30
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Roland,

    nur kurz zur Routing-Tabelle:
    Du findest das Routing über die Shell. Entweder über "sysconfig" unter networking/routing oder über den Befehl "route".


    Sabrina

  11. #11
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Sabrina,

    Danke, jetzt hab ich sie:

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    85.***.***.224 0.0.0.0 255.255.255.240 U 0 0 0 External
    192.168.134.0 0.0.0.0 255.255.255.0 U 0 0 0 Internal
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 85.***.***.225 0.0.0.0 UG 0 0 0 External

    Frage: fehlt hier ein Gateway für den Tunnel?

    lg Roland

  12. #12
    Join Date
    2009-05-24
    Location
    Bremen, Germany
    Posts
    30
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Roland,

    die routing table sieht gut aus.
    Wundert mich, dass das Paket die Firewall nicht Richtung internes LAN verlässt.

    Ich hab's vergessen: hattest du schon einmal ein fw monitor gemacht?
    Wie sieht der Output aus?

    z.b.:
    fw monitor -e "accept src=[IP der R61 oder von wo der ping losgeschickt wird];"

    wichtig ist das semikolon am ende.
    "accept" bedeutet nicht, dass nur erlaubte (also accepted) packete gefiltert werden. es bedeutet viel mehr, dass der ausdruck (src=...) vom filter angezeigt werden sollen.

    bei der ausgabe von fw monitor sind das interface und die angabe der in/out chain interessant. für ein paket, dass durch das gateway geht sollten alle vier (iIoO) auftauchen.

    mehr Infos findest du z.b. in CheckPoint_R65_CLI_AdminGuide.pdf
    http://downloads.checkpoint.com/dc/download.htm?ID=7239

    Gruß,
    Sabrina
    Last edited by packetHunter; 2009-06-09 at 17:26. Reason: link edit

  13. #13
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Sabrina,

    vorab mal, herzlichen Dank für Deine Gedult. Ich muss gestehen, bringe den Befehl nicht hin:

    login as: admin
    admin@192.168.134.192's password:
    Last login: Mon Jun 15 08:49:02 2009 from 192.168.134.111

    ? for list of commands
    sysconfig for system and products configuration

    [****cp]# fw monitor -e
    monitor: option requires an argument -- e
    Usage: fw monitor [- u|s] [-i] [-d] [-T] <{-e expr}+|-f <filter-file|->> [-l len] [-m mask] [-x offset[,len]] [-o <file>] <[-pi pos] [-pI pos] [-po pos] [-pO pos] | -p all [-a ]> [-ci count] [-co count]
    [****cp]# fw monitor -e "accept src=[194.***.***.217];"
    Illegal command
    [****cp]# fw monitor -e "accept src=194.***.***.217;"
    Illegal command
    [****cp]# fw monitor -e accept src=194.***.***.217;
    Illegal command
    [****cp]# fw monitor -e "accept 194.***.***.217;"
    Illegal command
    [****cp]# fw monitor -e "accept [194.***.***.217];"
    Illegal command
    [****cp]#

    was mach ich falsch ?

    lg Roland

  14. #14
    Join Date
    2008-07-31
    Location
    Netherlands, Europe
    Posts
    1,146
    Rep Power
    13

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Roland,
    Sie mussen erst mahl im expert modus gehen:
    expert
    <pasworte>
    und dann:
    fw monitor -e "accept src=194.***.***.217 or dst=194.***.***.217;"
    when sie das verkehr in beiden richtungen sehen wollen.
    Regards, Maarten.
    Triple MDS on R77.30, MDS on R80.10, VSX, GAIA.

  15. #15
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo msjouw,

    Danke, jetzt kann seh ich das Ergbnis des Ping (das Echo kommt von Extern zu intern)

    Hallo Sabrina,

    kann Du hier was erkennen ?

    lg Roland


    [****cp]# expert
    Enter expert password:

    You are in expert mode now.

    [Expert@****cp]# fw monitor -e "accept src=194.***.**.217;"
    monitor: getting filter (from command line)
    monitor: compiling
    monitorfilter:
    Compiled OK.
    monitor: loading
    monitor: monitoring (control-C to stop)
    External:i[360]: 194.***.***.217 -> 85.***.***.227 (UDP) len=360 id=3003
    UDP: 500 -> 15850
    External:I[360]: 194.***.***.217 -> 192.168.134.192 (UDP) len=360 id=3003
    UDP: 500 -> 500

  16. #16
    Join Date
    2009-05-24
    Location
    Bremen, Germany
    Posts
    30
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Roland,

    kommt nach der letzten Zeile der fw monitor Ausgabe noch mehr?
    Die Ausgabe ist zu kurz. Hier fehlen noch ein paar Zeilen: anstatt des "i" bzw. "I" erwarte ich noch ein "O" und "o".

    Poste mal mehr von der Ausgabe. Auch, wenn sich die Zeilen wiederholen

    Sabrina

  17. #17
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Sabrina,

    hab testhalber meinem Server angepingt. Da dürfte es so sein wie erwartet. (siehe unten). Wenn ich die R61 anpinge gehts nur einmal wenn der Tunnel down ist. Nach einer Stunde warten geht der Tunnel wieder down und ich hab wieder einen Versuch immer ohne "o","O". Muss dazu sagen, dass die R65 die R61 anpingt, umgekehrt kann ich es nicht testen.
    So wie ich das verstehe, sehe ich den Tunnelaufbau der durch den Ping ausgelöst wurde. Das Echo des Pings geht dann bereits durch den Tunnel und wird durch den "accept src..." rausgefiltert.
    Nachdem ich auf dem Terminalserver teste kann ich den Filter nicht weglassen, da der Remotezugiff ständig über den beobachteten Port komuniziert.
    Werde demnächst zur R65 fahren und das Ganze vom Interen Netz wiederholen, melde mich dann wieder...

    lg Roland


    [Expert@****cp]# fw monitor -e "accept src=85.***.**.211;"
    monitor: getting filter (from command line)
    monitor: compiling
    monitorfilter:
    Compiled OK.
    monitor: loading
    monitor: monitoring (control-C to stop)
    External:i[60]: 85.***.**.211 -> 85.***.***.227 (ICMP) len=60 id=29302
    ICMP: type=0 code=0 echo reply id=10070 seq=48389
    External:I[60]: 85.***.**.211 -> 192.168.134.111 (ICMP) len=60 id=29302
    ICMP: type=0 code=0 echo reply id=512 seq=48389
    Internal:o[60]: 85.***.**.211 -> 192.168.134.111 (ICMP) len=60 id=29302
    ICMP: type=0 code=0 echo reply id=512 seq=48389
    Internal:O[60]: 85.***.**.211 -> 192.168.134.111 (ICMP) len=60 id=29302
    ICMP: type=0 code=0 echo reply id=512 seq=48389
    External:i[60]: 85.***.**.211 -> 85.***.***.227 (ICMP) len=60 id=29303
    ICMP: ...
    monitor: caught sig 2
    monitor: unloading

  18. #18
    Join Date
    2009-05-25
    Location
    Austria
    Posts
    12
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Hallo Sabrina,

    bin nun ins interne Netz. Hier bekomme ich folgendes beim pingen. Kannst Du da was rauslesen ?

    lg Roland

    [Expert@****cp]# fw monitor -e "accept dst=192.168.1.3;"
    monitor: getting filter (from command line)
    monitor: compiling
    monitorfilter:
    Compiled OK.
    monitor: loading
    monitor: monitoring (control-C to stop)
    Internal:i[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21885
    ICMP: type=8 code=0 echo request id=512 seq=62727
    Internal:I[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21885
    ICMP: type=8 code=0 echo request id=512 seq=62727
    External:o[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21885
    ICMP: type=8 code=0 echo request id=512 seq=62727
    Internal:i[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21888
    ICMP: type=8 code=0 echo request id=512 seq=62983
    Internal:I[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21888
    ICMP: type=8 code=0 echo request id=512 seq=62983
    External:o[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21888
    ICMP: type=8 code=0 echo request id=512 seq=62983
    Internal:i[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21891
    ICMP: type=8 code=0 echo request id=512 seq=63239
    Internal:I[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21891
    ICMP: type=8 code=0 echo request id=512 seq=63239
    External:o[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21891
    ICMP: type=8 code=0 echo request id=512 seq=63239
    Internal:i[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21894
    ICMP: type=8 code=0 echo request id=512 seq=63495
    Internal:I[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21894
    ICMP: type=8 code=0 echo request id=512 seq=63495
    External:o[60]: 192.168.134.111 -> 192.168.1.3 (ICMP) len=60 id=21894
    ICMP: type=8 code=0 echo request id=512 seq=63495
    monitor: caught sig 2
    monitor: unloading
    [Expert@****cp]#

  19. #19
    Join Date
    2009-05-24
    Location
    Bremen, Germany
    Posts
    30
    Rep Power
    0

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Auf den ersten Blick fällt mir auf, dass hier offenbar die chain nicht richtig durchlaufen wird (iIoO). Das "große O" fehlt.

    Das Phänomen hatte ich glücklicher Weise noch nicht.
    Da ich gerade unterwegs bin kann ich nicht nachschauen, woran's liegen könnte.

    Hast du mal nachgeguckt, was die Doku zum fw monitor sagt?

  20. #20
    Join Date
    2008-07-31
    Location
    Netherlands, Europe
    Posts
    1,146
    Rep Power
    13

    Default Re: VPN von R65 zu R61 steht, Ping kommt nicht durch

    Um heraus zu finden wieso den O fehlt kan mann dieses commando benutzen:
    fw ctl zdebug drop | grep 192.168.1.3
    Es wierd auch fehlen wenn das destinations adresse geNATted wird. Auch when die 192.168.1.3 am andere seite dess tunnels ist, dann wird es auch nicht vorherr kommen, weil es in der O fasen encrypted wird.
    Diesen kunnen sie ansehen wenn sie mahl fw ctl chain eingebt, dieses commando wird ihnen den folge in der ein und ausgehenden streams geben.
    Hoffe das dieses ein bischen hilft.

    Ich habe nochmal die ganze post durchgelesen und habe nog etwas anmerkungen.
    Diesem trace:
    External:i[60]: 85.***.**.211 -> 85.***.***.227 (ICMP) len=60 id=29302
    ICMP: type=0 code=0 echo reply id=10070 seq=48389
    External:I[60]: 85.***.**.211 -> 192.168.134.111 (ICMP) len=60 id=29302
    ICMP: type=0 code=0 echo reply id=512 seq=48389
    lass mich denken das hier gar KEIN tunnel benutzt werd? Hier werd am eingang des packetes ein NAT ausgefuhrt und das packet geht weiter am server an 192.168.134.111 When einen tunnel benutzt wahre dan hat das erstem packet niemals einfach ein ICMP packet gewesen aber einem encryptes packet van R61 zum R65 IP adresse.

    Auf den expert prompt mussen sie mal webui eingeben um die Web Gui ein zu schalten.
    Last edited by msjouw; 2009-06-18 at 13:46.
    Regards, Maarten.
    Triple MDS on R77.30, MDS on R80.10, VSX, GAIA.

Page 1 of 2 12 LastLast

Similar Threads

  1. "Die" Konferenz steht vor der Tür
    By Yasushi Kono in forum German
    Replies: 1
    Last Post: 2010-09-24, 21:03
  2. Cannot ping VIP address!
    By sujan45 in forum Clustering (Security Gateway HA and ClusterXL)
    Replies: 12
    Last Post: 2010-06-28, 07:35
  3. Ping to NAT IP
    By manuadoor in forum NAT (Network Address Translation)
    Replies: 0
    Last Post: 2010-01-06, 02:20
  4. Can not Ping to the Internet
    By Dende in forum SmartDashboard
    Replies: 10
    Last Post: 2009-09-22, 10:04
  5. Replies: 2
    Last Post: 2009-05-13, 05:10

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •