{"id":2170,"date":"2010-05-11T20:03:00","date_gmt":"2010-05-11T18:03:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/any-alias-in-firewall-regeln-und-bovpn-probleme\/"},"modified":"2016-08-23T15:29:58","modified_gmt":"2016-08-23T13:29:58","slug":"any-alias-in-firewall-regeln-und-bovpn-probleme","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/05\/any-alias-in-firewall-regeln-und-bovpn-probleme\/","title":{"rendered":"Any-Alias in Firewall-Regeln und BOVPN-Probleme"},"content":{"rendered":"<p>Im Rahmen eines weiteren PCI Compliance Projekts stand vor zwei Wochen auch die Migration einer WatchGuard X5500e von Fireware 10.2.9 nach Fireware XTM 11.2.3 an sowie die Erweiterung um eine zweite X5500e zu einem HA Active\/Passive Cluster. Der Kunde hatte bereits vor einigen Monaten die Migration auf eine fr\u00fchere 11-er Version versucht, war aber daran gescheitert, dass zwar alle \u00fcber den WatchGuard Management Server verwalteten Branch Office VPN-Tunnel funktioniert haben &#8211; nicht jedoch die \u00fcber &#8220;Manual IPSec&#8221; eingerichteten BOVPN-Tunnel zu seinem outgesourceten Rechenzentrum und zu ein paar anderen externen Partnern.<br \/>Ich konnte nun erkennen, dass das Problem <strong>nicht auf Seiten der VPN-Konfiguration<\/strong> lag, sondern in der <strong>Formulierung einiger FIREWALLREGELN<\/strong>. So lautete die Firewall-Regel f\u00fcr &#8220;ping&#8221; <em>From:Any To:Any<\/em>. Offenbar hat aber die Firewall nicht erkannt, dass auch Ziele hinter einem BOVPN-Tunnel zu dem Alias &#8220;Any&#8221; geh\u00f6ren&#8230; Insofern wurden pings trotz korrekt vorhandenem VPN-Tunnel als <strong>Unhandled Internal Packet<\/strong> eingestuft und verworfen. Abhilfe schuf hier die Aufsplittung dieser einen Firewall-Regel in mehrere einzelne Regeln, z.B. <em>Ping.Out.Internet = From:Any-Trusted To:Any-External<\/em> und <em>Ping.Out.VPN = From:Any-Trusted To:Any-BOVPN<\/em> sowie ein paar weitere erforderliche Kombinationen z.B. f\u00fcr die Gegenrichtung <em>From:Any-BOVPN To:Any-Trusted<\/em>. Diese grunds\u00e4tzliche Splittung in separate Firewall-Regeln f\u00fcr klassischen gerouteten Firewall-Traffic und VPN-Traffic hat sich bew\u00e4hrt! Die Migration von 10 auf 11 auf Basis der ge\u00e4nderten Konfigurationsdatei war dann auf Anhieb erfolgreich.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im Rahmen eines weiteren PCI Compliance Projekts stand vor zwei Wochen auch die Migration einer WatchGuard X5500e von Fireware 10.2.9 nach Fireware XTM 11.2.3 an sowie die Erweiterung um eine zweite X5500e zu einem HA Active\/Passive Cluster. Der Kunde hatte bereits vor einigen Monaten die Migration auf eine fr\u00fchere 11-er Version versucht, war aber daran gescheitert, dass zwar alle \u00fcber den WatchGuard Management Server verwalteten &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/05\/any-alias-in-firewall-regeln-und-bovpn-probleme\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">Any-Alias in Firewall-Regeln und BOVPN-Probleme<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[11,86,322,282,283,129,296,292,140,81,335,137,273,279,332],"class_list":["post-2170","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-bovpn","tag-cluster","tag-denied","tag-fireware-11","tag-fireware-xtm","tag-high-availability","tag-ipsec-vpn","tag-konfigurationsdatei","tag-policy-manager","tag-traffic-monitor","tag-unhandled-packets","tag-update","tag-vpn","tag-wsm","tag-xml"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2170"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2170"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2170\/revisions"}],"predecessor-version":[{"id":2352,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2170\/revisions\/2352"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}