Sophos XG 85w - RemoteAcces SSL VPN korrekt konfigurieren

Hi Community,


ich benötige Hifle von den Sophos Profis.

Vermutlich ist es nur ein kleines Problemchen, dass ich aber einfach momentan nicht finde.

Ich muss vorweg sagen, dass ich mich erst seit kurzem mit dem Thema Sophos beschäftige, nun zu meinem Problem:


-----------

Ich habe ein Sophos XG85w im Einsatz, die hinter einer Fritzbox 7490 angeschlossen ist.

Die Sophos Firewall soll 4 Usern eine SSL VPN über den Sophos Client ermöglichen.

Über die Fritzbox läuft die Telefonie, DynDNS und als Exposted Host ist die Sophos Firewall eingetragen.

Kurz der Aufbau des Netzes ( Wifi nicht mitinbegriffen )

Fritzbox ( 192.168.160.1 ) ----> Sophos XG 85w am WAN Port (192.168.160.153).

Sophos am LAN Port ( 172.31.17.254 )         DHCP Bereich ( 172.31.17.100 - 172.31.17.170 ).

SSL-VPN Einstellungen: IPv4 Lease Bereich : 10.10.10.100-10.10.10.170

Die Benutzer wurden unter USER angelegt und in den Einstellungen "SSL-VPN Fernzugriff" zu einer Richtlinie hinzugefügt. Dort wurde auch unter dem Punkt zugelassene Netzwerkressourcen das Interne Netzwerk angegeben.


Es ist eine NAT Regel eingerichtet, damit das Interne Netzwerk ins Internet kommt.

Ich kann von draußen auch das Userportal über den DynDNS Namen perfekt erreichen und mir den OpenVPN Client + Conf downloaden.

Wenn ich mich nun mit dem Sophos Client zur Firewall verbinden will, bekomme ich keine Verbindung hin.

Den Auszug im Fehlerlog des Sophos Clients habe ich mal mit angehängt.

Ich denke es wird irgendwo eine Firewall Regel oder was ähnliches fehlen, deßhalb würde ich mich freuen, wenn ihr mir kurze Tipps geben könntet wo ich was einrichten oder den Fehler suchen müsste.


Danke im voraus

MFG Gerber

Log_VPN.txt
Fri Jul 22 10:47:46 2016 OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jun 14 2016
Fri Jul 22 10:47:46 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Enter Management Password:
Fri Jul 22 10:47:46 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Jul 22 10:47:46 2016 Need hold release from management interface, waiting...
Fri Jul 22 10:47:47 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'state on'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'log all on'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'hold off'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'hold release'
Fri Jul 22 10:47:55 2016 MANAGEMENT: CMD 'username "Auth" "dominikg"'
Fri Jul 22 10:47:55 2016 MANAGEMENT: CMD 'password [...]'
Fri Jul 22 10:47:55 2016 Socket Buffers: R=[65536->65536] S=[49152->49152]
Fri Jul 22 10:47:55 2016 Attempting to establish TCP connection with [AF_INET]192.168.160.153:8443 [nonblock]
Fri Jul 22 10:47:55 2016 MANAGEMENT: >STATE:1469177275,TCP_CONNECT,,,,,,

  • Hallo,

    Hast Du Firewallregeln erstellt, die den Verkehr von VPN>LAN und von LAN >VPN zulassen???

    Wenn nicht kommst Du nur auf die Oberfläche der Sophos aber es läuft kein VPN Verkehr.

    Dirk

  • In reply to DirkJung:

    Hi Dirk,

    danke zunächst für die Hilfe.

    Ich habe den ersten Fehler gefunden xD, es war bei dem Punkt Override Hostnanme kein Eintrag hinterlegt.

    Wenn ich dort den DynDNS Namen eintrage kommt eine Verindung zustande.

    Nun habe ich noch ein weiteres Problem:

    Ich bekomme nun die IP Adresse 10.10.10.101 zugewiesen.

    Wenn ich nun auf das Interne Netzwerk zugreifen will bekomme ich kein Ping und keine Verindung in das Netzwerk hin.

    Zugleich kann ich auch nicht im Internet surfen.

    Ich habe FIrewall Regel " VPN -> LAN" und auch shcon extra ein VPN Host Netz angelegt und dieses in das LAN Netz zugelassen, leider ohne Erfolg.

    Ist es auch korrekt, dass ich kein Gateway zugewiesen bekomme ??

    Danke im voraus

    Gruß Philipp

  • In reply to Phil-:

    So danke für die Hilfe...


    Es funktioniert nun alle super.

    Eine Frage hätte ich jedoch noch.

    Bei den größeren Sophos Firewalls gibt es eine Einstellung, dass bei dem VPN Verkehr zum surfen der eigene Hausanschluss benutz wird und nu der Traffic der wirklich über den VPN soll, durch den Tunnel geleitet wird.

    Gibt es so eine Eisntellung auch bei der XG Firewall, damit nicht der Internet Traffic über den Tunnel geht ?

    Grüße Philipp

  • In reply to Phil-:

    So und nochmal eine kurzes EDIT:

    In den SSL Einstellungen gibt es ein Punkt ( als Standardgateway benutzen).

    Über diesen Punkt kann man einstellen ob der Traffic durch den Tunnel oder über die eigenene Internetleitung geleitet wrid.

    Danke nochmals für die Hilfe.

    Grüße Philipp

  • In reply to Phil-:

    Hallo Philipp,

    was hast du eingestellt damit der Zugriff auf das Netzwerk funktioniert? Ich hätte das selbe Problem.

    Gruß

    Martin

  • In reply to MartinZentner:

    Hi Martin,


    das Problem war bei mir, dass der SSl-Client nicht die Verbindung zu der DynDNS Adresse aufgebaut hat (Logfile).

    In den Einstellungen "SSL-VPN-Einstellungen" musste unter dem Punkt "Hostname" überschreiben, die DynDNS Adresse eingetragen werden.

    Danach ist im Logfile korrekt zusehen, dass die Vebrindung zum DynDNS Name aufgebaut wird.

    Zusätzlich muss natürlich eine Firewall Regl für den VPN Traffic in das Netzwerk erlaubt werden.

    Ich habe nur momentan noch mit einem Problem zu kämpfen:
    - Wenn ich über VPN verbunden bin kann ich die IP-Adressen korrekt anpingen, leider funktioniert die Namensauflösung nicht.

    Ich habe die DNS Server mitgegeben, bekomme aber über nslookup ein Timout.


    hat hierzu jemand eine Idee ?

    MFG Philipp

  • In reply to Phil-:

    Hi Philipp,

    wie sehen denn deine Firewall Regeln aus?

    Ich bin per VPN verbunden kann aber nicht anpingen. Habe als Source Zone-VPN / Networks - Any / Services - Any und immer als Ziel Lan und Netzwerke Port1

    Da geht aber nichts.

    Hättest du eine Idee?

    Gruß

    Martin

  • In reply to MartinZentner:

    Morgen Martin,

    1.) Hast du denn generell keinen Zugriff auf das Netzwerk ?? oder funktioniert nur ein Ping in das Netzwerk nicht ??

    Falls nur der ping nicht funktioniert, bitte mal ein Client oder einen Server anpingen, der sich auch sicher aus dem internen Netz anpingen lässt ( Firewall etc)

    2.) Hast du in den Firewall Regeln ein IN Traffic ?? kommt Traffic an ??

    3.) Ist die Firewall Benutzerbasierend ? und du hast eventuell vergessen den richtigen Benutzer hinzuzufügen, somit greift die Regel für den verbunden Benutzer nicht?

    4.) Ich habe gerade nochmals nachgesehen, ich habe bei mir im Ziel noch den WAN Port mit angegeben.

    Kannste ja gerne mal eine Rückmeldung geben, danke.

    MFG Philipp

  • In reply to Phil-:

    Hallo zusammen,

    ich würde dieses Thema gerne nochmal aufgreifen.
    Ich bin genau nach dieser Anleitung vorgegangen:
    https://community.sophos.com/kb/en-us/122769

    Bei Override hostname habe ich meinen Dyndns-Hostname eingetragen (geht auch über die Fritzbox). In der Fritzbox ist die XG als Exposed Host eingetragen.

    Ich kann auch eine VPN-Verbindung aufbauen... in der XG zeigt er mir auch an, dass ich verbunden bin.

    Nur komme ich auf kein einziges Gerät hinter der XG... weder Ping noch irgendwas anderes... hat jemand einen Tipp für mich? Kann ja eigentlich "nur" eine simple Einstellung sein, oder?


    Danke euch!

    Gruß
    Marius

  • In reply to Marius Gawollek:

    Hi Marius,

    1.) wird der VPN wirklich korrekt aufgebaut? bekommst du eine IP Adresse aus dem Ssl Vpn Bereich zugewiesen?

    2.) Hast du in den Firewall Regeln ein IN Traffic erstellt? Kommt Traffic auf der Regel an?

    3.) Ist die Firewall Regel Benutzerbasierend ? und du hast eventuell vergessen den richtigen Benutzer hinzuzufügen, somit greift die Regel für den verbunden Benutzer nicht?

    4.) In welche Gruppe werden die Benutzer für den VPN gepackt? Ist diese in der Regel erlaubt?

    5.) welche Netzwerke sind in den allgemeinen Vpn Einstellungen erlaubt?

    Dort können die Netzwerke, welche erreicht werden sollen angegeben werden.

    Grüße Phil

  • In reply to Phil-:

    Hi Phil,

    danke dir erst einmal für deine schnelle Antwort.
     Ja, die VPN-Verbindung wird richtig aufgebaut. Es erscheint folgendes Fenster und ich bekomme eine IP aus dem VPN Bereich:

    In der Firewall ist auch zu sehen, dass ich verbunden bin:



    auffällig ist jedoch, dass scheinbar kein Up- oder Download stattfindet, alles steht auf 0:

    Es wurde eine Firewallregel für den VPN-Verkehr erstellt:

    auch hier ist zu sehen, dass eingehend und ausgehend auf 0 steht...


    Die Firewallregel ist gruppenbasierend, ich habe eine Gruppe erstellt, in der ich auch Mitglied bin. Hier die Regel:

    und hier die Gruppe:

    Hier noch einmal die VPN policy:

    In den allgemeinen VPN Einstellungen wird folgendes erlaubt:

     

    Ich hoffe, dass die Screenshots hilfreich sein werden... und dass ich alle Fragen beantwortet habe :-)

    Lieben Gruß und vielen vielen Dank!

    Marius

  • In reply to Phil-:

    Hallo, 

    deine frage zum dem Traffic ist eigentlich auch ganz einfach zu beantworten. 

    Du kannst in den VPN SSL Einstellung sagen ob der VPN als Standardgateway benutzt werden soll oder nicht. 

     

    Je nachdem wie du Ihn einstellst geht der "Internet" Traffic durch die Firewall oder durch den Router des Homeoffices etc. . Für die XG85 würde ich dir jedoch empfehlen die Funktion deaktiviert zu lassen und auf eine zusätzliche Endpoint Lösung zu gehen, damit du die Firewall nicht überlastest. 

     

    Solltest du noch weitere Fragen stehen wir dir gerne zur verfügung.

     

    n33dfull

  • In reply to n33dfull:

    Hi Marius,

    mit Screenshots ist doch alles etwas einfacher ;-).

    Leider sieht man auf dem ein oder anderen Screenshot nicht das komplette Bild.

    Punkt 1.)

    SSL VPN Remote Access: hast du dort unter dem Punkt Tunnel Access, das Interne Netzwerk angegeben und nicht versehentlich nur einen Host im Netzwerk, oder garkein Netzwerk?

    Punkt 2.)

    Stimmen die Definitionen in der Firewall Regel? Remote SSL VPN Netzwerk und Local Subnet?

    Punkt 3.)

    Was steht in der Firewall Regel unter dem PUnkt "Identity" und ist sonst noch etwas in der Firewall Regel konfiguriert?

    Z.B. blocken des Clients ohne Heartbeat?

    Punkt 4.)

    Update der Sophos XG Appliance durchgeführt?

    Punkt 5.)

    Wie genau ist die Sophos konfiguriert?
    Was hängt vorder Sophos XG Firewall?
    Ist eventuell dort bereits ein VPN konfiguriert?

     

     

    Grüße Phil

  • In reply to Phil-:

    Hi Phil,

    habe noch mal alles durchgeschaut und finde den Fehler einfach nicht!
    Ich habe noch mal die von dir genannten Sektionen angeschaut und gescreenshotet:

    zu 1)

     

    zu 2 und 3 hier die gesamte VPN Firewallregel:




     

    Update, also aktuelle Firmware ist vorhanden. 
    Vor der Sophos ist eine Fritzbox mit Exposed Host zur Sophos. 

    Unter VPN ist in der Fritzbox nichts eingetragen, also deaktiviert.

    Gruß
    Marius

  • In reply to Marius Gawollek:

    Hi,

    dann machen wir weiter.

    Blöde Frage, wie sieht die Konfiguration der Xg Schnittstellen aus?

    Internal

    External

    Und wie ist der Adressbereich zwischen Fritzbox und Sophos XG WAN Schnittstelle?

    Sind hier in diesen Bereichen irgendwo gleiche IP Adressbereiche vergeben?  

    Dies würde erklären, warum es Probleme mit dem Routing gibt...

    ##

    Sonst sieht die Konfiguration soweit gut aus.

    Sprichst du DNS an oder IP Adressen?

    ##

    Ansonsten würde ich die Vpn Konfiguration aufs minimale runterschrauben und Einschränkungen mit Gruppen usw zunächst weglassen.

    Wenn es funktioniert kannst du die Gruppen in der Firewall Regel und Vpn Konfig einschränken.

    Grüße Phil