Sophos XG 85w - RemoteAcces SSL VPN korrekt konfigurieren

Hi Community,


ich benötige Hifle von den Sophos Profis.

Vermutlich ist es nur ein kleines Problemchen, dass ich aber einfach momentan nicht finde.

Ich muss vorweg sagen, dass ich mich erst seit kurzem mit dem Thema Sophos beschäftige, nun zu meinem Problem:


-----------

Ich habe ein Sophos XG85w im Einsatz, die hinter einer Fritzbox 7490 angeschlossen ist.

Die Sophos Firewall soll 4 Usern eine SSL VPN über den Sophos Client ermöglichen.

Über die Fritzbox läuft die Telefonie, DynDNS und als Exposted Host ist die Sophos Firewall eingetragen.

Kurz der Aufbau des Netzes ( Wifi nicht mitinbegriffen )

Fritzbox ( 192.168.160.1 ) ----> Sophos XG 85w am WAN Port (192.168.160.153).

Sophos am LAN Port ( 172.31.17.254 )         DHCP Bereich ( 172.31.17.100 - 172.31.17.170 ).

SSL-VPN Einstellungen: IPv4 Lease Bereich : 10.10.10.100-10.10.10.170

Die Benutzer wurden unter USER angelegt und in den Einstellungen "SSL-VPN Fernzugriff" zu einer Richtlinie hinzugefügt. Dort wurde auch unter dem Punkt zugelassene Netzwerkressourcen das Interne Netzwerk angegeben.


Es ist eine NAT Regel eingerichtet, damit das Interne Netzwerk ins Internet kommt.

Ich kann von draußen auch das Userportal über den DynDNS Namen perfekt erreichen und mir den OpenVPN Client + Conf downloaden.

Wenn ich mich nun mit dem Sophos Client zur Firewall verbinden will, bekomme ich keine Verbindung hin.

Den Auszug im Fehlerlog des Sophos Clients habe ich mal mit angehängt.

Ich denke es wird irgendwo eine Firewall Regel oder was ähnliches fehlen, deßhalb würde ich mich freuen, wenn ihr mir kurze Tipps geben könntet wo ich was einrichten oder den Fehler suchen müsste.


Danke im voraus

MFG Gerber

Log_VPN.txt
Fri Jul 22 10:47:46 2016 OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jun 14 2016
Fri Jul 22 10:47:46 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Enter Management Password:
Fri Jul 22 10:47:46 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Jul 22 10:47:46 2016 Need hold release from management interface, waiting...
Fri Jul 22 10:47:47 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'state on'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'log all on'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'hold off'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'hold release'
Fri Jul 22 10:47:55 2016 MANAGEMENT: CMD 'username "Auth" "dominikg"'
Fri Jul 22 10:47:55 2016 MANAGEMENT: CMD 'password [...]'
Fri Jul 22 10:47:55 2016 Socket Buffers: R=[65536->65536] S=[49152->49152]
Fri Jul 22 10:47:55 2016 Attempting to establish TCP connection with [AF_INET]192.168.160.153:8443 [nonblock]
Fri Jul 22 10:47:55 2016 MANAGEMENT: >STATE:1469177275,TCP_CONNECT,,,,,,

  • In reply to Phil-:

    Hi,

    okay, machen wir weiter!
    Also ich wollte noch mal sagen, dass ich wirklich haargenau so vorgegangen bin, wie in dieser Anleitung:
    https://community.sophos.com/kb/en-us/122769 
    außer, dass ich bei Override hostname meinen dyndns-Hostname eingetragen habe, welcher in der Fritzbox unter DynDNS eingetragen ist.

     

    Schnittstellen:

    Hier noch detailierter die Port 2:

    und die br0:



    Die XG läuft im Routing-Mode, NICHT im Bridge-Mode. Das konnte man bei der Ersteinrichtung auswählen.

    In der Fritzbox hat die XG die IP 192.168.112.25.

    Wie bist du denn vorgegangen, Phil? Dann würde ich das alles nochmal rückgängig machen bzw. die XG auf Werkseinstellungen zurücksetzen.

    Ich habe mich noch ein wenig durchgeklickt... kann es sein, dass die Fritzbox trotz Deaktivierung der VPN-Option unter Freigaben Probleme machen kann? Ich habe irgendwo gelesen, dass der VPN-Dienst der Fritzbox strikt untersagt werden muss. Vllt mal die Fritzbox zurücksetzen?

    Grüße
    Marius

  • In reply to Phil-:

    Es gibt oft Geräte, die Port 8443 nicht weiterleiten sondern selbst verwenden. Hast du bereits einen anderen Port getestet? 

  • In reply to LuCar Toni:

    Servus,

    habe es gerade mit Port 8888 versucht, ebenfalls erfolglos...

    Gruß

  • In reply to Marius Gawollek:

    Ich nehme an, nach der Config Änderung wurde auch der neue Client heruntergeladen?

    Könntest du kurz einen Dump durchführen?

    Via SSH mit der XG verbinden.

    Dann 5 - 3 (Advanced Shell)

    Dann 'tcpdump -ni any port 8888' 

    Poste ein Screenshot von der Putty Session, wenn du dich verbindest. 

  • In reply to LuCar Toni:

    Hi Marius,

     

    hast du die Schritte von "ManBearPig" bereits durchgeführt?

    Wäre Interessant, was der TCPDUMP auswirft.

     

    Grüße Phil

  • In reply to Phil-:

    Hallo zusammen,

    sorry für die verspätete Antwort...
    Jetzt wird's auch etwas peinlich, aber manchmal sieht man den Wald vor lauter Bäumen nicht....

    Unter "Local subet" war die ganze Zeit der falsche lokale IP-Bereich eingestellt... ich habs einfach nicht gesehen, keine Ahnung!

    Tut mir Leid! Aber vielen vielen Dank für eure Mühe, war echt klasse!

    Nun läuft alles und ich habe alles so, wie ich es gerne haben wollte! :-)


    Wünsche euch eine entspannte Woche,

    Gruß

    Marius

  • In reply to Marius Gawollek:

    Dann hast du es ja jetzt :) 

    Viel Spaß damit :)

  • In reply to Marius Gawollek:

    Perfekt...

    Ja, solche Geschichten gibt es oft xD. Kleiner Fehler = Große Auswirkung :D

     

    Viel Spaß

     

    Grüße Phil

  • In reply to Phil-:

    Hallo,

    tut mir Leid dass ich den Threat nochmal rauskramen muss.
    Ich habe genau das gleiche Problem.

     

    Meine LAN IP der Sophos: 192.168.0.2

    Habe soweit alles eingerichtet nach Anleitung, wie bei Marius auch.

     

    Als local subnet habe ich 192.168.0.0/24 eingetragen. Passt das?

  • In reply to Dominik Nill:

    Hi Dominik,

    hast du schon ein Log vom Client ? Wenn Ja, dann Poste es bitte mal. 

    Was auch immer wichtig ist, eine passende Firewall Regel mit dem VPN Netz zu erstellen, es reicht nicht aus die Zone SSL VPN zu verwenden.

    Du kannst mir heute auch gerne ein PN schreiben. 

     

    Noch mal kurzer Überblick:

    1. Fritzbox exposed Host auf die Sophos WAN Schnittstelle

    2. Dyn DNS auf NAT zugewiesene öffentliche Adresse oder über Fritzbox einrichten

    3. SSL-VPN Profil erstellen --> Mitglieder hinzufügen --> Zugelassene IP Ressourcen (LAN INTERN DER SOPHOS)

    4. VPN-Einstellungen

    - SSL Zertifikat - Kann man bspw. Appliance Certificate wählen

    - hostname überscchreiben mit dyndns Eintrag

    - IPv4 Lease-Bereich --> Das für das SSL VPN Netz zugewiesene NETZ(sollte noch nicht vorhanden sein in der Umgebung), der Rest kann unberührt bleiben

    - Als Standardgateway verwenden, würde ich nicht nutzen da sonst der ganze Internet Traffic durch den VPN geht

    5. WICHTIG:

    Firewall Regel erstellen, nicht ANY/ALL Als Ziel/Quell Netzwerk wählen. 

    Quellzone= VPN

    Quellnetzwerke = neue IP Anlegen --> in IP Adresse den IPv4 Lease Bereich in Netzschreibweise anfügen und bei TYP Netzwerk wählen.

     

    Zielzone = LAN

    Zielnetzwerke = LAN INTERN DER SOPHOS 

    Dienste = Bspw. RDP oder ANY

     

    Rest kannst du frei konfigurieren.

     

    VG