SSL VPN-Datenverkehr über einen vorhandenen IPsec-Tunnel

Question

Hallo zusammen, 
 Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen. 
 Wir haben mehrere Ger&auml;te (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut. 
 Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Ger&auml;te zugreifen m&uuml;ssen um evt. was zu Pr&uuml;fen, die Mitarbeiter im Homeoffice 
 w&auml;hlen sich bei uns &uuml;ber SSL VPN ein und sind somit mit dem Hausnetz verbunden. 
 Jetzt zur Fragen: 
 Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Ger&auml;te zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin. 
 Folgendes besteht schon: 
 SSL VPN Access 
 SSL VPN Pool = 10.81. xxx.x 
 SSL VPN Zugriffsregel / mit &Uuml;bereinstimmung mit bekannten Benutzern und Gruppen 
 IPSec Tunnel zum externe Gerat = 172.xx.xxx.x 
 LAN -> IPsec / Regel 
 IPsec-->LAN / Regel 
 
 Vielen Dank im voraus f&uuml;r die Unterst&uuml;tzung

snowfreakxxl · Accepted Answer

Hallo zusammen, 
 erstmal danke an alle f&uuml;r die Unterst&uuml;tzung, 
 Es hat jetzt geklappt, das Problem war das der Client das Subnetz nicht mitbekommt. 
 https://support.sophos.cm/support/s/article/KB-000041768?language=en_US 
 Jetzt funktioniert auch alles. Danke

Vivek Jagad · Answer

Es sieht so aus, als h&auml;tte der Tunnel zwischen dem SSL-Von-Subnetz und der Gegenstelle ihn noch nicht eingerichtet. 
 Stellen Sie also sicher, dass unter der Remote-FW > unter den Remote-Subnetzen der SSL-VPN-Bereich erw&auml;hnt wird. 
 Weiterhin ist folgendes KBA hilfreich: https://support.sophos.com/support/s/article/KB-000037043?language=en_US

LuCar Toni · Answer

Funktioniert es denn nach der &Auml;nderung oben? 
 Die IPsec Route ist nicht notwendig, wenn du mit einem NAT arbeitest, welches "existiert". Das bedeutet, wenn du mit dem Local Network von dir arbeitet.

LuCar Toni · Answer

Noch einmal. Das hat absolut nichts mit der Firewall zu tun. 
 Es ist die SSLVPN Konfiguration. 
 Der SSLVPN Client entscheidet, was er durch den Tunnel schickt. Das wird in den "Permitted Networks" in SSLVPN entschieden. 
 Danach kannst du in der SSLVPN Config bzw. wenn du den SSLVPN tunnel startest, schauen, ob die Route zu 172. gesetzt wird. 
 Wenn nicht, brauchst bzw. kannst du auf der Firewall so viel machen wie du willst - der Client schickt keine Daten zur Firewall.

Vivek Jagad · Answer

Hallo snowfreakxxl , 
 Vielen Dank, dass Sie sich an die Community gewandt haben. Wenn Sie nur m&ouml;chten, dass die SSL-VPN-Benutzer von zu Hause aus auf die Appliance/das Ger&auml;t [XG] zugreifen, stellen Sie in diesem Fall einfach sicher, dass unter Administration > Ger&auml;tezugriff >> HTTPS-Zugriff f&uuml;r aktiviert ist VPN-Zone. 
 F&uuml;r den Rest des Netzwerks, d. h. SSL-VPN-zu-IPsec-Netzwerke, stellen Sie einfach sicher, dass die Remote-Netzwerke und lokalen Netzwerke in IPsec und den Regeln wie ordnungsgem&auml;&szlig; erw&auml;hnt werden LAN zu VPN VPN zu LAN [Linked NAT MASQ] Und VPN zu VPN f&uuml;r SSL VPN zu IPsec-Netzwerken sollte vorhanden sein.

SSL VPN-Datenverkehr über einen vorhandenen IPsec-Tunnel

Top Replies