3CX DLL-Sideloading attack: What you need to know
Hallo zusammen,
Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen.
Wir haben mehrere Geräte (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut.
Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Geräte zugreifen müssen um evt. was zu Prüfen, die Mitarbeiter im Homeoffice
wählen sich bei uns über SSL VPN ein und sind somit mit dem Hausnetz verbunden.
Jetzt zur Fragen:
Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Geräte zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin.
Folgendes besteht schon:
SSL VPN Access
SSL VPN Pool = 10.81. xxx.x
SSL VPN Zugriffsregel / mit Übereinstimmung mit bekannten Benutzern und Gruppen
IPSec Tunnel zum externe Gerat = 172.xx.xxx.x
LAN -> IPsec / Regel
IPsec-->LAN / Regel
Vielen Dank im voraus für die Unterstützung
Hallo
erstmal dank für die schnelle Antwort
Punkt 1, ist aktiviert das brauchen wir Admins ja
Punkt 2 . hier mal ein paar screenshots was wir an regeln haben
folgendes habe ich nicht
NAT MASQ / wie erstelle ich die genau
VPN zu VPN für SSL VPN zu IPsec-Netzwerken
Regelgruppe SSL VPN Zugriff Global
SSL VPN Zugriff
Regelgruppe IPsec
IPsec Regeln
IPsec -> LAN / Regel
Für LAN zu VPN nicht erforderlich, noch für VPN zu VPN-Regel, wenn der Datenverkehr von SSL VPN zu IPsec kommunizieren möchte.
Wenn der Datenverkehr für das SSL-VPN mit IPsec kommunizieren möchte, stellen Sie auch sicher, dass unter dem IPsec-Netzwerk > lokales Netzwerk ein SSL-VPN-Subnetz erwähnt wurde und unter dem Remote-Netzwerk für das Remote-Gerät > Netzwerk > SSL-VPN-Subnetz erwähnt werden sollte.
Und was nun die Linked NAT-Regel betrifft, verweisen Sie auf das KBA unten: https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/RulesAndPolicies/NATRules/RulesPoliciesCreateFirewalRuleWithLinkedNATRule/index.html
Thanks & Regards,_______________________________________________________________
Vivek Jagad | Team Lead, Global Support & Services
Sophos Community | Product Documentation | Sophos Techvids | SMSIf a post solves your question please use the 'Verify Answer' button.
erstmal dank das du mich da ein bisschen unterstütz
sorry aber ich bin mit der Sophos XG leider nicht so vertragt :(
ich hab jetzt folgendes gemacht , ich hoff ich bin da jetzt auf dem richten weg
Linked NAT-Regel hab ich noch nicht angelegt
Folgendes hab ich jetzt angelegt
SSL-VPN --> IPsec Tunnel
Folgendes hab ich jetzt in die LAN zu IPsec Regel hinzugefügt
IPsec-Verbindungen
Lokales Subnetz / SSL VPN Network hinzugefügt
Es sieht so aus, als hätte der Tunnel zwischen dem SSL-Von-Subnetz und der Gegenstelle ihn noch nicht eingerichtet.
Stellen Sie also sicher, dass unter der Remote-FW > unter den Remote-Subnetzen der SSL-VPN-Bereich erwähnt wird.
Weiterhin ist folgendes KBA hilfreich: https://support.sophos.com/support/s/article/KB-000037043?language=en_US
ops stimmt ja :)
hab ich jetzt eingerichtet und sind beide Status Meldungen auf Grün.
ein Ping setzten vom SSL VPN geht ja noch nicht ? da muss ich ja erst Linked NAT MASQ Regel anlegen das der Datentausch funktioniert richtig ?
Ja, stellen Sie sicher, dass Sie ein Linked NAT für den VPN-zu-LAN-Verkehr erstellen. Durch die Diagnose > Paketerfassung können Sie feststellen, ob der Datenverkehr von der richtigen Regel stammt oder nicht: https://support.sophos.com/support/s/article/KB-000035761?language=en_US
irgendwo hab ich ein Denkfehler was mach ich falsch ,
leider kann ich das Externe Gerät immer noch nicht ansprechen per Ping
Sie haben MASQ mit SSL VPN Pool, was falsch ist. Wählen Sie einfach MASQ aus, um nur für VPN-zu-LAN-verknüpfte NAT-Regeln zu verwenden.
Also nur in Ursprüngliche Quelle Internes LAN auswählen und in Übersetzte Quelle (SNAT) MASQ eintragen
Ja, wir brauchen kein NAT für die VPN-zu-VPN-Regel, nur für VPN-zu-LAN lassen Sie sogar das Quellnetzwerk und das Zielnetzwerk auch beliebig sein > klicken Sie auf Linked NAT und wählen Sie dann einfach MASQ in SNAT!Stellen Sie sicher, dass diese Regeln ganz oben stehen!
Du kannst kein MASQ für den Tunnel definieren.
Du musst ein Object dort erstellen, welches aus dem IPsec Tunnel (Local Network) entspricht. Das heißt, erstell einfach eine IP Host aus dem 192.168. Netz von dir und wähle es im NAT als Translated to aus.
Das sollte funktionieren.
Siehe auch: www.youtube.com/watch
__________________________________________________________________________________________________________________