Reflexion will be End-of-life on March 31,2023. See Sophos Reflexion EoL FAQs to learn more.
Hallo zusammen,
Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen.
Wir haben mehrere Geräte (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut.
Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Geräte zugreifen müssen um evt. was zu Prüfen, die Mitarbeiter im Homeoffice
wählen sich bei uns über SSL VPN ein und sind somit mit dem Hausnetz verbunden.
Jetzt zur Fragen:
Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Geräte zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin.
Folgendes besteht schon:
SSL VPN Access
SSL VPN Pool = 10.81. xxx.x
SSL VPN Zugriffsregel / mit Übereinstimmung mit bekannten Benutzern und Gruppen
IPSec Tunnel zum externe Gerat = 172.xx.xxx.x
LAN -> IPsec / Regel
IPsec-->LAN / Regel
Vielen Dank im voraus für die Unterstützung
Hallo
erstmal dank für die schnelle Antwort
Punkt 1, ist aktiviert das brauchen wir Admins ja
Punkt 2 . hier mal ein paar screenshots was wir an regeln haben
folgendes habe ich nicht
NAT MASQ / wie erstelle ich die genau
VPN zu VPN für SSL VPN zu IPsec-Netzwerken
Regelgruppe SSL VPN Zugriff Global
SSL VPN Zugriff
Regelgruppe IPsec
IPsec Regeln
IPsec -> LAN / Regel
erstmal dank das du mich da ein bisschen unterstütz
sorry aber ich bin mit der Sophos XG leider nicht so vertragt :(
ich hab jetzt folgendes gemacht , ich hoff ich bin da jetzt auf dem richten weg
Linked NAT-Regel hab ich noch nicht angelegt
Folgendes hab ich jetzt angelegt
SSL-VPN --> IPsec Tunnel
Folgendes hab ich jetzt in die LAN zu IPsec Regel hinzugefügt
IPsec-Verbindungen
Lokales Subnetz / SSL VPN Network hinzugefügt
Es sieht so aus, als hätte der Tunnel zwischen dem SSL-Von-Subnetz und der Gegenstelle ihn noch nicht eingerichtet.
Stellen Sie also sicher, dass unter der Remote-FW > unter den Remote-Subnetzen der SSL-VPN-Bereich erwähnt wird.
Weiterhin ist folgendes KBA hilfreich: https://support.sophos.com/support/s/article/KB-000037043?language=en_US
Thanks & Regards,_______________________________________________________________
Vivek Jagad | Team Lead, Global Support & Services
Sophos Community | Product Documentation | Sophos Techvids | SMSIf a post solves your question please use the 'Verify Answer' button.
ops stimmt ja :)
hab ich jetzt eingerichtet und sind beide Status Meldungen auf Grün.
ein Ping setzten vom SSL VPN geht ja noch nicht ? da muss ich ja erst Linked NAT MASQ Regel anlegen das der Datentausch funktioniert richtig ?
Ja, stellen Sie sicher, dass Sie ein Linked NAT für den VPN-zu-LAN-Verkehr erstellen. Durch die Diagnose > Paketerfassung können Sie feststellen, ob der Datenverkehr von der richtigen Regel stammt oder nicht: https://support.sophos.com/support/s/article/KB-000035761?language=en_US
irgendwo hab ich ein Denkfehler was mach ich falsch ,
leider kann ich das Externe Gerät immer noch nicht ansprechen per Ping
Sie haben MASQ mit SSL VPN Pool, was falsch ist. Wählen Sie einfach MASQ aus, um nur für VPN-zu-LAN-verknüpfte NAT-Regeln zu verwenden.
Also nur in Ursprüngliche Quelle Internes LAN auswählen und in Übersetzte Quelle (SNAT) MASQ eintragen
Ja, wir brauchen kein NAT für die VPN-zu-VPN-Regel, nur für VPN-zu-LAN lassen Sie sogar das Quellnetzwerk und das Zielnetzwerk auch beliebig sein > klicken Sie auf Linked NAT und wählen Sie dann einfach MASQ in SNAT!Stellen Sie sicher, dass diese Regeln ganz oben stehen!
Du kannst kein MASQ für den Tunnel definieren.
Du musst ein Object dort erstellen, welches aus dem IPsec Tunnel (Local Network) entspricht. Das heißt, erstell einfach eine IP Host aus dem 192.168. Netz von dir und wähle es im NAT als Translated to aus.
Das sollte funktionieren.
Siehe auch: www.youtube.com/watch
__________________________________________________________________________________________________________________
Hallo Toni,
danke für die Info , mit dem MASQ hat es nicht funktioniert.
meinst du einfach irgendein IP aus dem LAN netz 192.168.xx.x in SNAT eintragen ?
Genau. Am besten eine, die nicht existiert bzw. aktiv verwendet wird.
vom SSL VPN Client kann ich leider immer noch kein Ping an das Externe Gerät senden , Paketerfassung in der FW zeit nichts an
Wenn ich vom LAN netz ein Ping auf das Externe Gerät setzt zeit er aber jetzt im der Packeterfassung den Ping an aber mit der Quell-IP wo ich der NAT Regel im SNAT eingetragen hab. das ist doch nicht Korrekt oder.
Ich komm langsam nicht mehr klar :)