This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN-Datenverkehr über einen vorhandenen IPsec-Tunnel

Hallo zusammen, 

Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen.

Wir haben mehrere Geräte (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut.

Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Geräte zugreifen müssen um evt. was zu Prüfen, die Mitarbeiter im Homeoffice

wählen sich bei uns über SSL VPN ein und sind somit mit dem Hausnetz verbunden. 

Jetzt zur Fragen:

Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Geräte zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin. 

Folgendes besteht schon: 

SSL VPN Access

SSL VPN Pool = 10.81. xxx.x

SSL VPN Zugriffsregel / mit Übereinstimmung mit bekannten Benutzern und Gruppen

IPSec Tunnel zum externe Gerat = 172.xx.xxx.x

LAN -> IPsec / Regel 

 IPsec-->LAN / Regel 

Vielen Dank im voraus für die Unterstützung 



This thread was automatically locked due to age.
Parents
  • Hallo

    erstmal dank für die schnelle Antwort 

    Punkt 1, ist aktiviert das brauchen wir Admins ja 

    Punkt 2 .  hier mal ein paar screenshots was wir an regeln haben

    folgendes habe ich nicht 

    NAT MASQ / wie erstelle ich die genau 

    VPN zu VPN für SSL VPN zu IPsec-Netzwerken 

     

     Regelgruppe SSL VPN Zugriff Global  

     SSL VPN Zugriff   

     Regelgruppe IPsec  

     IPsec Regeln   

      LAN -> IPsec / Regel

    IPsec -> LAN / Regel

  • Hallo Vivek Jagad

    erstmal dank das du mich da ein bisschen unterstütz 

    sorry aber ich bin mit der Sophos XG leider nicht so vertragt :(

    ich hab jetzt folgendes gemacht , ich hoff ich bin da jetzt auf dem richten weg 

    Linked NAT-Regel hab ich noch nicht angelegt 

    Folgendes hab ich jetzt angelegt

     SSL-VPN --> IPsec Tunnel

    Folgendes hab ich jetzt in die LAN zu IPsec Regel hinzugefügt

    IPsec-Verbindungen

    Lokales Subnetz / SSL VPN Network hinzugefügt

     

  • irgendwo hab ich ein Denkfehler was mach ich falsch ,

    leider kann ich das Externe Gerät immer noch nicht ansprechen per Ping 

  • Sie haben MASQ mit SSL VPN Pool, was falsch ist. Wählen Sie einfach MASQ aus, um nur für VPN-zu-LAN-verknüpfte NAT-Regeln zu verwenden.

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Technical Account Manager 3 | Cyber Security Evolved


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • Also nur in Ursprüngliche Quelle Internes LAN auswählen und in Übersetzte Quelle (SNAT)  MASQ eintragen 

  • Ja, wir brauchen kein NAT für die VPN-zu-VPN-Regel, nur für VPN-zu-LAN lassen Sie sogar das Quellnetzwerk und das Zielnetzwerk auch beliebig sein > klicken Sie auf Linked NAT und wählen Sie dann einfach MASQ in SNAT!
    Stellen Sie sicher, dass diese Regeln ganz oben stehen!

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Technical Account Manager 3 | Cyber Security Evolved


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • Du kannst kein MASQ für den Tunnel definieren.

    Du musst ein Object dort erstellen, welches aus dem IPsec Tunnel (Local Network) entspricht. Das heißt, erstell einfach eine IP Host aus dem 192.168. Netz von dir und wähle es im NAT als Translated to aus.

    Das sollte funktionieren.

    Siehe auch: www.youtube.com/watch

    __________________________________________________________________________________________________________________

  • Hallo Toni, 

    danke für die Info , mit dem MASQ hat es nicht funktioniert. 

    meinst du einfach irgendein IP aus dem LAN netz 192.168.xx.x in SNAT eintragen ? 

  • Genau. Am besten eine, die nicht existiert bzw. aktiv verwendet wird. 

    __________________________________________________________________________________________________________________

  • vom SSL VPN Client kann ich leider immer noch kein Ping an das Externe Gerät senden , Paketerfassung in der FW zeit nichts an

    Wenn ich vom LAN netz ein Ping auf das Externe Gerät setzt zeit er aber jetzt im der Packeterfassung den Ping an aber mit der Quell-IP wo ich der NAT Regel im SNAT eingetragen hab. das ist doch nicht Korrekt oder. 

    Ich komm langsam nicht mehr klar :) 

  • Wenn du im Packet Filter der Firewall nichts siehst, stimmt dein SSLVPN Config nicht. In der SSLVPN Config vom User musst du auch das Remote Netz von dem anderen Standort angeben. Ansonsten schickt der Client nichts zur Firewall. 

    __________________________________________________________________________________________________________________

  • Verwenden Sie die oben erwähnte KBA für die Paketerfassung, die dabei hilft, den Verkehrsfluss zu bestimmen

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Technical Account Manager 3 | Cyber Security Evolved


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

Reply Children
No Data