Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN-Datenverkehr über einen vorhandenen IPsec-Tunnel

Hallo zusammen, 

Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen.

Wir haben mehrere Geräte (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut.

Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Geräte zugreifen müssen um evt. was zu Prüfen, die Mitarbeiter im Homeoffice

wählen sich bei uns über SSL VPN ein und sind somit mit dem Hausnetz verbunden. 

Jetzt zur Fragen:

Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Geräte zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin. 

Folgendes besteht schon: 

SSL VPN Access

SSL VPN Pool = 10.81. xxx.x

SSL VPN Zugriffsregel / mit Übereinstimmung mit bekannten Benutzern und Gruppen

IPSec Tunnel zum externe Gerat = 172.xx.xxx.x

LAN -> IPsec / Regel 

 IPsec-->LAN / Regel 

Vielen Dank im voraus für die Unterstützung 



This thread was automatically locked due to age.
Parents
  • Hi snowfreakxxl

    Wie von LuCar Toni erwähnt, liegt das Problem in der Konfiguration der SSL-VPN-Richtlinie (Fernzugriff) und im Routing.

    SSL-VPN-Richtlinie bearbeiten (Fernzugriff)

    Gehen Sie zu VPN > SSL VPN (Fernzugriff).
    Bearbeiten Sie die bestehende SSL-VPN-Fernzugriffsrichtlinie und fügen Sie das IPsec-Fernnetz unter Erlaubte Netzwerkressourcen hinzu.
    Klicken Sie auf Übernehmen.

    Erstellen eines IP-Netzwerkobjekts für den IPv4-Lease-Bereich des SSL-VPN-Fernzugriffs

    So ermitteln Sie den aktuellen IPv4-Lease-Bereich für SSL VPN (Fernzugriff):
    1. gehen Sie zu Konfigurieren > VPN.
    2. klicken Sie auf VPN-Einstellungen anzeigen.

    3. suchen Sie den IPv4-Lease-Bereich

    In diesem Beispiel ist der aktuelle IPv4-Lease-Bereich 10.81.234.5 - 10.81.234.55

    4.Erstellen Sie unter System > Host und Dienste > IP-Host ein Netzwerkobjekt für den IPv4-Lease-Bereich.

    5. Klicken Sie auf Speichern.

    Adding a firewall rule

    1. Gehen Sie zu Regeln und Richtlinien > Firewall-Regeln > Firewall-Regel hinzufügen > Neue Firewall-Regel.
    2 Konfigurieren Sie die Einstellungen wie unten gezeigt:

    Quellzonen :VPN
    Quellnetzwerke und -geräte : SSL-VPN-Fernzugriff IPv4-Lease-Bereich

    Ziel-Zonen: VPN
    Ziel-Netzwerke: IPsec-Fernnetzwerk
    Dienste: ANY

    Klicken Sie auf Verknüpfte NAT-Regel erstellen.

    Klicken Sie im Feld Translated Source (SNAT) auf die Dropdown-Liste und dann auf Create New > IP Address und erstellen Sie einen Eintrag für die IP der lokalen LAN-Schnittstelle

    .

    Klicken Sie auf "Speichern".
    Der folgende Screenshot zeigt die verknüpfte NAT-Regel. Klicken Sie auf "Speichern".

    Klicken Sie auf Speichern, um die Firewall-Regel zu speichern.

    Hinzufügen einer IPsec-Route

    Greifen Sie über SSH auf die Sophos Firewall CLI der Hauptniederlassung zu.
    Wählen Sie Option 4 für Device Console aus dem Menü.
    Fügen Sie die IPsec-Route mit dem folgenden Befehl hinzu:

    console> system ipsec_route add net 10.xxx/255.xxx tunnelname IPsecTunnel (Name des IPsec-Tunnels)

    d.h.: console> system ipsec_route add net 10.1.10.0/255.255.255.0 tunnelname To_Branch_Office

    Hinweis: 10.1.10.0 ist nur ein Beispiel. Fügen Sie das Subnetz des tatsächlichen Remote-Netzwerks hinzu, das auf dem IPSEC Site to Site Tunnel beworben wird.

    Um zu überprüfen, ob die IPsec-Route erfolgreich hinzugefügt wurde, geben Sie den folgenden Befehl ein:

    console> system ipsec_route show tunnelname host/network netmask to_branch_office 10.1.10.0 255.255.255.0

    Vielen Dank und beste Grüße

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo

    Danke für die Anleitung die kenne ich schon :) 

    Frage zur IPsec Route über SSH

    Warum genau muss ich den die IPsec Route über ssh anlegen ? ich hab doch schon eine IPSec route zum gerät. gibt es da nicht ne andere Lösung ? ich müsste es ja dann fast für 50 Externe Geräte machen wo zu uns eine Verbindung aufbauen.

  • Funktioniert es denn nach der Änderung oben? 

    Die IPsec Route ist nicht notwendig, wenn du mit einem NAT arbeitest, welches "existiert". Das bedeutet, wenn du mit dem Local Network von dir arbeitet. 

    __________________________________________________________________________________________________________________

  • Hallo LuCar Toni 

    Ich hab das gestern natürlich Probiert

    folgendes hab ich gemacht : 

    Ich hab erstmal in der SSL VPN Config (Fernzugriff) das Externe Netzwerk hinzugefügt  (nur mein mein Testgerät)

    Dann hab ich mal so wie du das geschrieben hast die NAT Regel erstmal mit einer nicht benutzte IP vom Internen LAN Netz 

    192.168.xxx.xx. erstellt.

    Der Ping wurde von meine PC im LAN Netz ausgeführt , die NAT greif da wohl 

    Danach hab ich am Client wo sich per SSL VPN sich einwählt die Config im FW User Portal heruntergeladen und installiert und neu eingewählt. Leider funktionierte der Ping auf das Externe Geräte immer noch nicht. :( 

  • Zeig uns das Packet Capture vom SSLVPN Client. Wenn dort immer noch nichts ist, stimmt zugelassene Netze weiterhin nicht. 

    __________________________________________________________________________________________________________________

  • der zeigt leider nichts an :(  jetzt komme ich voll durcheinander 

    oh man wenn sich nicht immer mit einer FW auseinander setzt geht einfach das wissen verloren :) 

  • Hallo Schneefreakxxl

    Ich habe SSL VPN Netzwerk auf IPSec VPN auf beiden Seiten hinzugefügt, was natürlich den Tunnel neu initiiert, dann habe ich Firewall-Regel bearbeitet und SSL VPN Netzwerk auf Firewall-Regel auf beiden Seiten hinzugefügt.

    Von der Zweigstelle aus habe ich über die SSH-Konsole mit Option 4 das SSL-VPN-Netzwerk der Hauptniederlassung hinzugefügt, und ich bin in der Lage, die LAN-Geräte der Zweigstelle über SSL-VPN zu erreichen, das über die Hauptniederlassung wie folgt eingerichtet ist:

    172.16.16.0/24 -->Head office network 

    192.168.3.0/24-->Branch office network 

    10.81.234.0/24 -->SSL VPN network 

    192.168.3.10 device at Branch office 

    Hauptsitz: IPSec-Tunnel-Info

    Firewall-Regel bei HO : 

    SSL-VPN-Richtlinie in der Hauptverwaltung : 

    Zweigstelle IPSec : 

    Firewall in der Zweigstelle : 

    Zugang zu den Geräten am Hauptsitz und in den Zweigstellen : 

    Routed add in der Niederlassung 

    console>sys ipsec_route add net 10.81.234.0/255.255.255.0 tunnelname BO


    Das Breach-Office-Gerät im LAN kann mit dem Ping-Status erreicht werden (siehe Paketfluss):

    Vom Hauptsitz aus: 

     

    Von der Zweigstelle : 

     

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • Hallo Schneefreakxxl

    Ich habe SSL VPN Netzwerk auf IPSec VPN auf beiden Seiten hinzugefügt, was natürlich den Tunnel neu initiiert, dann habe ich Firewall-Regel bearbeitet und SSL VPN Netzwerk auf Firewall-Regel auf beiden Seiten hinzugefügt.

    Von der Zweigstelle aus habe ich über die SSH-Konsole mit Option 4 das SSL-VPN-Netzwerk der Hauptniederlassung hinzugefügt, und ich bin in der Lage, die LAN-Geräte der Zweigstelle über SSL-VPN zu erreichen, das über die Hauptniederlassung wie folgt eingerichtet ist:

    172.16.16.0/24 -->Head office network 

    192.168.3.0/24-->Branch office network 

    10.81.234.0/24 -->SSL VPN network 

    192.168.3.10 device at Branch office 

    Hauptsitz: IPSec-Tunnel-Info

    Firewall-Regel bei HO : 

    SSL-VPN-Richtlinie in der Hauptverwaltung : 

    Zweigstelle IPSec : 

    Firewall in der Zweigstelle : 

    Zugang zu den Geräten am Hauptsitz und in den Zweigstellen : 

    Routed add in der Niederlassung 

    console>sys ipsec_route add net 10.81.234.0/255.255.255.0 tunnelname BO


    Das Breach-Office-Gerät im LAN kann mit dem Ping-Status erreicht werden (siehe Paketfluss):

    Vom Hauptsitz aus: 

     

    Von der Zweigstelle : 

     

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

Children
  • Hallo Bharat J

    Danke das du die hier einbringst 

    Also auf der gegenstelle ist das SSL VPN Subnetz eingetragen und verbunden

    (nur zum Verständnis :) , die gegenstelle sind kein Sophos FW es sind Mobilfunkrouter von WELOTEC wo mit unserer Anlage beim Kunden Verbunden sind und ein IPsec Tunnel aufbauen um ein Paar Daten ins LAN Netzwerk zu uns liefern zu Auswerten usw. dies Funktioniert auch sehr gut.)

    Es muss also an den Regeln bei liegen da ja die Verbindung zum SSL VPN Subnetz steht

    Hast du kein NAT Regel erstellt müssen? 

  • I suspect a problem with your WELOTEC cellular router

    Do you manage the same WELOTEC cellular router or do you have access to it?

    You can check if you can add a static route for the SSL VPN network to route traffic from WELOTEC's cellular router.

    If you receive the following traffic flow from Sophos XG, it means that Sophos XG traffic is forwarded with ICMP request packets but no response packets are received from the remote end WELOTEC cellular router due to wrong or missing configuration 

    If the routes from the cellular router are correct, Sophos XG will receive the following packet flow:

    Share that you had a look 

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Der Datentransfer in unser LAN Netzwerk (192.168.xx.xx Funktioniert super , da liegt ja nicht das Problem. 

    Der Datentransfer in unser SSL VPN Netzwerk 10.xx.xx.xx (Homeoffice User) zu unseren Externen Geräte  172.xx.xx.xx da funktioniert es nicht. 

    Im Externen Gerät ist das SSL VPN  Netzwerk bekannt, sonst wäre ja die Verbindung Rot 

  • Im Externen Gerät ist das SSL VPN  Netzwerk bekannt, sonst wäre ja die Verbindung Rot 


    The connection shows you the GREEN IPSec VPN tunnel on the Sophos XG page, although you have added subnets, but the routing problem with the WELOTEC cellular router still persists.

    You can check this by placing Sophos XG in place of the cellular router. I think you do not have access to the cellular router 

    Regards

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Also das kann nicht sein da die Externen Geräte  mit unser FW kommunizieren  und zwar in unser LAN Netzwerk da gibt es keine Probleme. 

  • Sie meinen also, der WAN-zu-LAN-Verkehr funktioniert gut, aber der VPN-zu-LAN-Verkehr funktioniert nicht?

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Technical Support, Global Customer Experience

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case  | Security Advisories 
    Compare Sophos next-gen Firewall | Fortune Favors the prepared
    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • Ja WAN zu LAN und LAN zu WAN funktioniert über IPsec Verbintung gut (Kommuniziert in beide Richtungen). 

    Jetzt soll es auch über SSL-VPN funktionieren also vom Mitarbeiter aus dem Homeoffice auf das 172.xx.x.x. Netz.

    Ich werde morgen mal eine Zeichnung machen , vielleicht ist das besser für das Verständnis  

  • Warum fügen Sie dann in diesem Szenario für die Regel WAN to LAN nicht die VPN-Zone zusammen mit der WAN-Zone in der Quellzone hinzu?

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Technical Support, Global Customer Experience

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case  | Security Advisories 
    Compare Sophos next-gen Firewall | Fortune Favors the prepared
    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • Noch einmal. Das hat absolut nichts mit der Firewall zu tun. 

    Es ist die SSLVPN Konfiguration.

    Der SSLVPN Client entscheidet, was er durch den Tunnel schickt. Das wird in den "Permitted Networks" in SSLVPN entschieden.

    Danach kannst du in der SSLVPN Config bzw. wenn du den SSLVPN tunnel startest, schauen, ob die Route zu 172. gesetzt wird.

    Wenn nicht, brauchst bzw. kannst du auf der Firewall so viel machen wie du willst - der Client schickt keine Daten zur Firewall. 

    __________________________________________________________________________________________________________________

  • Hallo Toni, 

    ja der Meinung bin ich auch, komm langsam voll durcheinander:) 

    werde morgen nochmals die ganze regeln und config durchgehen. 

    in der ssl vpn config vom Client wird das 172 Netz nicht aufgelistet obwohl ich es in der ssl vpn Fernzugriff in der FW hinzugefügt habe ,und die neue Client config beim Client installiert hab, es wird nur das 192 Netz aufgelisteten 

    nur noch zur Info , wir benutzen noch die alte vpn Client Software nicht die connect 2 aber ich denk mal das hat nicht damit zutun