Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN-Datenverkehr über einen vorhandenen IPsec-Tunnel

Hallo zusammen, 

Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen.

Wir haben mehrere Geräte (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut.

Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Geräte zugreifen müssen um evt. was zu Prüfen, die Mitarbeiter im Homeoffice

wählen sich bei uns über SSL VPN ein und sind somit mit dem Hausnetz verbunden. 

Jetzt zur Fragen:

Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Geräte zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin. 

Folgendes besteht schon: 

SSL VPN Access

SSL VPN Pool = 10.81. xxx.x

SSL VPN Zugriffsregel / mit Übereinstimmung mit bekannten Benutzern und Gruppen

IPSec Tunnel zum externe Gerat = 172.xx.xxx.x

LAN -> IPsec / Regel 

 IPsec-->LAN / Regel 

Vielen Dank im voraus für die Unterstützung 



This thread was automatically locked due to age.
Parents
  • Hi snowfreakxxl

    Wie von LuCar Toni erwähnt, liegt das Problem in der Konfiguration der SSL-VPN-Richtlinie (Fernzugriff) und im Routing.

    SSL-VPN-Richtlinie bearbeiten (Fernzugriff)

    Gehen Sie zu VPN > SSL VPN (Fernzugriff).
    Bearbeiten Sie die bestehende SSL-VPN-Fernzugriffsrichtlinie und fügen Sie das IPsec-Fernnetz unter Erlaubte Netzwerkressourcen hinzu.
    Klicken Sie auf Übernehmen.

    Erstellen eines IP-Netzwerkobjekts für den IPv4-Lease-Bereich des SSL-VPN-Fernzugriffs

    So ermitteln Sie den aktuellen IPv4-Lease-Bereich für SSL VPN (Fernzugriff):
    1. gehen Sie zu Konfigurieren > VPN.
    2. klicken Sie auf VPN-Einstellungen anzeigen.

    3. suchen Sie den IPv4-Lease-Bereich

    In diesem Beispiel ist der aktuelle IPv4-Lease-Bereich 10.81.234.5 - 10.81.234.55

    4.Erstellen Sie unter System > Host und Dienste > IP-Host ein Netzwerkobjekt für den IPv4-Lease-Bereich.

    5. Klicken Sie auf Speichern.

    Adding a firewall rule

    1. Gehen Sie zu Regeln und Richtlinien > Firewall-Regeln > Firewall-Regel hinzufügen > Neue Firewall-Regel.
    2 Konfigurieren Sie die Einstellungen wie unten gezeigt:

    Quellzonen :VPN
    Quellnetzwerke und -geräte : SSL-VPN-Fernzugriff IPv4-Lease-Bereich

    Ziel-Zonen: VPN
    Ziel-Netzwerke: IPsec-Fernnetzwerk
    Dienste: ANY

    Klicken Sie auf Verknüpfte NAT-Regel erstellen.

    Klicken Sie im Feld Translated Source (SNAT) auf die Dropdown-Liste und dann auf Create New > IP Address und erstellen Sie einen Eintrag für die IP der lokalen LAN-Schnittstelle

    .

    Klicken Sie auf "Speichern".
    Der folgende Screenshot zeigt die verknüpfte NAT-Regel. Klicken Sie auf "Speichern".

    Klicken Sie auf Speichern, um die Firewall-Regel zu speichern.

    Hinzufügen einer IPsec-Route

    Greifen Sie über SSH auf die Sophos Firewall CLI der Hauptniederlassung zu.
    Wählen Sie Option 4 für Device Console aus dem Menü.
    Fügen Sie die IPsec-Route mit dem folgenden Befehl hinzu:

    console> system ipsec_route add net 10.xxx/255.xxx tunnelname IPsecTunnel (Name des IPsec-Tunnels)

    d.h.: console> system ipsec_route add net 10.1.10.0/255.255.255.0 tunnelname To_Branch_Office

    Hinweis: 10.1.10.0 ist nur ein Beispiel. Fügen Sie das Subnetz des tatsächlichen Remote-Netzwerks hinzu, das auf dem IPSEC Site to Site Tunnel beworben wird.

    Um zu überprüfen, ob die IPsec-Route erfolgreich hinzugefügt wurde, geben Sie den folgenden Befehl ein:

    console> system ipsec_route show tunnelname host/network netmask to_branch_office 10.1.10.0 255.255.255.0

    Vielen Dank und beste Grüße

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo

    Danke für die Anleitung die kenne ich schon :) 

    Frage zur IPsec Route über SSH

    Warum genau muss ich den die IPsec Route über ssh anlegen ? ich hab doch schon eine IPSec route zum gerät. gibt es da nicht ne andere Lösung ? ich müsste es ja dann fast für 50 Externe Geräte machen wo zu uns eine Verbindung aufbauen.

  • Noch einmal. Das hat absolut nichts mit der Firewall zu tun. 

    Es ist die SSLVPN Konfiguration.

    Der SSLVPN Client entscheidet, was er durch den Tunnel schickt. Das wird in den "Permitted Networks" in SSLVPN entschieden.

    Danach kannst du in der SSLVPN Config bzw. wenn du den SSLVPN tunnel startest, schauen, ob die Route zu 172. gesetzt wird.

    Wenn nicht, brauchst bzw. kannst du auf der Firewall so viel machen wie du willst - der Client schickt keine Daten zur Firewall. 

    __________________________________________________________________________________________________________________

  • Hallo Toni, 

    ja der Meinung bin ich auch, komm langsam voll durcheinander:) 

    werde morgen nochmals die ganze regeln und config durchgehen. 

    in der ssl vpn config vom Client wird das 172 Netz nicht aufgelistet obwohl ich es in der ssl vpn Fernzugriff in der FW hinzugefügt habe ,und die neue Client config beim Client installiert hab, es wird nur das 192 Netz aufgelisteten 

    nur noch zur Info , wir benutzen noch die alte vpn Client Software nicht die connect 2 aber ich denk mal das hat nicht damit zutun 

  • Wie von LuCar Toni erwähnt, hat dies absolut nichts mit der Firewall zu tun.

    Um Ihnen weiter zu helfen, können wir den Paketfluss besprechen. Bitte teilen Sie den Screenshot von SSL VPN wie unten und überprüfen Sie den Paketfluss wie im Snapshot:

    Go to MONITOR & ANALYZE-->Diagnostics-->Packet Capture Click on configure Enter BPF string host 192.168.3.10 and proto ICMP and turn of Capture and click on Refresh and share the screenshot

    Share the output for : 

    console> system ipsec-acceleration show

    Regards

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hab jetzt beim Client auch SophosConnect_2.2.75 installiert 

    Also der Client mit der SSL-VPN Verbindung bekommt die Subnetz IP nicht zugeteilt :( 

    In der SSL VPN Fernzugriff an der FW ist das Subnetz eingetragen 

  • Kannst du uns alle SSLVPN Profile bitte mal zeigen? 

    __________________________________________________________________________________________________________________

  • sorry das ich so dumm frag was meinst du genau ? in der FW die SSL-VPN-Einstellungen oder beim Client die log 

  • Du editierst die ganze Zeit ein SSLVPN Profile auf der Firewall. Ist es das einzige Profile? 

    Und könntest du uns deine Global SSLVPN Configs zeigen? 

    Könnte das dein Problem auslösen: https://support.sophos.com/support/s/article/KB-000043900?language=en_US

    __________________________________________________________________________________________________________________

  • Ja wir haben nur ein Profil .. SSL VPN Access (Fernzugriff)

    Global SSLVPN Config

    SFOS 18

  • Sie haben nur ein SSL-VPN-Profil unter VPN > SSL-VPN (Fernzugriff), das ist seltsam ?


    Bitte gehen Sie zu MONITOR & ANALYZE-->Diagnostics-->Packet Capture Klicken Sie auf configure Geben Sie BPF string : host 192.168.28.10 und proto ICMP ein und schalten Sie Packet Capture ein und klicken Sie auf Refresh mit kontinuierlichem Ping an 192.168.28.10 nach der Benutzerverbindung und teilen Sie einen Screenshot

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Ja wir haben nur ein user Profil / Natürlich haben wir User Gruppen usw. 

    Irgendwie hab ich das Gefühl das ich über das User Portal nicht die Aktuellen Client Config Downloaden kann.

    Ich hab aus der SSL-VPN Config (Fernzugriff) das Hausnetz weg raus gemacht und hab nur das EXT244 Netz drinnen gelassen, und die User Config am Client neu installiert. Es War immer noch das 192.168.28. netz drin statt das 172.30.xxx.0 .

Reply
  • Ja wir haben nur ein user Profil / Natürlich haben wir User Gruppen usw. 

    Irgendwie hab ich das Gefühl das ich über das User Portal nicht die Aktuellen Client Config Downloaden kann.

    Ich hab aus der SSL-VPN Config (Fernzugriff) das Hausnetz weg raus gemacht und hab nur das EXT244 Netz drinnen gelassen, und die User Config am Client neu installiert. Es War immer noch das 192.168.28. netz drin statt das 172.30.xxx.0 .

Children