Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 64 replies
  • Answers 4 answers
  • Subscribers 40 subscribers
  • Views 14424 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN-Datenverkehr über einen vorhandenen IPsec-Tunnel

snowfreakxxl

Hallo zusammen, 

Irgendwie komme ich nicht weiter, vielleicht kann mir ja jemand helfen.

Wir haben mehrere Geräte (Router) beim Kunden wo per IPsec Tunnel mit unsere XG verbunden sind soweit so gut.

Jetzt ist es so das einige Mitarbeiter aus dem Homeoffice aus das Geräte zugreifen müssen um evt. was zu Prüfen, die Mitarbeiter im Homeoffice

wählen sich bei uns über SSL VPN ein und sind somit mit dem Hausnetz verbunden. 

Jetzt zur Fragen:

Wie bekommen ich es hin das der Mitarbeiter aus dem Homeoffice auf das Geräte zugreifen kann? Ich Hab auch schon einiges Probiert aber leider bekomme ich es nicht hin. 

Folgendes besteht schon: 

SSL VPN Access

SSL VPN Pool = 10.81. xxx.x

SSL VPN Zugriffsregel / mit Übereinstimmung mit bekannten Benutzern und Gruppen

IPSec Tunnel zum externe Gerat = 172.xx.xxx.x

LAN -> IPsec / Regel 

 IPsec-->LAN / Regel 

Vielen Dank im voraus für die Unterstützung 



This thread was automatically locked due to age.
  • 0 in reply to LuCar Toni

    Hallo LuCar Toni 

    Ich hab das gestern natürlich Probiert

    folgendes hab ich gemacht : 

    Ich hab erstmal in der SSL VPN Config (Fernzugriff) das Externe Netzwerk hinzugefügt  (nur mein mein Testgerät)

    Dann hab ich mal so wie du das geschrieben hast die NAT Regel erstmal mit einer nicht benutzte IP vom Internen LAN Netz 

    192.168.xxx.xx. erstellt.

    Der Ping wurde von meine PC im LAN Netz ausgeführt , die NAT greif da wohl 

    Danach hab ich am Client wo sich per SSL VPN sich einwählt die Config im FW User Portal heruntergeladen und installiert und neu eingewählt. Leider funktionierte der Ping auf das Externe Geräte immer noch nicht. :( 

  • 0 in reply to snowfreakxxl

    Zeig uns das Packet Capture vom SSLVPN Client. Wenn dort immer noch nichts ist, stimmt zugelassene Netze weiterhin nicht. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    der zeigt leider nichts an :(  jetzt komme ich voll durcheinander 

    oh man wenn sich nicht immer mit einer FW auseinander setzt geht einfach das wissen verloren :) 

  • 0 in reply to snowfreakxxl

    Hallo Schneefreakxxl

    Ich habe SSL VPN Netzwerk auf IPSec VPN auf beiden Seiten hinzugefügt, was natürlich den Tunnel neu initiiert, dann habe ich Firewall-Regel bearbeitet und SSL VPN Netzwerk auf Firewall-Regel auf beiden Seiten hinzugefügt.

    Von der Zweigstelle aus habe ich über die SSH-Konsole mit Option 4 das SSL-VPN-Netzwerk der Hauptniederlassung hinzugefügt, und ich bin in der Lage, die LAN-Geräte der Zweigstelle über SSL-VPN zu erreichen, das über die Hauptniederlassung wie folgt eingerichtet ist:

    172.16.16.0/24 -->Head office network 

    192.168.3.0/24-->Branch office network 

    10.81.234.0/24 -->SSL VPN network 

    192.168.3.10 device at Branch office 

    Hauptsitz: IPSec-Tunnel-Info

    Firewall-Regel bei HO : 

    SSL-VPN-Richtlinie in der Hauptverwaltung : 

    Zweigstelle IPSec : 

    Firewall in der Zweigstelle : 

    Zugang zu den Geräten am Hauptsitz und in den Zweigstellen : 

    Routed add in der Niederlassung 

    console>sys ipsec_route add net 10.81.234.0/255.255.255.0 tunnelname BO


    Das Breach-Office-Gerät im LAN kann mit dem Ping-Status erreicht werden (siehe Paketfluss):

    Vom Hauptsitz aus: 

     

    Von der Zweigstelle : 

     

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hallo Bharat J

    Danke das du die hier einbringst 

    Also auf der gegenstelle ist das SSL VPN Subnetz eingetragen und verbunden

    (nur zum Verständnis :) , die gegenstelle sind kein Sophos FW es sind Mobilfunkrouter von WELOTEC wo mit unserer Anlage beim Kunden Verbunden sind und ein IPsec Tunnel aufbauen um ein Paar Daten ins LAN Netzwerk zu uns liefern zu Auswerten usw. dies Funktioniert auch sehr gut.)

    Es muss also an den Regeln bei liegen da ja die Verbindung zum SSL VPN Subnetz steht

    Hast du kein NAT Regel erstellt müssen? 

  • 0 in reply to snowfreakxxl

    I suspect a problem with your WELOTEC cellular router

    Do you manage the same WELOTEC cellular router or do you have access to it?

    You can check if you can add a static route for the SSL VPN network to route traffic from WELOTEC's cellular router.

    If you receive the following traffic flow from Sophos XG, it means that Sophos XG traffic is forwarded with ICMP request packets but no response packets are received from the remote end WELOTEC cellular router due to wrong or missing configuration 

    If the routes from the cellular router are correct, Sophos XG will receive the following packet flow:

    Share that you had a look 

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Der Datentransfer in unser LAN Netzwerk (192.168.xx.xx Funktioniert super , da liegt ja nicht das Problem. 

    Der Datentransfer in unser SSL VPN Netzwerk 10.xx.xx.xx (Homeoffice User) zu unseren Externen Geräte  172.xx.xx.xx da funktioniert es nicht. 

    Im Externen Gerät ist das SSL VPN  Netzwerk bekannt, sonst wäre ja die Verbindung Rot 

  • 0 in reply to snowfreakxxl
    snowfreakxxl said:
    Im Externen Gerät ist das SSL VPN  Netzwerk bekannt, sonst wäre ja die Verbindung Rot 


    The connection shows you the GREEN IPSec VPN tunnel on the Sophos XG page, although you have added subnets, but the routing problem with the WELOTEC cellular router still persists.

    You can check this by placing Sophos XG in place of the cellular router. I think you do not have access to the cellular router 

    Regards

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Also das kann nicht sein da die Externen Geräte  mit unser FW kommunizieren  und zwar in unser LAN Netzwerk da gibt es keine Probleme. 

  • 0 in reply to snowfreakxxl

    Sie meinen also, der WAN-zu-LAN-Verkehr funktioniert gut, aber der VPN-zu-LAN-Verkehr funktioniert nicht?

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML