Sophos XG135 Firewall Regel greift, Netzverkehr geht jedoch nicht ins LAN

Hallo Community,

ich verzweifle langsam, wir wollen eine Sophos neu aufsetzen, die Einstellungen sind identisch vorgenommen worden mit einer bereits vorhandenen Sophos, 
inkl. Firewallregeln.
Eine VPN Verbindung kommt zustande, wird jedoch eine IP des internen LAN´s über die VPN Verbindung aufgerufen, bekomme ich folgende Meldung,
obwohl in der Protokollansicht die Firewallregel greift:

Sehe ich den Wald vor lauter Bäumen nicht?
Vielleicht kann mir jemand behilflich sein und weiß eine Lösung, ich habe sämtliche Einstellungen 
mehrfach miteinander verglichen, jedesmal das Gleiche Ergebnis.

Vielen Dank

Parents
  • Hallo,

    Als erstes ... was sagt denn ein Traceroute zu der Ziel-IP?

    Was sagt der log-viewer zum Verbindungsversuch? Was sind dort eingehende/ausgehende interfaces?

    Was verbirgt sich bei der obigen Meldung unter "Reason for this message" und "About this request"? (Das sollte sich aufklappen lassen)

    Ein paar mehr Informationen wären hilfreich, evtl. eine Netzwerkskizze ... Wie sieht die VPN-Definition aus ...?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo,

    erst mal vielen Dank für die Mühe!
    Das Log gibt folgendes aus, dass die Regel greift:

    Hier nochmal die ausgeklappte Fehlermeldung:

    Und Traceroute sagt folgendes:

    Internes Netzwerk hat Netzwerkbereich 192.168.2.0 an Port1 (mit IP 192.168.2.3), Port 2 ist Zone WAN an Fritzbox.
    Ich habe alle Einstellungen wie oben erwähnt eins zu eins von der bisherigen und noch aktiven Sophos übernommen und bin parallel 
    nach dieser Anleitung vorgegangen:

    https://docs.sophos.com/nsg/sophos-firewall/17.5/Help/de-de/webhelp/onlinehelp/nsg/sfos/learningContents/CreatingRemoteAccessSSLVPN.html

    Das Problem ist auch nicht der VPN-Verbindungsaufbau an sich,
    irgendwie scheint die interne Weiterleitung von Zone VPN in Zone LAN trotz greifender Firewallregel nicht zu funktionieren.

    Es gibt auch nur 2 Firewallregeln, die Default für Netzwerkverkehr nach draußen und die erstellte für die VPN-Verbindung.
    Wenn ich diese deaktiviere, bekomme ich nicht die o.a. Fehlereldung.

    Habe ich noch etwas vergessen an Informationen?

    Gruß,
    Christian

  • Hat diese XG eine andere IP als die vorige?

    Stimmt das Gateway am Server?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Die IP ist das einzige, was sich von der anderen unterscheidet,
    die bisherige hat 192.168.2.1, die neue 192.168.2.3.

    Welches Gateway an welchem Server ist gemeint?
    WAN-Link innerhalb der Sophos-Config?

    MfG
    Christian Brosius

  • Dann stimmt sehr wahrscheinlich das Default-Gateway an dem Server nicht, den du intern erreichen willst. Die Pakete müssen "rückwärts" über die IP der neuen Sophos XG Firewall gehen. Also muss das Default-Gateway am internen System auf die 192.168.2.3 geändert werden, dann sollte es gehen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Ich habe die Gateway IP des entsprechenden Servers auf 192.168.2.3 geändert und siehe da, funktioniert reibungslos,
    super Tipp, Danke!

    Die Tage wollte sowieso die IP´s testweise tauschen, also alte und neue Sophos, dann hätte es dann natürlich auch geklappt, Ok,
    aber im laufenden Betrieb kann ich dies ja nicht mal eben so machen ;-)

    Leider ergibt sich nun ein Problem für mich, bzw. meine Planung ist nun hinüber, die vorgesehen hatte, alte und neue Sophos 
    parallel laufen zu lassen (verschiedene VPN-Ports) damit ich die VPN Nutzer nacheinander umstellen kann und nicht alle
    zur gleichen Zeit wechseln muss, da wir ca. 50 Benutzer haben.

    Gibt es hier eine Möglichkeit, dies doch in dieser Form noch hinzubekommen, durch ein Routing oder so?

  • Hier Handelt es sich um RAS-VPN für die Nutzer-Einwahl?

    Dann:

    Wird auf beiden Geräten mit unterschiedlichen VPN-Adressbereichen gearbeitet, können statische Routen zum jeweiligen Gerät zeigen.

    Alternativ: Die SSL-VPN-Traffic eines Gerätes am Übergang zum LAN "maskieren".


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Christian,

    das ist ziemlich einfach: die VPN-Clients besitzen IP-Adressen aus dem einen oder dem anderen Pool, je nachdem, von welcher Firewall sie kommen.

    Wenn man also das Gateway an den internen Systemen nicht ändern will, weil die neue Firewall-Maschine später die IP-Adresse der alten Firewall erhalten soll, wenn der Parallelbetrieb abgeschlossen ist, dann setzt man auf der "alten" Firewall eine statische Route in das Netzwerk 10.81.234.0/24 über das (temporäre) Gateway 192.168.2.3 (die neue Firewall). Vorausgesetzt 10.81.234.0 / 24 ist der Pool für die "neuen" VPN-Clients.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Und bitte die Antwort/Lösung "grün machen", danke.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    ich bin ja wirklich begeistert von der Hilfe, die man hier bekommt, top!

    Nur noch kurz hinterfragt, für die statische Route müssen beide Sophos unterschiedliche VPN-Pools
    haben, die alte hat 10.81.234.0 / 24, die neue hat 10.81.235.0 / 24.

    In der alten dann eine statische Route über das (temporäre) Gateway 192.168.2.3 in den Pool 10.81.235.0 / 24:

    Das habe ich so eingetragen, leider funktioniert es nicht, ist das so richtig eingetragen?


    Und den grünen Button markiere ich bei der richtigen Antwort oben bei meiner ursprünglichen Frage?

    MfG
    Christian Brosius

  • mit dem "Weiterleiten" von einer Firewall an eine andere im gleichen Netz gibt es manchmal Probleme.

    Die eine Firewall "sieht" ja nur die Hälfte der Traffic. (Die Antwortpakete sendet die neue Firewall ja direkt an den Client und die "alte" bekommt davon nichts mit. Da reagieren Firewalls manchmal empfindlich.

    und ..  Ja, die beste(n) Antworten markieren.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ok, dann hoffe ich, dass ich das noch hinbekomme, die Eintragungen für die statische Route sind aber so richtig eingetragen?

Reply Children
No Data