Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 7 replies
  • Subscribers 8 subscribers
  • Views 1570 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netzwerk Segmente weiterleiten in einen VPN IPSec-Tunnel?

Andreas Wuschansky

Hallo zusammen,

ich hätte eine Frage bzw. Problem.

Es bestehen mehrere IPSec-VPN Tunnel über eine aktive Einwahlverbindung zu einer Cisco ASA Firewall.

Das Netzwerk (Port 3) auf Sophosseite hat Verbindungen zu den entfernten Netzwerken der IPSec-Verbindung.
Nun sollen zusätzlich noch 2 Netzwerkabschnitte (1 x LAN + 1 x WLAN) auf die entfernten (VPN) Netzwerke zugreifen können,
genau das klappt leider nicht!
Was sollte alles eingerichtet werden, damit es funktioniert?

Folgendes habe ich bereits eingerichtet:


Hier noch die NAt-Regel:

Leider funktioniert es noch nicht, weiß jemand Rat?

Vielen Dank.

Andreas



Added TAGs
[edited by: Erick Jan at 11:02 AM (GMT -7) on 9 Jun 2023]
Parents
  • +1

    NAT muss immer anhand von SNAT - Objekt gemacht werden. MASQ funktioniert nicht, weil es kein "Interface" gibt, was die Firewall zum maskieren verwenden kann.

    Einfach ein Objekt in Übersetze Quelle erstellen, dass dem Tunnel entspricht und es als Übersetze Quelle verwenden. 

    Oder du editierst den IPsec Tunnel und fügst die Netze auf beiden Seiten hinzu. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Danke für die Antworten.

    Nun habe ich ein Host Netzwerkobjekt mit einer IP-Adr. a.d. Bereich des VPN-Tunnels Sophos seitig angelegt und eingesetzt (virt. VPN-Object (NAT). Leider funktioniert es noch nicht. Bei der Protokollansicht im Firewallbereich, gehen die Ping-Pakete durch die reguläre FW-Regel LAN-WAN, obwohl die extra angelegte FW-Regel vor der reguläre FW-Regel gesetzt wurde...

    Was sollte noch geändert werden?

    Danke für weitere Vorschläge.

  • 0 in reply to Andreas Wuschansky

    Zeig einmal den IPsec Tunnel und welche IP Adressen du dort nutzt. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hier nun der VPN-Tunnel:

    Es sollte unbedingt genattet werden, da die "Gegenseite" nur den IP-Range von der Sophos akzeptiert (net_10...0/24)

  • +1 in reply to Andreas Wuschansky

    Probiere das mal: 

    https://support.sophos.com/support/s/article/KB-000035848?language=en_US

    Eine IP aus deinem Lokales Subnetz und die IPsec Route in der CLI anlegen. 

    __________________________________________________________________________________________________________________

  • +1 in reply to LuCar Toni

    Vielen Dank LuCar Toni für Deine Antworten.

    Es musste erst ein virt. SNAT-Object a.d. aktzeptierten Sophos IP-Bereich erstellt werden (s.o.)

    Leider funktionierte es immer noch nicht damit, deshalb habe ich mir dann prof. dt. Support eines Distributors dazugeholt, der Supporter war sehr fit und konnte das Problem lösen, indem a.d. CLI alle Routen zu den entfenten VPN-Netzwerken eingetragen wurden, das sieht dann z.B. so aus:

    system ipsec_route add net 10.204.153.0/255.255.255.0 tunnelname XYZ

    Jetzt funktioniert alles bestens!

    Vielleicht kann der eine oder andere was damit anfangen, falls mal eine änhliche Aufgabenstellung vorliegt?

    Vielen Dank an alle, die mit überlegt und geantwortet haben.

    VG Andreas

Reply
  • +1 in reply to LuCar Toni

    Vielen Dank LuCar Toni für Deine Antworten.

    Es musste erst ein virt. SNAT-Object a.d. aktzeptierten Sophos IP-Bereich erstellt werden (s.o.)

    Leider funktionierte es immer noch nicht damit, deshalb habe ich mir dann prof. dt. Support eines Distributors dazugeholt, der Supporter war sehr fit und konnte das Problem lösen, indem a.d. CLI alle Routen zu den entfenten VPN-Netzwerken eingetragen wurden, das sieht dann z.B. so aus:

    system ipsec_route add net 10.204.153.0/255.255.255.0 tunnelname XYZ

    Jetzt funktioniert alles bestens!

    Vielleicht kann der eine oder andere was damit anfangen, falls mal eine änhliche Aufgabenstellung vorliegt?

    Vielen Dank an alle, die mit überlegt und geantwortet haben.

    VG Andreas

Children
No Data
Unfiltered HTML