This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS2100 Site-to-Site Tunnel Problem

Hallo,

ich habe mal eine Frage. Also wie haben zwischen 2 Standorten eine Site-to-Site IPSec VPN Tunnel aufgebaut. Das klappte auch nach ein paar Schwierigkeiten recht gut. Allerdings haben wir nun das Problem, das wenn wir von Standort A nach Standort B Pingen funktioniert alles. Wenn wir aber von Standort B nach Standort A Pingen, dann geht laut Log der ping Raus, aber im cmd-Prompt gibt es 100% Verlust. Also keine Antworten ereichen uns.

Nun hoffe ich das Ihr mir vielleicht helfen könnt das ich mal schaue ob ich noch irgendwas vergessen habe bei der Konfiguration. Die Aktuelle Konfiguration ist wie folgt:

Server BLN (Standort A) => Meraki FW (Site-to-Site IPSec) => INTERNET <= Fritzbox (Öffentliche IP wird komplett durchgereicht) <= Sophos XGS (Site-to-Site IPSec) <= Server HAN (Standort B)

Konfiguriere noch nicht so lange mit der Sophos und es wundert mich halt das ich vom Standort A alles erreichen kann und auch in den Protokollen steht das die ICMP raus gehen. Achja Server BLN darf auch auf ICMP antworten.

Hoffe das Ihr mir vielleicht den einen oder anderen Tip geben könnt.

This thread was automatically locked due to age.

Parents

0 Thomas_XG over 1 year ago

Hallo Hans-Juergen Guenter ,

hast du bei Standort A unter Administration -> Device access -> bei VPN den Punkt "Ping/Ping6" aktiviert?

EDIT: Bitte vergiss meine Antwort, ich habe es falsch gelesen. Am Standort A steht ja eine Meraki. Passt bei Standort A die Firewall-Rule, sodass ICMP durchgelassen wird?

_______________________________________________________

Sophos SG 210 with Sophos XG Home - 20.0 MR 1

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Thomas_XG over 1 year ago

Hallo Hans-Juergen Guenter ,

hast du bei Standort A unter Administration -> Device access -> bei VPN den Punkt "Ping/Ping6" aktiviert?

EDIT: Bitte vergiss meine Antwort, ich habe es falsch gelesen. Am Standort A steht ja eine Meraki. Passt bei Standort A die Firewall-Rule, sodass ICMP durchgelassen wird?

_______________________________________________________

Sophos SG 210 with Sophos XG Home - 20.0 MR 1

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Hans-Juergen Guenter over 1 year ago in reply to Thomas_XG

Hallo Thomas,

ja an Standort A auf der Meriaki ist ICMP erlaubt.
Cancel
Vote Up 0 Vote Down

Cancel
0 Hans-Juergen Guenter over 1 year ago in reply to Thomas_XG

Hallo Thomas_XG,

kann das Problem vielleicht die Fritzbox sein die dazwischen ist am Standort B? Das deswegen die Ping-Pakete nicht wieder zurück kommen zum Server HAN an Standort B.

Hier mal die Netze die aktuell da sind:

Standort A (192.168.0.0) - (Feste IP aus 192.168.0.x) Meriaki (Öffentliche IP) - INTERNET - (Öffentliche IP) Fritzbox (192.168.178.0) - (Feste IP 192.168.178.x) Sophos (Feste IP 172.16.16.x) - (172.16.16.0) Standort B
Cancel
Vote Up 0 Vote Down

Cancel
0 Thomas_XG over 1 year ago in reply to Hans-Juergen Guenter

Wenn laut Sophos der Ping über das Interface hinaus geht, muss das Problem nach der Sophos sein. Kannst du mal einen Screenshot des logs machen?

Was erscheint bei der Meraki-Firewall und der Fritzbox zum Zeitpunkt des Pings?

Hat es einen Grund, wieso die Sophos im Doppel-NAT betrieben wird?

Hier mal ein Beispiel von mir, wo zwei XG's Home einen IPSec-Tunnel haben:

_______________________________________________________

Sophos SG 210 with Sophos XG Home - 20.0 MR 1

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Hans-Juergen Guenter over 1 year ago in reply to Thomas_XG

Hier sieht man das der Ping raus geht über den IPSEC Tunnel
Cancel
Vote Up 0 Vote Down

Cancel
0 Thomas_XG over 1 year ago in reply to Hans-Juergen Guenter

Ist das ein richtiger Site-To-Site Tunnel oder Einwahl via IPsec?

Bei der Sophos wäre der Tunnel unter "Configure" -> "Site-to-site VPN" -> IPsec

_______________________________________________________

Sophos SG 210 with Sophos XG Home - 20.0 MR 1

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Hans-Juergen Guenter over 1 year ago in reply to Thomas_XG

Ja es ist ein richtiger Site to Site Tunnel via IPSec
Cancel
Vote Up 0 Vote Down

Cancel
0 PhilippRusch over 1 year ago in reply to Hans-Juergen Guenter

Hallo Hans-Jürgen,

der Klassiker mit der Fritzbox ist meistens, dass das Netzwerk "hinter" der Sophos-Firewall (von der Firtzbox aus gesehen) nicht in der Fritzbox als Netzwerk hinterlegt ist, so dass dorthin keine Route in der Routing-Tabelle der Fritzbox existiert. Dann kann man den Tunnel von der Firewall aus aufbauen, erreicht aber keine Systeme dahinter. So wie es momentan bei dir aussieht.

Wenn du nicht weisst, wie das geht, sende ich einen Screenshot.

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Hans-Juergen Guenter over 1 year ago in reply to PhilippRusch

PhilippRusch

Hallo Phillpp,

doch warum kann dann ein Ping vom Standort A (Meraki FW) den Server im Standort B (Sophos FW)
per Ping erreichen? Nur wenn ich vom Server Standort B pinge gehts nicht das ich Server am Standort A
erreiche?
Cancel
Vote Up 0 Vote Down

Cancel
0 Thomas_XG over 1 year ago in reply to Hans-Juergen Guenter

Wenn dem so ist wie es Philipp sagt, könntest du evtl. noch überlegen die Fritzbox in den Bridge-Mode schalten zu lassen, sodass, die Public IP direkt auf der Sophos liegt.

Dann fungiert die Fritzbox nur mehr als reines Modem.

_______________________________________________________

Sophos SG 210 with Sophos XG Home - 20.0 MR 1

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Hans-Juergen Guenter over 1 year ago in reply to Thomas_XG

Thomas_XG

Also ich habe mal wie es PhilippRusch geschrieben hat die Route von der Fritzbox zum Server B Netzwerk
gesetzt, trotzdem kommt kein Ping zurück. Möchte aktuell nur ungerne die Fritzbox in den Bridge Modus setzen,
denn wenn das nicht klappt wäre ich gerne Vorort um das Rückgängig machen zu können.
Cancel
Vote Up 0 Vote Down

Cancel