Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS2100 Site-to-Site Tunnel Problem

Hallo,

ich habe mal eine Frage. Also wie haben zwischen 2 Standorten eine Site-to-Site IPSec VPN Tunnel aufgebaut. Das klappte auch nach ein paar Schwierigkeiten recht gut. Allerdings haben wir nun das Problem, das wenn wir von Standort A nach Standort B Pingen funktioniert alles. Wenn wir aber von Standort B nach Standort A Pingen, dann geht laut Log der ping Raus, aber im cmd-Prompt gibt es 100% Verlust. Also keine Antworten ereichen uns.

Nun hoffe ich das Ihr mir vielleicht helfen könnt das ich mal schaue ob ich noch irgendwas vergessen habe bei der Konfiguration. Die Aktuelle Konfiguration ist wie folgt:

Server BLN (Standort A) => Meraki FW (Site-to-Site IPSec) => INTERNET <= Fritzbox (Öffentliche IP wird komplett durchgereicht) <= Sophos XGS (Site-to-Site IPSec) <= Server HAN (Standort B)

Konfiguriere noch nicht so lange mit der Sophos und es wundert mich halt das ich vom Standort A alles erreichen kann und auch in den Protokollen steht das die ICMP raus gehen. Achja Server BLN darf auch auf ICMP antworten.

Hoffe das Ihr mir vielleicht den einen oder anderen Tip geben könnt.



This thread was automatically locked due to age.
Parents
  • Mach einen Packet Capture auf dem Webadmin und schau dir die Pakete an. 
    https://www.youtube.com/watch?v=P7irxR4Sh3g&t=32s&pp=ygUYU29ocG9zIHhnIHBhY2tldCBjYXB0dXJl 
    Wenn du Pakete in den Tunnel siehst (Also Out ipsec0) ist es kein Sophos Problem. 

    __________________________________________________________________________________________________________________

  • Guten morgen LuCar Toni,

    Also ich denke mal das es aus der Sophos heraus geht. Hier mal ein Screenshot:

    Doch kann es sein das ich zusätzlich noch eine NAT Regel in der Sophos erstellen muß? Sorry das ich das Frage, aber

    ich habe bisher noch nicht soviel erfahrungen im Aufbau und Konfiguration von Site-to-Site Tunnel wo noch eine FritzBox

    zwischen ist.

  • Guten Morgen  ,

    siehst du in den Logs der Fritzbox etwas, wenn du den Ping absetzt?

    siehst du auch in den Logs der Cisco Firewall etwas?

    Für was hängt die Fritzbox noch vor der Sophos, weshalb betreibst du die Sophos nicht als direktes Gateway?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Thomas_XG,

    also auf der FritzBox sehe ich nichts in den Logs. Auf der Meriaki habe ich auch nichts gefunden.
    Kann das ganze auch nur Remote testen, da ich nicht vorort bin.

    Die Fritzbox hängt vor der Sophos weil die Telekom dort kein Modem sondern die Fritzbox als
    Übergabepunkt gesetzt hat.

    Was mich halt wundert ist das ich aus dem Standort wo die Meriaki FW steht heruaus ohne Probleme
    Pingen kann und das ohne Paketverluste. Deswegen denke ich mal das ich vielleicht noch irgendwas
    aus der Sophos Seite vergessen habe zu konfigurieren.

    Muß ich vielleicht eine NAT Regel erstellen für die Site-to-Site VPN Verbindung?

  • Wenn du von der Sophos aus ein trace route auf den Server am Standort B machst, passt hier der weg?

    Eine NAT-Regel ist nicht notwendig, außer du hast ein eigens VPN-Netz das umgesetzt werden muss oder du ein 1:1 NAT machen musst.

    Ich nehme an, bei dir gibt es nur ein Subnet mit 192.168.0.0/24?

     eine Verständisfrage meiner Seite: muss unter Device access in der VPN-Zone Ping/Ping6 aktiv sein, wenn man einen Ping nach extern setzen möchte, oder gilt das nur für Eingehende requests?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Kannst du bitte unter Administration - Licensing überprüfen, ob deine Lizenz aktiv ist? 

    __________________________________________________________________________________________________________________

  • Hallo LuCar Toni,

    ja die Lizenz ist Aktive

Reply Children