Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS2100 Site-to-Site Tunnel Problem

Hallo,

ich habe mal eine Frage. Also wie haben zwischen 2 Standorten eine Site-to-Site IPSec VPN Tunnel aufgebaut. Das klappte auch nach ein paar Schwierigkeiten recht gut. Allerdings haben wir nun das Problem, das wenn wir von Standort A nach Standort B Pingen funktioniert alles. Wenn wir aber von Standort B nach Standort A Pingen, dann geht laut Log der ping Raus, aber im cmd-Prompt gibt es 100% Verlust. Also keine Antworten ereichen uns.

Nun hoffe ich das Ihr mir vielleicht helfen könnt das ich mal schaue ob ich noch irgendwas vergessen habe bei der Konfiguration. Die Aktuelle Konfiguration ist wie folgt:

Server BLN (Standort A) => Meraki FW (Site-to-Site IPSec) => INTERNET <= Fritzbox (Öffentliche IP wird komplett durchgereicht) <= Sophos XGS (Site-to-Site IPSec) <= Server HAN (Standort B)

Konfiguriere noch nicht so lange mit der Sophos und es wundert mich halt das ich vom Standort A alles erreichen kann und auch in den Protokollen steht das die ICMP raus gehen. Achja Server BLN darf auch auf ICMP antworten.

Hoffe das Ihr mir vielleicht den einen oder anderen Tip geben könnt.



This thread was automatically locked due to age.
Parents
  • Hallo  ,

    hast du bei Standort A unter Administration -> Device access -> bei VPN den Punkt "Ping/Ping6" aktiviert?

    EDIT: Bitte vergiss meine Antwort, ich habe es falsch gelesen. Am Standort A steht ja eine Meraki. Passt bei Standort A die Firewall-Rule, sodass ICMP durchgelassen wird?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Thomas_XG,

    kann das Problem vielleicht die Fritzbox sein die dazwischen ist am Standort B? Das deswegen die Ping-Pakete nicht wieder zurück kommen zum Server HAN an Standort B.

    Hier mal die Netze die aktuell da sind:

    Standort A (192.168.0.0) - (Feste IP aus 192.168.0.x) Meriaki (Öffentliche IP) - INTERNET - (Öffentliche IP) Fritzbox (192.168.178.0) - (Feste IP 192.168.178.x) Sophos (Feste IP 172.16.16.x) - (172.16.16.0) Standort B

  • Wenn laut Sophos der Ping über das Interface hinaus geht, muss das Problem nach der Sophos sein. Kannst du mal einen Screenshot des logs machen?

    Was erscheint bei der Meraki-Firewall und der Fritzbox zum Zeitpunkt des Pings?

    Hat es einen Grund, wieso die Sophos im Doppel-NAT betrieben wird?

    Hier mal ein Beispiel von mir, wo zwei XG's Home einen IPSec-Tunnel haben:

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Hier sieht man das der Ping raus geht über den IPSEC Tunnel

  • Ist das ein richtiger Site-To-Site Tunnel oder Einwahl via IPsec?

    Bei der Sophos wäre der Tunnel unter "Configure" -> "Site-to-site VPN" -> IPsec

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Ja es ist ein richtiger Site to Site Tunnel via IPSec

  • Hallo Hans-Jürgen,

    der Klassiker mit der Fritzbox ist meistens, dass das Netzwerk "hinter" der Sophos-Firewall (von der Firtzbox aus gesehen) nicht in der Fritzbox als Netzwerk hinterlegt ist, so dass dorthin keine Route in der Routing-Tabelle der Fritzbox existiert. Dann kann man den Tunnel von der Firewall aus aufbauen, erreicht aber keine Systeme dahinter. So wie es momentan bei dir aussieht.

    Wenn du nicht weisst, wie das geht, sende ich einen Screenshot.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • Hallo Hans-Jürgen,

    der Klassiker mit der Fritzbox ist meistens, dass das Netzwerk "hinter" der Sophos-Firewall (von der Firtzbox aus gesehen) nicht in der Fritzbox als Netzwerk hinterlegt ist, so dass dorthin keine Route in der Routing-Tabelle der Fritzbox existiert. Dann kann man den Tunnel von der Firewall aus aufbauen, erreicht aber keine Systeme dahinter. So wie es momentan bei dir aussieht.

    Wenn du nicht weisst, wie das geht, sende ich einen Screenshot.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  •  

    Hallo Phillpp,

    doch warum kann dann ein Ping vom Standort A (Meraki FW) den Server im Standort B (Sophos FW)
    per Ping erreichen? Nur wenn ich vom Server Standort B pinge gehts nicht das ich Server am Standort A
    erreiche?

  • Wenn dem so ist wie es Philipp sagt, könntest du evtl. noch überlegen die Fritzbox in den Bridge-Mode schalten zu lassen, sodass, die Public IP direkt auf der Sophos liegt.

    Dann fungiert die Fritzbox nur mehr als reines Modem.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  •  

    Also ich habe mal wie es geschrieben hat die Route von der Fritzbox zum Server B Netzwerk
    gesetzt, trotzdem kommt kein Ping zurück. Möchte aktuell nur ungerne die Fritzbox in den Bridge Modus setzen,
    denn wenn das nicht klappt wäre ich gerne Vorort um das Rückgängig machen zu können.

  • Verstehe ich durchaus. Meine Meinung nach wäre das die sauberere Lösung für Business-Infrastrukturen, außer es gibt einen notwendigen Grund, dass man Double-NAT fahren muss.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  •  

    wir hatten ja auch gedacht das die Telekom dort ein Modem aufstellt. Aber sie haben dann
    eine FritzBox (Heißt natürlich bei der Telekom anders Stuck out tongue winking eye) hingestellt und es ist nicht mal
    möglich dort an die erweiterten Einstellungen zu kommen. Deswegen denke ich wird es
    schwierig die vom Routing-Mode in den Bridge-Mode zu setzen.

  • Habe auf jetzt mal mit der ersten Googlesuche folgendes gefunden (ich weiß natürlich nicht, welches Modell der Fritzbox du hast)  und das wäre eine nicht supportete Möglichkeit:

    Fritzbox: Bridge-Modus aktivieren – wie geht das? (giga.de)

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Für ein paar Modelle gibt es einen "inoffiziellen" Bridge-Mode, welchen man durchs runterladen der Config-Datei und bearbeiten aktivieren kann.

    Aber am besten mit der Telekom mal drüber sprechen und evtl. etwas Druck ausüben.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  •  

    also wüstest Du jetzt auch nicht woran es liegen kann das die Verbindung nicht richtig funktioniert? Habe mal
    auf die Site-to-Site Verbindung geschaut da wo das [i] bei der Verbindung steht und dort steht auch das die
    verbindung zwischen den beiden Netzwerken besteht.
    Bin auch recht ratlos warum es von der einen Seite funktioniert nur halt aus Richtung Sophos Netzwerk nicht.

  • Wie LuCar schon erwähnt hat, verlässt der Traffic die Firewall.

    Mir würde einfach nur mehr einfallen, dass die Fritzbox auf einem LAN-Interface ein 192.168.0.0 Netz kennt und es dorthin versucht zu routen.

    Hast du auch schon in der CLI nachgesehen, ob hier evtl. ein NAT vorhanden ist?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Wie sieht der tracerout aus, wenn du diesen vom Server aus machst? Das wäre noch interessant.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.