Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 62 replies
  • Answers 1 answer
  • Subscribers 12 subscribers
  • Views 4628 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS2100 Site-to-Site Tunnel Problem

Hans-Juergen Guenter

Hallo,

ich habe mal eine Frage. Also wie haben zwischen 2 Standorten eine Site-to-Site IPSec VPN Tunnel aufgebaut. Das klappte auch nach ein paar Schwierigkeiten recht gut. Allerdings haben wir nun das Problem, das wenn wir von Standort A nach Standort B Pingen funktioniert alles. Wenn wir aber von Standort B nach Standort A Pingen, dann geht laut Log der ping Raus, aber im cmd-Prompt gibt es 100% Verlust. Also keine Antworten ereichen uns.

Nun hoffe ich das Ihr mir vielleicht helfen könnt das ich mal schaue ob ich noch irgendwas vergessen habe bei der Konfiguration. Die Aktuelle Konfiguration ist wie folgt:

Server BLN (Standort A) => Meraki FW (Site-to-Site IPSec) => INTERNET <= Fritzbox (Öffentliche IP wird komplett durchgereicht) <= Sophos XGS (Site-to-Site IPSec) <= Server HAN (Standort B)

Konfiguriere noch nicht so lange mit der Sophos und es wundert mich halt das ich vom Standort A alles erreichen kann und auch in den Protokollen steht das die ICMP raus gehen. Achja Server BLN darf auch auf ICMP antworten.

Hoffe das Ihr mir vielleicht den einen oder anderen Tip geben könnt.



This thread was automatically locked due to age.
Parents
  • 0

    Hallo  ,

    hast du bei Standort A unter Administration -> Device access -> bei VPN den Punkt "Ping/Ping6" aktiviert?

    EDIT: Bitte vergiss meine Antwort, ich habe es falsch gelesen. Am Standort A steht ja eine Meraki. Passt bei Standort A die Firewall-Rule, sodass ICMP durchgelassen wird?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Hallo Thomas_XG,

    kann das Problem vielleicht die Fritzbox sein die dazwischen ist am Standort B? Das deswegen die Ping-Pakete nicht wieder zurück kommen zum Server HAN an Standort B.

    Hier mal die Netze die aktuell da sind:

    Standort A (192.168.0.0) - (Feste IP aus 192.168.0.x) Meriaki (Öffentliche IP) - INTERNET - (Öffentliche IP) Fritzbox (192.168.178.0) - (Feste IP 192.168.178.x) Sophos (Feste IP 172.16.16.x) - (172.16.16.0) Standort B

  • 0 in reply to Hans-Juergen Guenter

    Verstehe ich durchaus. Meine Meinung nach wäre das die sauberere Lösung für Business-Infrastrukturen, außer es gibt einen notwendigen Grund, dass man Double-NAT fahren muss.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

     

    wir hatten ja auch gedacht das die Telekom dort ein Modem aufstellt. Aber sie haben dann
    eine FritzBox (Heißt natürlich bei der Telekom anders Stuck out tongue winking eye) hingestellt und es ist nicht mal
    möglich dort an die erweiterten Einstellungen zu kommen. Deswegen denke ich wird es
    schwierig die vom Routing-Mode in den Bridge-Mode zu setzen.

  • 0 in reply to Hans-Juergen Guenter

    Habe auf jetzt mal mit der ersten Googlesuche folgendes gefunden (ich weiß natürlich nicht, welches Modell der Fritzbox du hast)  und das wäre eine nicht supportete Möglichkeit:

    Fritzbox: Bridge-Modus aktivieren – wie geht das? (giga.de)

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Hans-Juergen Guenter

    Für ein paar Modelle gibt es einen "inoffiziellen" Bridge-Mode, welchen man durchs runterladen der Config-Datei und bearbeiten aktivieren kann.

    Aber am besten mit der Telekom mal drüber sprechen und evtl. etwas Druck ausüben.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

     

    also wüstest Du jetzt auch nicht woran es liegen kann das die Verbindung nicht richtig funktioniert? Habe mal
    auf die Site-to-Site Verbindung geschaut da wo das [i] bei der Verbindung steht und dort steht auch das die
    verbindung zwischen den beiden Netzwerken besteht.
    Bin auch recht ratlos warum es von der einen Seite funktioniert nur halt aus Richtung Sophos Netzwerk nicht.

  • 0 in reply to Hans-Juergen Guenter

    Wie LuCar schon erwähnt hat, verlässt der Traffic die Firewall.

    Mir würde einfach nur mehr einfallen, dass die Fritzbox auf einem LAN-Interface ein 192.168.0.0 Netz kennt und es dorthin versucht zu routen.

    Hast du auch schon in der CLI nachgesehen, ob hier evtl. ein NAT vorhanden ist?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Hans-Juergen Guenter

    Wie sieht der tracerout aus, wenn du diesen vom Server aus machst? Das wäre noch interessant.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

     

    Hier mal das Tracert vom Server aus:

    Es geht zur Sophos und dort wird es dann verschluckt :-(

  • 0 in reply to Hans-Juergen Guenter

    Zeig mir bitte mal die Hosts Einträge die du auf der Firewall eingetragen hast, stimmen dort die Subnets auch? Nehme an, die 192.168.0.x ist auf beiden Seiten ein /24 Netz?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

     

    Ja das Netzwerk ist ein 192.168.0.0/24

Reply Children
No Data
Unfiltered HTML