Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS2100 Site-to-Site Tunnel Problem

Hallo,

ich habe mal eine Frage. Also wie haben zwischen 2 Standorten eine Site-to-Site IPSec VPN Tunnel aufgebaut. Das klappte auch nach ein paar Schwierigkeiten recht gut. Allerdings haben wir nun das Problem, das wenn wir von Standort A nach Standort B Pingen funktioniert alles. Wenn wir aber von Standort B nach Standort A Pingen, dann geht laut Log der ping Raus, aber im cmd-Prompt gibt es 100% Verlust. Also keine Antworten ereichen uns.

Nun hoffe ich das Ihr mir vielleicht helfen könnt das ich mal schaue ob ich noch irgendwas vergessen habe bei der Konfiguration. Die Aktuelle Konfiguration ist wie folgt:

Server BLN (Standort A) => Meraki FW (Site-to-Site IPSec) => INTERNET <= Fritzbox (Öffentliche IP wird komplett durchgereicht) <= Sophos XGS (Site-to-Site IPSec) <= Server HAN (Standort B)

Konfiguriere noch nicht so lange mit der Sophos und es wundert mich halt das ich vom Standort A alles erreichen kann und auch in den Protokollen steht das die ICMP raus gehen. Achja Server BLN darf auch auf ICMP antworten.

Hoffe das Ihr mir vielleicht den einen oder anderen Tip geben könnt.



This thread was automatically locked due to age.
Parents Reply Children
  •  

    Das ist die IP Adresse auf der WAN Schnittstelle, denn die Sophos hängt ja hinter einer Fritzbox.

  • Sind das oben auf deine NAT Regel wirklich ALLE Nat Regeln? 

    Weil das macht noch weniger Sinn - NAT sollte greifen, zumindest Default NAT (irgendeine). 

    __________________________________________________________________________________________________________________

  •  

    Ich denke mal das NAT nicht genutzt wird weil es ja aus einem Privaten Netzwerk in ein Privates Netzwerk
    geht und dann erst die Fritzbox das NAT übernimmt für das Übersetzen der Privaten IP in eine Öffentliche.

  • Die Firewall sollte jedoch ein NAT nutzen und tut das ja, sie oben. Du schickst NAT Traffic in den IPsec0 Tunnel, daher funktioniert es nicht. 

    Und NAT sollte trotz einer Firewall gehen, die Fritzbox kennt das Netzwerk nicht hinter der Firewall. Daher musst du auf der Firewall auch NAT machen. 

    __________________________________________________________________________________________________________________

  •  

    Muss ich also doch in der Site-to-Site Konfiguration den Hacken setzen für NAT??

  • Nein.

    Kannst du bitte mal die Netzwerk Einstellungen der Firewall posten? 

    Es macht einiges nicht so wirklich Sinn.

    Du brauchst für einen Aufbau mit einer Fritzbox in der Regel eine NAT Regel von Firewall, um LAN to WAN (Fritzbox) zu maskieren.

    Und diese Maskierung nutzt die Firewall auch in den VPN Tunnel, daher geht es nicht. 

    Oder du baust einen Workaround: Füge in der VPN Konfiguration von beiden Seiten die IP der WAN Firewall hinzu (Bei SFOS unter Lokales Subnetz, bei der Gegenstelle unter Remote Subnetz). 

    __________________________________________________________________________________________________________________

  •  

    Du sagtest ja das ich eine NAT Regel benötige, kann es sein das ich in der Firewall-Regel für das VPN
    dort den Punkt nutzen muß für eine Verknüpfte NAT Regel?

    Welche Netzwerk Einstellungen meinst Du?

    Die WAN Schnittstelle hat eine IP aus 192.168.178.0/24
    Das Lokale LAN ist ein 172.16.16.0/24 Netzwerk
    Das Management Netzwerk ist Standard Sophos.

  • Ich glaube, wir reden vollständig aneinander vorbei: 

    Dein Problem ist: Du hast eine SA (SPI) die zwischen A und B aufgebaut wird. Das heißt, die Gegenstelle erwartet, dass der Verkehr von A kommt, und an B geht.

    Wir sehen in deinem Paket Capture, dass du zwar von A kommst, aber in den Tunnel IP C nutzt. 

    Das wird die Gegenstelle verwerfen. 

    Die Frage ist nun, warum du C nutzt in den Tunnel hinein. 

    Dein Netzwerk muss eigentlich ein NAT zwischen LAN und dem Internet machen. Dabei spiegelt dein Internet die Fritzbox wieder. 

    Zeig bitte deine Interfaces einmal. 

    __________________________________________________________________________________________________________________

  • Ich glaube auch, dass das Netzwerk nicht richtig konfiguriert ist, es könnte auch am Routing liegen.

    Auf jeden Fall macht es wenig Sinn den Versuch zu unternehmen, das mit einem NAT zu korrigieren.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  •  

    Bin auch langsam am Ende meiner Gedult angekommen. Denn es ist schon komisch das es nur auf der Seite
    nicht funktioniert wo ich die Sophos über die FritzBox habe. Werde das mal besprechen ob es nicht möglich ist
    das dort am Standort kein weiterer Router steht sondern ein Modem und die Sophos macht dann alles incl. der
    Einwahl ins Internet.