Sophos XGS2100 Site-to-Site Tunnel Problem

Mach einen Packet Capture auf dem Webadmin und schau dir die Pakete an. 
https://www.youtube.com/watch?v=P7irxR4Sh3g&t=32s&pp=ygUYU29ocG9zIHhnIHBhY2tldCBjYXB0dXJl 
Wenn du Pakete in den Tunnel siehst (Also Out ipsec0) ist es kein Sophos Problem. 

Guten morgen LuCar Toni,

Also ich denke mal das es aus der Sophos heraus geht. Hier mal ein Screenshot:

Doch kann es sein das ich zusätzlich noch eine NAT Regel in der Sophos erstellen muß? Sorry das ich das Frage, aber

ich habe bisher noch nicht soviel erfahrungen im Aufbau und Konfiguration von Site-to-Site Tunnel wo noch eine FritzBox

zwischen ist.

Was ist diese IP eigentlich, die im Tunnel genattet wird? 

LuCar Toni 

Meinst du die 192.168.178.21 ? Das ist die IP von der Pritzbox die dort als Exposed Host eingerichtet ist. So das alles
auf dem Internet an die öffnetliche IP gerichtet geht dann an die Sophost.

Du musst rausfinden, wieso die Firewall auf die Idee kommt, diese IP zu verwenden. Was mich auch stutzig macht: Deine NAT Rules haben alle keine Hits? 

LuCar Toni 

Das ist die IP Adresse auf der WAN Schnittstelle, denn die Sophos hängt ja hinter einer Fritzbox.

Sind das oben auf deine NAT Regel wirklich ALLE Nat Regeln? 

Weil das macht noch weniger Sinn - NAT sollte greifen, zumindest Default NAT (irgendeine). 

LuCar Toni 

Ich denke mal das NAT nicht genutzt wird weil es ja aus einem Privaten Netzwerk in ein Privates Netzwerk
geht und dann erst die Fritzbox das NAT übernimmt für das Übersetzen der Privaten IP in eine Öffentliche.

Die Firewall sollte jedoch ein NAT nutzen und tut das ja, sie oben. Du schickst NAT Traffic in den IPsec0 Tunnel, daher funktioniert es nicht. 

Und NAT sollte trotz einer Firewall gehen, die Fritzbox kennt das Netzwerk nicht hinter der Firewall. Daher musst du auf der Firewall auch NAT machen. 

LuCar Toni 

Muss ich also doch in der Site-to-Site Konfiguration den Hacken setzen für NAT??

Nein.

Kannst du bitte mal die Netzwerk Einstellungen der Firewall posten? 

Es macht einiges nicht so wirklich Sinn.

Du brauchst für einen Aufbau mit einer Fritzbox in der Regel eine NAT Regel von Firewall, um LAN to WAN (Fritzbox) zu maskieren.

Und diese Maskierung nutzt die Firewall auch in den VPN Tunnel, daher geht es nicht. 

Oder du baust einen Workaround: Füge in der VPN Konfiguration von beiden Seiten die IP der WAN Firewall hinzu (Bei SFOS unter Lokales Subnetz, bei der Gegenstelle unter Remote Subnetz). 

LuCar Toni 

Du sagtest ja das ich eine NAT Regel benötige, kann es sein das ich in der Firewall-Regel für das VPN
dort den Punkt nutzen muß für eine Verknüpfte NAT Regel?

Welche Netzwerk Einstellungen meinst Du?

Die WAN Schnittstelle hat eine IP aus 192.168.178.0/24
Das Lokale LAN ist ein 172.16.16.0/24 Netzwerk
Das Management Netzwerk ist Standard Sophos.

LuCar Toni 

Du sagtest ja das ich eine NAT Regel benötige, kann es sein das ich in der Firewall-Regel für das VPN
dort den Punkt nutzen muß für eine Verknüpfte NAT Regel?

Welche Netzwerk Einstellungen meinst Du?

Die WAN Schnittstelle hat eine IP aus 192.168.178.0/24
Das Lokale LAN ist ein 172.16.16.0/24 Netzwerk
Das Management Netzwerk ist Standard Sophos.

Ich glaube, wir reden vollständig aneinander vorbei: 

Dein Problem ist: Du hast eine SA (SPI) die zwischen A und B aufgebaut wird. Das heißt, die Gegenstelle erwartet, dass der Verkehr von A kommt, und an B geht.

Wir sehen in deinem Paket Capture, dass du zwar von A kommst, aber in den Tunnel IP C nutzt. 

Das wird die Gegenstelle verwerfen. 

Die Frage ist nun, warum du C nutzt in den Tunnel hinein. 

Dein Netzwerk muss eigentlich ein NAT zwischen LAN und dem Internet machen. Dabei spiegelt dein Internet die Fritzbox wieder. 

Zeig bitte deine Interfaces einmal. 

LuCar Toni 

Hi,

also wenn ich von A komme und B erreichen möchte dann klappt das obwohl an Seite B ja
erst die Fritz und dann die Sophos kommt. Also funktioniert der Exposed Host von der Fritz
an die Sophos.

Doch wenn ich von B nach A möchte geht es nicht, obwohl die Sophos sagt erlaubt den Ping
in den Tunnel zu senden. Doch dann passiert irgendwas und das Paket kommt nicht an bei B.

Also werde ich nun erstmal schauen wann ich mal wieder Vorort sein werde und dann werde ich
mal mit der Telekom vorher telefonieren warum dort ein Router steht und kein Modem?

Trotzdem Danke für deine Hilfe.

Ignoriere die Fritzbox. Das hat damit nichts zu tun.

Dein Problem ist das Maskieren des Verkehrs. Schau dir den Packet Capture an.

Dort siehst du, dass der Verkehr in IPsec0 verändert wurde. Das darf nicht passieren - so wird es nicht gehen. 

Dafür kann auch die Telekom nichts - das wird ein Konfig Thema auf der Firewall sein - Irgendwas wurde gemacht, dass sie dazu animiert, diese Maskierung durchzuführen. 

Aber ohne weitere Analyse wirst du nicht weiter kommen: Hast du einen Partner, der sich das anschauen kann? 

LuCar Toni 

Ja ich werde das mal mit einem Kollegen zusammen durch gehen. Um zuschauen wo in der Konfig
es hängt das er das so macht.