Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS2100 Site-to-Site Tunnel Problem

Hallo,

ich habe mal eine Frage. Also wie haben zwischen 2 Standorten eine Site-to-Site IPSec VPN Tunnel aufgebaut. Das klappte auch nach ein paar Schwierigkeiten recht gut. Allerdings haben wir nun das Problem, das wenn wir von Standort A nach Standort B Pingen funktioniert alles. Wenn wir aber von Standort B nach Standort A Pingen, dann geht laut Log der ping Raus, aber im cmd-Prompt gibt es 100% Verlust. Also keine Antworten ereichen uns.

Nun hoffe ich das Ihr mir vielleicht helfen könnt das ich mal schaue ob ich noch irgendwas vergessen habe bei der Konfiguration. Die Aktuelle Konfiguration ist wie folgt:

Server BLN (Standort A) => Meraki FW (Site-to-Site IPSec) => INTERNET <= Fritzbox (Öffentliche IP wird komplett durchgereicht) <= Sophos XGS (Site-to-Site IPSec) <= Server HAN (Standort B)

Konfiguriere noch nicht so lange mit der Sophos und es wundert mich halt das ich vom Standort A alles erreichen kann und auch in den Protokollen steht das die ICMP raus gehen. Achja Server BLN darf auch auf ICMP antworten.

Hoffe das Ihr mir vielleicht den einen oder anderen Tip geben könnt.



This thread was automatically locked due to age.
Parents
  • Mach einen Packet Capture auf dem Webadmin und schau dir die Pakete an. 
    https://www.youtube.com/watch?v=P7irxR4Sh3g&t=32s&pp=ygUYU29ocG9zIHhnIHBhY2tldCBjYXB0dXJl 
    Wenn du Pakete in den Tunnel siehst (Also Out ipsec0) ist es kein Sophos Problem. 

    __________________________________________________________________________________________________________________

  • Guten morgen LuCar Toni,

    Also ich denke mal das es aus der Sophos heraus geht. Hier mal ein Screenshot:

    Doch kann es sein das ich zusätzlich noch eine NAT Regel in der Sophos erstellen muß? Sorry das ich das Frage, aber

    ich habe bisher noch nicht soviel erfahrungen im Aufbau und Konfiguration von Site-to-Site Tunnel wo noch eine FritzBox

    zwischen ist.

  • Sind das oben auf deine NAT Regel wirklich ALLE Nat Regeln? 

    Weil das macht noch weniger Sinn - NAT sollte greifen, zumindest Default NAT (irgendeine). 

    __________________________________________________________________________________________________________________

  •  

    Ich denke mal das NAT nicht genutzt wird weil es ja aus einem Privaten Netzwerk in ein Privates Netzwerk
    geht und dann erst die Fritzbox das NAT übernimmt für das Übersetzen der Privaten IP in eine Öffentliche.

  • Die Firewall sollte jedoch ein NAT nutzen und tut das ja, sie oben. Du schickst NAT Traffic in den IPsec0 Tunnel, daher funktioniert es nicht. 

    Und NAT sollte trotz einer Firewall gehen, die Fritzbox kennt das Netzwerk nicht hinter der Firewall. Daher musst du auf der Firewall auch NAT machen. 

    __________________________________________________________________________________________________________________

  •  

    Muss ich also doch in der Site-to-Site Konfiguration den Hacken setzen für NAT??

  • Nein.

    Kannst du bitte mal die Netzwerk Einstellungen der Firewall posten? 

    Es macht einiges nicht so wirklich Sinn.

    Du brauchst für einen Aufbau mit einer Fritzbox in der Regel eine NAT Regel von Firewall, um LAN to WAN (Fritzbox) zu maskieren.

    Und diese Maskierung nutzt die Firewall auch in den VPN Tunnel, daher geht es nicht. 

    Oder du baust einen Workaround: Füge in der VPN Konfiguration von beiden Seiten die IP der WAN Firewall hinzu (Bei SFOS unter Lokales Subnetz, bei der Gegenstelle unter Remote Subnetz). 

    __________________________________________________________________________________________________________________

  •  

    Du sagtest ja das ich eine NAT Regel benötige, kann es sein das ich in der Firewall-Regel für das VPN
    dort den Punkt nutzen muß für eine Verknüpfte NAT Regel?

    Welche Netzwerk Einstellungen meinst Du?

    Die WAN Schnittstelle hat eine IP aus 192.168.178.0/24
    Das Lokale LAN ist ein 172.16.16.0/24 Netzwerk
    Das Management Netzwerk ist Standard Sophos.

  • Ich glaube, wir reden vollständig aneinander vorbei: 

    Dein Problem ist: Du hast eine SA (SPI) die zwischen A und B aufgebaut wird. Das heißt, die Gegenstelle erwartet, dass der Verkehr von A kommt, und an B geht.

    Wir sehen in deinem Paket Capture, dass du zwar von A kommst, aber in den Tunnel IP C nutzt. 

    Das wird die Gegenstelle verwerfen. 

    Die Frage ist nun, warum du C nutzt in den Tunnel hinein. 

    Dein Netzwerk muss eigentlich ein NAT zwischen LAN und dem Internet machen. Dabei spiegelt dein Internet die Fritzbox wieder. 

    Zeig bitte deine Interfaces einmal. 

    __________________________________________________________________________________________________________________

  • Ich glaube auch, dass das Netzwerk nicht richtig konfiguriert ist, es könnte auch am Routing liegen.

    Auf jeden Fall macht es wenig Sinn den Versuch zu unternehmen, das mit einem NAT zu korrigieren.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  •  

    Bin auch langsam am Ende meiner Gedult angekommen. Denn es ist schon komisch das es nur auf der Seite
    nicht funktioniert wo ich die Sophos über die FritzBox habe. Werde das mal besprechen ob es nicht möglich ist
    das dort am Standort kein weiterer Router steht sondern ein Modem und die Sophos macht dann alles incl. der
    Einwahl ins Internet.

  •  

    Hi,

    also wenn ich von A komme und B erreichen möchte dann klappt das obwohl an Seite B ja
    erst die Fritz und dann die Sophos kommt. Also funktioniert der Exposed Host von der Fritz
    an die Sophos.

    Doch wenn ich von B nach A möchte geht es nicht, obwohl die Sophos sagt erlaubt den Ping
    in den Tunnel zu senden. Doch dann passiert irgendwas und das Paket kommt nicht an bei B.

    Also werde ich nun erstmal schauen wann ich mal wieder Vorort sein werde und dann werde ich
    mal mit der Telekom vorher telefonieren warum dort ein Router steht und kein Modem?

    Trotzdem Danke für deine Hilfe.

Reply
  •  

    Hi,

    also wenn ich von A komme und B erreichen möchte dann klappt das obwohl an Seite B ja
    erst die Fritz und dann die Sophos kommt. Also funktioniert der Exposed Host von der Fritz
    an die Sophos.

    Doch wenn ich von B nach A möchte geht es nicht, obwohl die Sophos sagt erlaubt den Ping
    in den Tunnel zu senden. Doch dann passiert irgendwas und das Paket kommt nicht an bei B.

    Also werde ich nun erstmal schauen wann ich mal wieder Vorort sein werde und dann werde ich
    mal mit der Telekom vorher telefonieren warum dort ein Router steht und kein Modem?

    Trotzdem Danke für deine Hilfe.

Children
  • Ignoriere die Fritzbox. Das hat damit nichts zu tun.

    Dein Problem ist das Maskieren des Verkehrs. Schau dir den Packet Capture an.

    Dort siehst du, dass der Verkehr in IPsec0 verändert wurde. Das darf nicht passieren - so wird es nicht gehen. 

    Dafür kann auch die Telekom nichts - das wird ein Konfig Thema auf der Firewall sein - Irgendwas wurde gemacht, dass sie dazu animiert, diese Maskierung durchzuführen. 

    Aber ohne weitere Analyse wirst du nicht weiter kommen: Hast du einen Partner, der sich das anschauen kann? 

    __________________________________________________________________________________________________________________

  •  

    Ja ich werde das mal mit einem Kollegen zusammen durch gehen. Um zuschauen wo in der Konfig
    es hängt das er das so macht.