Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Local service ACL exception rule per CLI neu laden

Hallo zusammen,

folgendes Szenario: ich möchte von zu Hause aus auf die Web-GUI der XGS116w (Testumgebung in meinem Unternehmen) zugreifen. Habe eine Local service ACL exception rule erstellt die den Zugang von der entsprechenden IP erlaubt.

Und hier kommt das Problem: da normaler Telekom-Privatkunde ändert sich meine IP immer mal wieder, was ich über DynDNS abfange. Da man verständlicherweise bei der Regel keinen FQDN-Host eintragen kann, habe ich es so gelöst, dass ich per Python Script mit paramiko Bibliothek regelmäßig die aktuelle IP des besagten Hosts per nslookup abfrage und wenn es eine Änderung gibt entsprechend die neue IP in die Datenbank (pgsql) eintragen lasse. Das funktioniert auch soweit astrein,

ABER:

Anfragen an die Web-GUI kommen nach der Datenbankänderung nicht mehr durch. Es scheint, dass mehr als nur eine Änderung der IP in der Datenbank nötig ist. Vielleicht muss man zusätzlich noch die Local service ACL exception rule neuladen oder löschen und wieder anlegen. 

Hat jemand eine Idee, wie man das über die CLI / advanced shell hinbekommt? Oder einen Alternativvorschlag?

Beste Grüße,

Gary



This thread was automatically locked due to age.
  • Hallo  ,

    du könntest einen IPSec-Tunnel aufbauen, der in der Firma wie folgt aussieht, und es mit Local ID und Remote ID aufbauen:

    Habe es so für 2 private XG's Home gelöst.

    EDIT: Hier noch die Settings für die Home-Appliance:

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    vielen Dank für die schnelle Antwort!
    Klar, IPSec Tunnel wäre eine Option, das hatte ich in der Vergangenheit auch schon mal gemacht, frage mich aber, ob es für bloßen Zugriff auf die Web-GUI (ohne unbedingt auch auf die Server usw. hinter der XGS zu wollen) nicht etwas zu groß abgebissen ist. Dafür ist ja theoretisch der einfachste Weg so eine ACL Exception Rule - wäre da nicht die ständige IP-Erneuerung...
    Aber wenn es über die CLI nicht möglich ist, die entsprechende Exception Rule neu zu laden bzw. zu löschen und neu anzulegen, bedeutet es wohl auch, dass man das Ganze nicht automatisieren kann und dann wäre der Tunnel tatsächlich die einzige Alternative.

  • Du brauchst ja keine Firewall-Rules für das restliche Netz definieren, es reicht, wenn nur der Tunnel steht und bei Device access unter der VPN-Zone der HTTPS Admin service aktiviert ist.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    du könntest die ip per api ändern.

    das sollte sofort aktiv werden


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Vielen Dank Dirk,

    das funktioniert tatsächlich - und sämtliche Regeln, in denen der Host vorkommt, werden automatisch aktualisiert - genau wie gewünscht! Habe mein Python-Script entsprechend angepasst - sind jetzt auch ein paar Zeilen weniger Code als vorher bei der Datenbankänderung Slight smile Gut zu wissen, dass so eine Automatisierung mittels API möglich ist und funktioniert.

    Trotzdem auch danke an   - das mit dem Tunnel wäre natürlich die Standardlösung, aber wenn man ein wenig "basteln" möchte ist die API schon eine feine Sache Slight smile