Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Local service ACL exception rule per CLI neu laden

Hallo zusammen,

folgendes Szenario: ich möchte von zu Hause aus auf die Web-GUI der XGS116w (Testumgebung in meinem Unternehmen) zugreifen. Habe eine Local service ACL exception rule erstellt die den Zugang von der entsprechenden IP erlaubt.

Und hier kommt das Problem: da normaler Telekom-Privatkunde ändert sich meine IP immer mal wieder, was ich über DynDNS abfange. Da man verständlicherweise bei der Regel keinen FQDN-Host eintragen kann, habe ich es so gelöst, dass ich per Python Script mit paramiko Bibliothek regelmäßig die aktuelle IP des besagten Hosts per nslookup abfrage und wenn es eine Änderung gibt entsprechend die neue IP in die Datenbank (pgsql) eintragen lasse. Das funktioniert auch soweit astrein,

ABER:

Anfragen an die Web-GUI kommen nach der Datenbankänderung nicht mehr durch. Es scheint, dass mehr als nur eine Änderung der IP in der Datenbank nötig ist. Vielleicht muss man zusätzlich noch die Local service ACL exception rule neuladen oder löschen und wieder anlegen. 

Hat jemand eine Idee, wie man das über die CLI / advanced shell hinbekommt? Oder einen Alternativvorschlag?

Beste Grüße,

Gary



This thread was automatically locked due to age.
Parents
  • Hallo  ,

    du könntest einen IPSec-Tunnel aufbauen, der in der Firma wie folgt aussieht, und es mit Local ID und Remote ID aufbauen:

    Habe es so für 2 private XG's Home gelöst.

    EDIT: Hier noch die Settings für die Home-Appliance:

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    vielen Dank für die schnelle Antwort!
    Klar, IPSec Tunnel wäre eine Option, das hatte ich in der Vergangenheit auch schon mal gemacht, frage mich aber, ob es für bloßen Zugriff auf die Web-GUI (ohne unbedingt auch auf die Server usw. hinter der XGS zu wollen) nicht etwas zu groß abgebissen ist. Dafür ist ja theoretisch der einfachste Weg so eine ACL Exception Rule - wäre da nicht die ständige IP-Erneuerung...
    Aber wenn es über die CLI nicht möglich ist, die entsprechende Exception Rule neu zu laden bzw. zu löschen und neu anzulegen, bedeutet es wohl auch, dass man das Ganze nicht automatisieren kann und dann wäre der Tunnel tatsächlich die einzige Alternative.

Reply
  • Hallo,

    vielen Dank für die schnelle Antwort!
    Klar, IPSec Tunnel wäre eine Option, das hatte ich in der Vergangenheit auch schon mal gemacht, frage mich aber, ob es für bloßen Zugriff auf die Web-GUI (ohne unbedingt auch auf die Server usw. hinter der XGS zu wollen) nicht etwas zu groß abgebissen ist. Dafür ist ja theoretisch der einfachste Weg so eine ACL Exception Rule - wäre da nicht die ständige IP-Erneuerung...
    Aber wenn es über die CLI nicht möglich ist, die entsprechende Exception Rule neu zu laden bzw. zu löschen und neu anzulegen, bedeutet es wohl auch, dass man das Ganze nicht automatisieren kann und dann wäre der Tunnel tatsächlich die einzige Alternative.

Children
  • Du brauchst ja keine Firewall-Rules für das restliche Netz definieren, es reicht, wenn nur der Tunnel steht und bei Device access unter der VPN-Zone der HTTPS Admin service aktiviert ist.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.