Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 9 subscribers
  • Views 1640 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG Remote Access SSLVPN Problem with Internet Access

Jörg Falch1

Hallo zusammen,

Folgendes Problem:

Der Tunnelaufbau funktioniert, Zugriff zu Internen Ressourcen funktionieren ebenfalls wie gewollt. Jedoch können die Clients nicht Surfen. Use as default Gateway muss aufgrund von Sicherheitsvorgaben hinterlegt bleiben und das VPN muss auf der Internen Firewall terminiert werden. 

Auf den Firewalls sehe ich keinen http/https oä. Traffic um das Problem zu Analysieren.

Habt Ihr eine Idee, was hier noch fehlt/ falsch ist?

Vielen Dank im Voraus.

Beste Grüße,

Florian



This thread was automatically locked due to age.
  • 0

    Wie sieht denn ein traceroute vom VPN-Client zu heise.de aus?

    Wenn das logging aktiviert ist, sollte zuerst an der internen Firewall etwas zugelassenes/geblocktes zu sehen sein (logviewer bzw packet-capture)  und dann auch an der externen.

    in Frage kommen z.B.:

    - falsche Firewall-rules

    - fehlende Routen (FW1 zurück zum VPN-Subnetz)

    - falsches /fehlensed SNAT/MASQ der VPN-traffic in Richtung internet.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    PS: wenn an der ersten FW-Stufe nicht maskiert wird, dürfte es auch nicht funktionieren, da sonst mit der Adresse 192.168.5.33 ins internet gegangen wird.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Lass mal hier das MASQ weg:

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to dirkkotte

    Servus DIrk,

    danke für deine Rückmeldung. 

    Das ist mein Problem.. ich sehe keinerlei Logs bzgl dieser Anfragen.
    Ein Tracert auf dem Endgerät zu heise.de kann zwar den DNS auflösen, jedoch kommt dieser gar nicht raus.

    Ein Tracert zu Internen Maschinen funktioniert.

    Danke und VG,

    Florian

  • 0 in reply to PhilippRusch

    Servus Phillipp,

    Danke für deine Antwort. Sowohl als "Ursprünglich" statt MASQ als auch komplett ohne NAT (neue Regel erstellt VPN zu Internet) keine Änderung.

    Beste Grüße,

    Florian

  • 0

    Hallo zusammen,

    kurzes Status Update:

    inzwischen bin ich denke ich etwas weiter gekommen. Wenn ich bei den VPN Settings als Permitted Network die WAN Schnittstelle angebe, erhalte ich im Paketcapture Logs.

    SN Ein   Eth. Art        Quell IP (VPN Client)                Ziel IP          Pakettyp        Ports        Nat ID   Regel ID      Status        Grund         Verbindungsstatus

    tun0         IPv4        192.168.10.3                           23.88.74.179         TCP         61691,443      0            0           Verstöße    SSL_VPN     UNREPLIED

    VG Florian

Unfiltered HTML