Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG Remote Access SSLVPN Problem with Internet Access

Hallo zusammen,

Folgendes Problem:

Der Tunnelaufbau funktioniert, Zugriff zu Internen Ressourcen funktionieren ebenfalls wie gewollt. Jedoch können die Clients nicht Surfen. Use as default Gateway muss aufgrund von Sicherheitsvorgaben hinterlegt bleiben und das VPN muss auf der Internen Firewall terminiert werden. 

Auf den Firewalls sehe ich keinen http/https oä. Traffic um das Problem zu Analysieren.

Habt Ihr eine Idee, was hier noch fehlt/ falsch ist?

Vielen Dank im Voraus.

Beste Grüße,

Florian



This thread was automatically locked due to age.
Parents
  • Wie sieht denn ein traceroute vom VPN-Client zu heise.de aus?

    Wenn das logging aktiviert ist, sollte zuerst an der internen Firewall etwas zugelassenes/geblocktes zu sehen sein (logviewer bzw packet-capture)  und dann auch an der externen.

    in Frage kommen z.B.:

    - falsche Firewall-rules

    - fehlende Routen (FW1 zurück zum VPN-Subnetz)

    - falsches /fehlensed SNAT/MASQ der VPN-traffic in Richtung internet.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Wie sieht denn ein traceroute vom VPN-Client zu heise.de aus?

    Wenn das logging aktiviert ist, sollte zuerst an der internen Firewall etwas zugelassenes/geblocktes zu sehen sein (logviewer bzw packet-capture)  und dann auch an der externen.

    in Frage kommen z.B.:

    - falsche Firewall-rules

    - fehlende Routen (FW1 zurück zum VPN-Subnetz)

    - falsches /fehlensed SNAT/MASQ der VPN-traffic in Richtung internet.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • PS: wenn an der ersten FW-Stufe nicht maskiert wird, dürfte es auch nicht funktionieren, da sonst mit der Adresse 192.168.5.33 ins internet gegangen wird.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Servus DIrk,

    danke für deine Rückmeldung. 

    Das ist mein Problem.. ich sehe keinerlei Logs bzgl dieser Anfragen.
    Ein Tracert auf dem Endgerät zu heise.de kann zwar den DNS auflösen, jedoch kommt dieser gar nicht raus.

    Ein Tracert zu Internen Maschinen funktioniert.

    Danke und VG,

    Florian