Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 22 replies
  • Answers 1 answer
  • Subscribers 10 subscribers
  • Views 2337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG210 Remote-VPN Zugriffsproblem

Hans-Juergen Guenter

Hallo,

ich hoffe mal das ihr mir hier etwas helfen könnt. Aktuell möchte ein Kunde nun das er egal aus welchen 
Remote-VPN er sich einwählt an alle Freigaben kommen kann. Intern funktioniert es schon, aber per
Remote-VPN kommt man nur auf Freigaben die von der Einwahl-Sophos verwaltet werden.

HIer mal zur Veranschaulichung:

Remote-PC -> Remote-VPN -> Sophos XG210 Netzwerk 1 -> 172.16.16.0 erreichbar
                                                                                               -> 10.28.10.0 nicht erreichbar
                                                                                               -> 10.200.0.0 nicht erreichbar

Remote-PC -> Remote-VPN -> Sophos XG210 Netzwerk 2 -> 10.28.10.0 erreichbar
                                                                                               -> 10.200.0.0 nicht erreichbar
                                                                                               -> 172.16.16.0 nicht erreichbar

Remote-PC -> Remote-VPN -> Sophos XG210 Netzwerk 3 -> 10.200.0.0 erreichbar
                                                                                               -> 10.28.10.0 nicht erreichbar
                                                                                               -> 172.16.16.0 nicht erreichbar

Also ich würde nun gerne es noch hinbekommen das man über die Remote-VPN im Netzwerk 1 auch
das Netzwerk 10.28.10.0 und 10.200.0.0 Netzwerke erreicht werden können. Denn wie gesagt, intern
funktioniert es das ich alle Netzwerke erreichen kann. Nur halt wenn ich mich per SSLVPN einwähle
dann bekomme ich keine Antworten aus den Netzwerken.
würde mich freuen wenn ihr mir vielleicht den einen oder anderen Tip geben könntet so das ich mich
morgen damit beschäftigen kann um für die 3 Remote-VPN Zugänge es so einzustellen das egal welcher
Remote-VPN zugang genutzt wird er weiter wie Intern Zugriff auf alle Resourcen hat. 

Danke schon mal vorab für Eure Hilfe

Beste Grüße



This thread was automatically locked due to age.
  • 0

    Hallo Hans-Juergen,

    sind die 3 Sophos via site-to-site VPN verbunden? Wenn ja, musst du nicht nur in den Firewall Regeln das SSLVPN Netz erlauben, sondern auch in den site-to-site VPN verbindungen, also in der VPN Verbindung selber (lokales/entferntes Netz).  Die Firewall,die das SSLVPN Netz zur Verfügung stellt, die muss in der site-so-site VPN bei lokalen Netz die SSLVPN Netz definiert bekommen. bei den anderen beiden Sophos, musste du das SSLVPN Netz bei entferntes Netz hinzu fügen + Firewall Regeln.

    Stellt jede Sophos eine SSL VPN zur Verfügung, muss das SSL VPN Netz auch in jeder der site-to-site VPN als Lokal oder jeweils entfernt konfiguriert werden, mit den entsprechenden Firewall Regeln dazu.

    Ich hoffe es hilft dir.

    Beste Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0 in reply to Patrick81

    Hallo Patrick,

    nein die sind nicht per Site-to-Site VPN verbunden. Wie ich ja schon geschrieben habe, funktionieren die Netzwerke
    intern untereinander ohne Probleme. Was ich nun brauche ist der Ansatz wie ich nun wenn ich mich mit dem Remote-VPN
    auf Sophos XG 1  einwähle das ich dann auch zugriff bekomme auf Resourcen in den beiden anderen Netzwerken. Genauso
    soll es funktionieren das wenn ich über Sophos XG 2 oder 3 Remote mich einwähle das ich dann Zugriff auf Recourcen in
    Netzwerk 1 bekomme.

    Würde mich freuen Du mir da vielleicht ein bischen Hilfe geben könntest. Arbeite noch nicht so lange mit Sophos FW um dort
    alles sofort konfigurieren zu können.

    Wenn ich von der Sophos direkt einen Client anpinge funktioniert es, nur nicht wenn ich es aus dem Homeoffice per Remote-VPN
    mache. dann Geht der Ping nur raus aber es kommt nichts zurück.

    Bedeutet das das ich die Remote-VPN netzwerke bei den anderen 2 Sophos eintragen muss und wenn ja wo muss ich die dann
    bekannt machen? 

    Hoffe das Du mir da helfen kannst.

  • 0 in reply to Hans-Juergen Guenter

    Ok, ich hoffe ich habe es richtig verstanden. Je nach dem wie das Konstrukt gebaut ist, habe ich eventuell nicht genug Kundenspezifisches Hintergrund wissen. Hast du mal eine Regel gebaut die in etwa so aussieht? Nicht wunden in der Regel habe ich als Dienst nur RDP drin.

    Wenn die Netze in alle Richtungen kommunizieren sollen, musste du diese auch jeweils als Quelle und Ziel definieren. Dies muss Analog auf allen Firewalls passieren. Ich denke Quellzone und Zielzone sollten am besten in dem Fall auf Any stehen. Die Beschränkung führst du über Quellnetzwerke und Zielnetzwerke + Dienste einher.

    Ich helfe dir gerne, finde ich grade spannend, muss es aber auch selber zu 100% verstehen wie dein Konstrukt ausschaut um dir beste möglich zu helfen. dann prüfe ob etwas in die Regel rein geht.

    Wenn etwas in die Regel reinläuft, aber dennoch etwas blockiert wird, bleibt nicht viel über als die Protokolle zu prüfen.

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0 in reply to Patrick81

    Hallo Patrick,

    danke für deinen Tip. Ich werde morgen wenn ich im Büro bin da mal schauen und dir dann berichten.
    So habe ich aber schon mal grob einen ansatz wo ich ansetzen kann.

  • 0 in reply to Hans-Juergen Guenter

    Hallo Hans-Guenter,

    haben die 3 Remote-VPN-Netze unterschiedliche IP-Adressbereiche?

    Sonst gibt es ein Routing-Problem. Dann könnte man evtl. mit SNAT was basteln, aber separate Bereiche ist sauberer.

    ... Und im Routing müssen die Wege zu den RAS-Netzen natürlich auch bekannt sein?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to Patrick81

    Hallo  ,

    ich habe mal geschaut und folgende Regel gefunden für das Remote SSLVPN:

    Bin aktuell echt am verzweifeln warum es nicht funktioniert :-(

  • 0 in reply to dirkkotte

    Hi  ,

    ja die Remote VPN haben jeweils eigene Netzwerke. Habe es auch schon versucht mit einer Statischen Route die zum Remote-VPN des 172.16.16.0 führt hinzubekommen. Aber es gibt immer noch keine Antworten :-(

  • 0

    Was ist mit den Routen? 

    Wie kommt XG1 an das Netzwerk von XG2? 

    Wahrscheinlich hast du überall das selbe SSLVPN Netzwerk? 

    Probier dann mal eine SNAT Regel, das sollte dann funktionieren. Also NAT Rule - MASQ auf Source IP und alles vom SSLVPN in Richtung XG2 bzw. 3. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo  ,

    also jedes der XG VPN Netze ist unterschiedlich. Unterschiedliche Netzwerke für jedes Remote-VPN.
    Es ist halt echt komisch das über den Zugriff per Remote VPN man nicht wie im internen Netzwerk
    auch an alle Resourcen heran kommt.

  • 0 in reply to Hans-Juergen Guenter

    Wenn die SFOS Appliance selbst alle Netze erreicht, wird auch ein SNAT funktionieren. 

    __________________________________________________________________________________________________________________

Unfiltered HTML