Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS FW mit Mehreren GW

Hallo Forum,

wir haben bei uns ein Sophos im Einsatz und 2 verschiedene GW auf einem Port.

Wir haben auf dem Port 2 fixe IPs und wollen den Traffic der zu uns ins Netzwerk kommt schön gestallten.

Wir bieten eine Cloud an, die sagen wir mal über 192.168.1.100 erreichbar ist und haben noch ein privates Netzwerk was, sagen wir mal auf IP 192.168.1.110 erreicht werden kann. Die Cloud Server und das private Netzwerk sind hinter der FW das gleiche Netzwerk man erreicht sie einfach durch eine andere WAN IP.

Wenn man jetzt aber auf der Cloud mit GW (192.168.1.100) ist und auf wieistmeineip.de geht dann kann man sehen das der verkehr über die 192.168.1.110 raus geht.

Wie kann ich das einrichten dass der verkehr von gewissen Server über den einten GW raus geht (192.168.1.100) und der andere Verkehr über (192.168.1.110)?



This thread was automatically locked due to age.
Parents
  • Hallo Roger,

    1 legst du die IPs die nach draussen senden sollen als IP Host an.

    2 legst du die Netze oder einzelne Geräte als IP Host an die mit einer bestimmten IP ausgehend senden sollen.

    3 legst du eine SD WAN Regel an, hier gibst du die Systeme an die ausgehend eine bestimmte IP versenden sollen

    4. In der SD WAN Regel das Gateway angeben und den "Haken" an " Immer über dieses Gayteway Routen"

    5 SNAT Regel siehe Besiepiel Foto, bei übersetzte Quelle muss die IP rein die gesendet wird. Bei Ursprüngleiche Quelle das Netz oder der einzelne IP Host.

    7 Firewall Regel anlegen, hier im Beispiel benutzen mehrer Server eine Regel.

    Willst du den Server noch eingehend erreichbar machen über die gewisse IP, must du noch eine DNAT Regel anlegen und eine entsprechende Firewallregel für die DNAT Regel

    Beste Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hallo Patrick,

    Ich habe jetzt das versucht nachzustellen was du mir Hier gezeigt hasst leider aber geht es bei mir noch nicht. Ich habe zum testen mal nur 1 Server der Cloud über den einten GW versucht zu leiten und sonst hätte ich eine gruppe mit allen drin.

    Das hier ist die SD WAN Konfiguration die ich machte.

    Und das ist die SNAT Regel eine FW Regel gibt es bereits.

    Danke Für die Hilfe.

    Gruß Roger

Reply
  • Hallo Patrick,

    Ich habe jetzt das versucht nachzustellen was du mir Hier gezeigt hasst leider aber geht es bei mir noch nicht. Ich habe zum testen mal nur 1 Server der Cloud über den einten GW versucht zu leiten und sonst hätte ich eine gruppe mit allen drin.

    Das hier ist die SD WAN Konfiguration die ich machte.

    Und das ist die SNAT Regel eine FW Regel gibt es bereits.

    Danke Für die Hilfe.

    Gruß Roger

Children
  • Schönen guten Morgen Roger,

    Wie ist deine Routing Rheinfolge eingestellt? so habe ich mir die Rheinfolge gesetzt, kann mit dem Putty via SSH angepasst werden

    4 Device Console 

    Diesen Befehl verwenden

    system route_precedence set static vpn sdwan_policyroute

    bitte versuche mal die SD-WAN Route so zu legen.

    ACHTUNG: Bei der eingehenden Schnittstelle, ich brauche wirklich nur diese! Bitte bedenke das deine Situation anders sein könnte.

    Du hast da oben in der SD-WAN Route auch ein Zielnetzwerk drin, das würde ich auf beliebig stellen.

    Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Du hast da oben in der SD-WAN Route auch ein Zielnetzwerk drin, das würde ich auf beliebig stellen.

    Danke für den Tip mit dem hat es jetzt funktioniert

  • Sehr gerne Slight smile

    Als Erklärung: Du hast die Sophos an der Stelle angewiesen das nur diese 1 IP (Deine Externe IP) erreicht werden darf. Aber du willst ja auch ins WWW (ist ja auch ein Zielnetzwerk), damit hast du das geblockt, also wird die nächste SD-WAN Regel verwendet wenn es möglich ist, somit wird dann für das WWW der andere WAN Port verwendet. Slight smile

    Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!