Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 10 subscribers
  • Views 3603 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN IPsec Tunnel mit Internetzugang über eine Firewall

Wolfgang Ritter1

Hallo

Ich habe zwei Firewalls Head Office (Bach) und Filiale (Dornbirn) XG135 SFOS 19.5

Die WAN und Router Adressen sind in der Grafik nicht real.

Bach: Ist hinter einem router welcher im bridge mode arbeitet. Das WAN interface ist nicht direkt verbunden sondern über VLAN TAG als Vorgabe vom Provider.

Dornbirn: Ist hinter einem router welcher im NAT mode arbeitet.

Beide Firewalls sind über eine VPN IPSEC mit connection type "Tunnel" verbunden. Die Verbindungen sind auf beiden Seiten ok. Ein ping auf aktive IP Adressen kann gemacht werden und zwar von beiden Netzwerken aus. Allerdings lässt sich die Firewall Bach nicht nicht über die interne IP Adresse aus dem Netz Dornbirn starten. Über die externe Adresse ist der Zugriff möglich.

Bach:
VPN:

Static Route:


Rules Outbound / Inbound:

Dornbirn:

VPN:

Static Route:

Rules Outbound / Inbound:

Ich habe zwei Probleme zu lösen:

  1. Ich will den gesamten Datenverkehr über den Tunnel schicken (LAN und WAN) und der Zugang zum Internet soll nur über die Firewall BACH erfolgen. Ich habe eine Route erstellt mit dem Ziel 0.0.0.0/0 was allerdings dazu geführt hat, dass ich keinen Zugang mehr zur Firewall hatte. Selbst die angeschlossenen REDs konnten die Verbindung nicht mehr aufbauen. Eine Idee wie ich das Probleme löse.
  2. Ich habe auf beiden Netzwerken jeweils ein NAS. Mit einem internen Tool synchronisiere ich wechselseitig diese NAS. Das Tool kann die IP Adresse aus dem anderen Netz nicht auflösen. Eventuell liegt es am vorher gehenden Problem. Alternativ habe ich auf beiden Firewalls ein NAT Regel eingeführt, welches die IP Adresse vom NAS in eine IP Adresse vom jeweiligen Netz transferiert. Was auch nicht gehlfen hat.

Für Hilfe wäre ich Dankbar.

Danke und Gruss
Wolfgang



This thread was automatically locked due to age.
Parents
  • 0

    Als Laie frage ich einmal, warum nutzt Du einen Tunnel und nicht Site-to-Site VPN? Ist mit der Sophos blitzschnell angelegt und man braucht sich nicht um Routing und Firewallregeln kümmern, das wird automatsich erledigt. Funktioniert bei mir völlig transparent für mehrere Netze seit Jahren ohne jegliche Probleme, selbst Backups laufen darüber (z.Z. mit ca. 500 Mbit/s):

    Lediglich den von Dir gewünschten Internetzugang auf nur einer Seite (geht ja ohnehin nicht, da ohne Internet kein VPN und kann sich daher lediglich auf die entsprechenden Protokolle beziehen) müsste man nachträglich implementieren. Dies sollte kein Problem darstellen, da beide Firewalls aus allen Netzen erreichbar sind.

  • 0 in reply to R Richter

    IPSEC VPN ist site-to-site. Du kannst dort beim connection type einfach unter 3 Typen auswählen. Ich habe tunnel gewählt. Das Verhalten bei mindestens einem anderen typ ist gleich.

    RED's funktionieren gleich und die funktionieren bei mir.

  • 0 in reply to Wolfgang Ritter1


    Hi Wolfgang Ritter1 ,

    ich hoffe es geht Dir gut

    Mit route base vpn und SD_WANroute ist es möglich, den Datenverkehr wie gewünscht zu routen

    Wenn Sie ein NAT-Gerät als Upstream-Gerät mit Sophos haben, müssen Sie überprüfen, ob der Datenverkehr auch an Ihren ISP-Router weitergeleitet wird.

    Bitte probieren Sie den untenstehenden Link aus, der Ihnen helfen könnte, Ihre Anforderungen zu erfüllen:


    Help routing specific device traffic across layer 2 connection 

    Mit freundlichen Grüßen

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hallo Bharat J

    Zuerst einmal Danke für die Antwort. Ich habe versucht den Informationen vom Link zu folgen und bereits bei den zwei ersten Bildern gescheitert.

    Wenn ich auf meiner FW Branch das Tunnelinterface von der FW HO 3.3.3.2 mit PING kontaktiere kommt keine Antwort zurück. Ein PING auf das FW Branch Tunnelinterface ist erfolgreich.
    Ebenfalls erfolgreich sind alle anderen PING in den Netzwerken Branch 192.168.11.0 und HO 192.168.10.0

    Mir ist unklar wieso nur dieses Interface nicht ansprechbar ist. Der Tunnel ist aktiv. Ein statischer route über diese Tunnelinterfaces ist eingerichtet.

    Ich habe in meinem Log unter VPN Einträge gefunden die mir komisch vorkommen. Es wird eine VPN Verbindung aufgebaut und auch gleich wieder beendet. Der Status der VPN wird mit Grün angezeigt.

    Hast Du eine Idee warum der Ping nicht erfolgt und oder warum die VPN Verbindung sich beendet, aber anscheinend doch vorhanden ist.

    Besten Dank
    Wolfgang

Reply
  • 0 in reply to Bharat J

    Hallo Bharat J

    Zuerst einmal Danke für die Antwort. Ich habe versucht den Informationen vom Link zu folgen und bereits bei den zwei ersten Bildern gescheitert.

    Wenn ich auf meiner FW Branch das Tunnelinterface von der FW HO 3.3.3.2 mit PING kontaktiere kommt keine Antwort zurück. Ein PING auf das FW Branch Tunnelinterface ist erfolgreich.
    Ebenfalls erfolgreich sind alle anderen PING in den Netzwerken Branch 192.168.11.0 und HO 192.168.10.0

    Mir ist unklar wieso nur dieses Interface nicht ansprechbar ist. Der Tunnel ist aktiv. Ein statischer route über diese Tunnelinterfaces ist eingerichtet.

    Ich habe in meinem Log unter VPN Einträge gefunden die mir komisch vorkommen. Es wird eine VPN Verbindung aufgebaut und auch gleich wieder beendet. Der Status der VPN wird mit Grün angezeigt.

    Hast Du eine Idee warum der Ping nicht erfolgt und oder warum die VPN Verbindung sich beendet, aber anscheinend doch vorhanden ist.

    Besten Dank
    Wolfgang

Children
No Data
Unfiltered HTML