Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 10 subscribers
  • Views 3603 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN IPsec Tunnel mit Internetzugang über eine Firewall

Wolfgang Ritter1

Hallo

Ich habe zwei Firewalls Head Office (Bach) und Filiale (Dornbirn) XG135 SFOS 19.5

Die WAN und Router Adressen sind in der Grafik nicht real.

Bach: Ist hinter einem router welcher im bridge mode arbeitet. Das WAN interface ist nicht direkt verbunden sondern über VLAN TAG als Vorgabe vom Provider.

Dornbirn: Ist hinter einem router welcher im NAT mode arbeitet.

Beide Firewalls sind über eine VPN IPSEC mit connection type "Tunnel" verbunden. Die Verbindungen sind auf beiden Seiten ok. Ein ping auf aktive IP Adressen kann gemacht werden und zwar von beiden Netzwerken aus. Allerdings lässt sich die Firewall Bach nicht nicht über die interne IP Adresse aus dem Netz Dornbirn starten. Über die externe Adresse ist der Zugriff möglich.

Bach:
VPN:

Static Route:


Rules Outbound / Inbound:

Dornbirn:

VPN:

Static Route:

Rules Outbound / Inbound:

Ich habe zwei Probleme zu lösen:

  1. Ich will den gesamten Datenverkehr über den Tunnel schicken (LAN und WAN) und der Zugang zum Internet soll nur über die Firewall BACH erfolgen. Ich habe eine Route erstellt mit dem Ziel 0.0.0.0/0 was allerdings dazu geführt hat, dass ich keinen Zugang mehr zur Firewall hatte. Selbst die angeschlossenen REDs konnten die Verbindung nicht mehr aufbauen. Eine Idee wie ich das Probleme löse.
  2. Ich habe auf beiden Netzwerken jeweils ein NAS. Mit einem internen Tool synchronisiere ich wechselseitig diese NAS. Das Tool kann die IP Adresse aus dem anderen Netz nicht auflösen. Eventuell liegt es am vorher gehenden Problem. Alternativ habe ich auf beiden Firewalls ein NAT Regel eingeführt, welches die IP Adresse vom NAS in eine IP Adresse vom jeweiligen Netz transferiert. Was auch nicht gehlfen hat.

Für Hilfe wäre ich Dankbar.

Danke und Gruss
Wolfgang



This thread was automatically locked due to age.
Parents
  • 0

    Leg eine SD-WAN Regel für Internetv4 an, das sollte dann passen :) 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Das würde ich gerne tun. Habe es auch schon versucht. Bei mir stellt sich nur die Frage, warum kann ich das zweite Tunnelinterface nicht mit PING ansprechen?

  • 0 in reply to Wolfgang Ritter1

    Es scheint, dass der ISP-Router Ihrer Zweigstelle den Datenverkehr für ipsec vpn verwirft und der Tunnel unterbrochen wird

    Haben Sie 192.168.30.2 mit 213.10.10.10 mit allen auf dem ISP-Router erlaubten Ports vernetzt?

    Aktualisieren Sie in der Sophos-Firewall die ipsec vpn-Tunnel-Einstellungen mit der lokalen und der entfernten ID, falls nicht hinzugefügt.

    Quellennachweis: doc.sophos.com/.../index.html 

    Überprüfen Sie die Schritte zur Behebung von IPsec-VPN-Problemen zwischen den Standorten

     Sophos Firewall: Troubleshooting site to site IPsec VPN issues 


    Mit freundlichen Grüßen 

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    I habe eine ID, die Frage ist sie richtig. Da ich die Verschlüsselung mittels Zertifikaten mache, habe für die ID ANSI DN gewählt.

  • 0 in reply to Wolfgang Ritter1

    Bitte überprüfen Sie die Protokolle wie angeleitet, um das Problem einzugrenzen

    Ich habe den Verdacht, dass der ISP-Router in der Zweigstelle ein Problem bei der Beendigung des IPSec-VPN-Tunnels verursacht.

    Bitte verwenden Sie DDNS als Gateway sowohl für die Hauptniederlassung als auch für die Zweigniederlassung, um den Tunnel stabil zu machen.

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Wolfgang Ritter1

    Warum nutzt du Local und Remote Subnet im Route based Tunnel? Lass das mal weg.

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Ich habe jetzt die Subnets auf beiden FWs entfernt und durch Any ersetzt. Dadurch bin ich in der Lage die Tunnelinterfaces XFRM auf der FW mit Ping zu erreichen.

    Was noch nicht funktioniert ist der Ping vom Netzwerk aus. Ich kann mein Gateway und das Tunnelinterface auf der Seite vom Netzwerk erreichen, aber nicht mehr die Gegenseite.

    Zumindest hier stellt sich jetzt für mich eine weitere Frage. Wenn ich den VPN Tunnel mit Any angegeben habe muss ich dann im Statischen Routing unter Gateway nichts angegeben oder die IP des Tunnelinterfaces welches auf dem Zielhost liegt?

    Wie sieht es dann mit den Inbound und Outbound Rules aus. Auch dort habe die Netzwerke von HO und Branch angegeben. Immer mit dem Ziel beide Netzwerke in der LAN Zone zu haben aber den Internettraffic nur über die HO zu führen.

  • 0 in reply to Wolfgang Ritter1

    Zuerst müssen Sie das Problem mit dem Tunnelabbruch beheben
    Prüfen Sie die Protokolle:

    CLI-Option 4
    console>show vpn IPSec-logs

    Sehen Sie sich auch den gemeinsamen Link an, um sicherzustellen, dass die Sophos XG Firewall richtig konfiguriert ist

    Wenn der Tunnel stabil ist, prüfen Sie den Ping mit statischer Route und dann mit sd wan mit den zweiten Schritten, nachdem der Tunnel repariert ist.

    Überprüfen Sie, ob sich der Datenverkehr über ipsec vpn bewegt. ÜBERWACHEN & ANALYSE-->Diagnose-->Paketaufzeichnung

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • 0 in reply to Wolfgang Ritter1

    Zuerst müssen Sie das Problem mit dem Tunnelabbruch beheben
    Prüfen Sie die Protokolle:

    CLI-Option 4
    console>show vpn IPSec-logs

    Sehen Sie sich auch den gemeinsamen Link an, um sicherzustellen, dass die Sophos XG Firewall richtig konfiguriert ist

    Wenn der Tunnel stabil ist, prüfen Sie den Ping mit statischer Route und dann mit sd wan mit den zweiten Schritten, nachdem der Tunnel repariert ist.

    Überprüfen Sie, ob sich der Datenverkehr über ipsec vpn bewegt. ÜBERWACHEN & ANALYSE-->Diagnose-->Paketaufzeichnung

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

Children
No Data
Unfiltered HTML