SSL VPN erstmals selbst erstellen

Hallo Hans-Jürgen,

die beiden Domaincontroller DC01 und DC02 als Authentisierungsquelle einzutragen führt nicht zu einer Doppelung der Benutzer, da diese Objekte in der ADS ja dieselben sind. Genau aus diem Grund, den du beschreibst, nutzt man redundante DC-Einträge, deshalb ist es auch empfohlen, beide zu nehmen.

Zu den Netzwerk-Einstellungen: es spricht nichts gegen 192.168.101.0 /24, solange sich der VPN-Pool vom lokalen Netzwerk am LAN-Anschluss unterscheidet.

Wichtig ist jedoch, dass auch das verwendete VPN-Netzwerk am Ort der Nutzung des VPN-Clients sich von einem dort befindlichen IP-Netzwerk unterscheidet. Insofern ist 10.81.234.0 /24 schon eigentlich ganz gut, dann das wird man selten irgendwo antreffen. Bei 192.168.101.0 wäre ich mir da nicht so sicher.

Ansonsten gibt es fast nichts einfacheres als Remote Access mit SSL-VPN.

Bei Fragen: einfach weiter fragen!

Hallo Hans-Jürgen,

die beiden Domaincontroller DC01 und DC02 als Authentisierungsquelle einzutragen führt nicht zu einer Doppelung der Benutzer, da diese Objekte in der ADS ja dieselben sind. Genau aus diem Grund, den du beschreibst, nutzt man redundante DC-Einträge, deshalb ist es auch empfohlen, beide zu nehmen.

Zu den Netzwerk-Einstellungen: es spricht nichts gegen 192.168.101.0 /24, solange sich der VPN-Pool vom lokalen Netzwerk am LAN-Anschluss unterscheidet.

Wichtig ist jedoch, dass auch das verwendete VPN-Netzwerk am Ort der Nutzung des VPN-Clients sich von einem dort befindlichen IP-Netzwerk unterscheidet. Insofern ist 10.81.234.0 /24 schon eigentlich ganz gut, dann das wird man selten irgendwo antreffen. Bei 192.168.101.0 wäre ich mir da nicht so sicher.

Ansonsten gibt es fast nichts einfacheres als Remote Access mit SSL-VPN.

Bei Fragen: einfach weiter fragen!

Hallo Philipp,

also das klingt schon mal gut das ich das gewünschte Netzwerk nutzen kann und das ich beide Server eintragen kann
ohne das es zu Problemen führt.

in den Anleitungen wurde dann immer eine Lokale Gruppe erstellt, das muß ich dann nicht machen oder? Muss da nur mal
schauen das ich eine vernünftigte Gruppe finde die ich nutzen kann für das SSL VPN. Aktuell klinkt der Gruppenname noch
etwas komisch :-) (OU=xx,OU=xx,DC=xx,DC=xx) Hätte da lieber Nur User oder ähnliches stehen. Weißt Du ob man das auch
passend noch ändern kann bzw. neu erstellen und dabei einen passenden Namen vergeben.

Beste Grüße

Hans-Jürgen

Hans-Juergen Guenter said:

in den Anleitungen wurde dann immer eine Lokale Gruppe erstellt, das muß ich dann nicht machen oder?

Ganz nach Wunsch. Du kannst tatsächlich eine Gruppe aus dem AD nehmen, was den Vorteil hat, die User auf der Sophos nicht pflegen zu müssen, das erfolgt ja schon in der AD. Du kannst aber auch eine lokale Gruppe mit schönem Namen anlegen und in diese die User aus der AD aufnehmen. Aber auch User direkt ohne Gruppe als Mitglieder in der SS-Richtlinie aufzunehmen ist möglich. Mach es einfach, wie Du denkst

Hallo Philipp,

also es ja nun geklappt. leider geht es aber nicht wenn ich im Homeoffice bin :-) . Aktuell ist die Konfiguration
wie folgt aufgebaut:

Internet => Fremde FW => DHCP => Meine Sophos Fw => Mein Netzwerk

Leider habe ich keinen Zugriff auf die Fremde FW. Es wird sich wohl zum Ende des Monats ändern, dann wird
bekommen wir unseren Zugang zum Internet via eigener Leitung mit Fritzbox. Also dann sie das Netzwerk
wier folgt aus:

Internet=> FritzBox (Leitet alles Weiter)=> Meine Sophos => Mein Netzwerk

Dann sollte es auch funktionieren das ich aus meinem HomeOffice den Zugang zu meinem Netzwerk via
SSL VPN bekomme.

Hast Du sonst einen Tip oder funktioniert es überhaupt das man einen SSL VPN aufbauen kann wenn es eine
vorgeschaltete Firewall gibt wo man keinen Zugriff drauf hat?

Beste Grüße

Hans-Jürgen

Hallo Hans-Jürgen,

ich habe das netzwerk-Setup noch nicht ganz verstanden:

Du willst AUS dem Homeoffice IN eine Firma zugreifen oder umgekehrt aus der Firma in den Homeoffice (- Netzwerk)?

Ein Diagramm würde helfen, auch wenn es noch so simpel ist. Bitte mit IP-Adressen, sonst ist es Rätselraten.

Hallo Philipp,

ich habe da mal versucht zu skezzieren wie das netzwerk aufgebaut ist.

Denke mal das ich für die Arbeiten aus dem Homeoffice warten muß bis wir eine Eigene Internetleitung bekommen
die dann an den WAN Anschluß der Fritzbox angeschlossen wird.

Wäre ja echt cool wenn es auch jetzt schon funktionieren würde. Leider habe ich keinen Zugriff auf die Fremde Fw.

Beste Grüße

Hans-Jürgen

Hallo,

schönes Diagramm, aber die Frage von wo nach wo zugegriffen werden soll, ist unbeantwortet geblieben.

Sorry,

also der Zugriff soll aus dem Homeoffice (Internet) reinkommen Richtung Mein Netzwerk (192.168.100.0/24)

OK, verstanden. Welcher Test war denn dann erfolgreich?

Hast du das VPN "von innen" getestet? Das hat dann "funktioniert"?

Und dann einmal "von außen", also aus dem Homeoffice? Und das hat nicht funktioniert?

Mein erster Test wo es funktioniert hatte war, als ich mit einem Testsystem im Netzwerk 10.28.14.0 war.

Deswegen war ich froh das klappte, doch als ich dann zu Hause war am Freitag, habe ich den Test von
dort nochmal gemacht und dort klappte es dann nicht mehr :-( .

OK, das ist dann der Klassiker:

siehe hier:  Sophos XG mit einer FritzBox 7490 betreiben

oder hier:  Kein Internetzugang hinter Fritzbox 6591 Cable