Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN erstmals selbst erstellen

Moin,

es ist für mich das erstemal das ich ein Sophos SSL VPN von Grund auf neu erstellen muß. Ich habe mir auch schon
das eine oder andere Youtube Video angeschaut. Aber da werden dann die User Lokal auf der Sophos angelegt und
es wird eine Lokale Gruppe angelegt. Dazu wird auch oft in den Videos nicht die SSL Global Settings Konfiguration
gezeigt. deswegen hoffe ich mal das ihr mir hier ein bischen helfen könntet.

Hier mal meine Umgebung:

Dyn.IP-> SOPHOS FW-> LAN (192.168.100.0/24)

User für die SSL VPN sollen aus der AD kommen. Das habe ich auch soweit schon eingerichtet und es funktioniert soweit auch.

Nun mal meine Frage zur SSL VPN Global Settings:

Kann ich dort als Netzwerk folgendes Netzwerk nutzen? 192.168.101.0/24 (Aktuell ist dort 10.81.234.0 eingetragen)

Frage zur Authentication:

Ich habe hier 2 DC und bisher habe ich nur den ersten Eingetragen, kann und sollte ich den DC02 auch eintragen oder
würde das dazu führen das er dann jeden User doppelt hat?

Ich frage das für den Fall das man ein DC01 off geht wegen Hardware-Defekt oder auch wenn man Updates einen Neustart
verlangen.

Würde mich freuen wenn ihr mir hier schon mal ein paar Antworten geben könntet. So das ich beginnen kann die SSL-VPN
zu konfigurieren für den Anfang.

Beste Grüße



This thread was automatically locked due to age.
Parents
  • Hallo Hans-Jürgen,

    die beiden Domaincontroller DC01 und DC02 als Authentisierungsquelle einzutragen führt nicht zu einer Doppelung der Benutzer, da diese Objekte in der ADS ja dieselben sind. Genau aus diem Grund, den du beschreibst, nutzt man redundante DC-Einträge, deshalb ist es auch empfohlen, beide zu nehmen.

    Zu den Netzwerk-Einstellungen: es spricht nichts gegen 192.168.101.0 /24, solange sich der VPN-Pool vom lokalen Netzwerk am LAN-Anschluss unterscheidet.

    Wichtig ist jedoch, dass auch das verwendete VPN-Netzwerk am Ort der Nutzung des VPN-Clients sich von einem dort befindlichen IP-Netzwerk unterscheidet. Insofern ist 10.81.234.0 /24 schon eigentlich ganz gut, dann das wird man selten irgendwo antreffen. Bei 192.168.101.0 wäre ich mir da nicht so sicher.

    Ansonsten gibt es fast nichts einfacheres als Remote Access mit SSL-VPN.

    Bei Fragen: einfach weiter fragen!

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • Hallo Hans-Jürgen,

    die beiden Domaincontroller DC01 und DC02 als Authentisierungsquelle einzutragen führt nicht zu einer Doppelung der Benutzer, da diese Objekte in der ADS ja dieselben sind. Genau aus diem Grund, den du beschreibst, nutzt man redundante DC-Einträge, deshalb ist es auch empfohlen, beide zu nehmen.

    Zu den Netzwerk-Einstellungen: es spricht nichts gegen 192.168.101.0 /24, solange sich der VPN-Pool vom lokalen Netzwerk am LAN-Anschluss unterscheidet.

    Wichtig ist jedoch, dass auch das verwendete VPN-Netzwerk am Ort der Nutzung des VPN-Clients sich von einem dort befindlichen IP-Netzwerk unterscheidet. Insofern ist 10.81.234.0 /24 schon eigentlich ganz gut, dann das wird man selten irgendwo antreffen. Bei 192.168.101.0 wäre ich mir da nicht so sicher.

    Ansonsten gibt es fast nichts einfacheres als Remote Access mit SSL-VPN.

    Bei Fragen: einfach weiter fragen!

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  • Hallo Philipp,

    also das klingt schon mal gut das ich das gewünschte Netzwerk nutzen kann und das ich beide Server eintragen kann
    ohne das es zu Problemen führt.

    in den Anleitungen wurde dann immer eine Lokale Gruppe erstellt, das muß ich dann nicht machen oder? Muss da nur mal
    schauen das ich eine vernünftigte Gruppe finde die ich nutzen kann für das SSL VPN. Aktuell klinkt der Gruppenname noch
    etwas komisch :-) (OU=xx,OU=xx,DC=xx,DC=xx) Hätte da lieber Nur User oder ähnliches stehen. Weißt Du ob man das auch
    passend noch ändern kann bzw. neu erstellen und dabei einen passenden Namen vergeben.

    Beste Grüße

    Hans-Jürgen

  • in den Anleitungen wurde dann immer eine Lokale Gruppe erstellt, das muß ich dann nicht machen oder?

    Ganz nach Wunsch. Du kannst tatsächlich eine Gruppe aus dem AD nehmen, was den Vorteil hat, die User auf der Sophos nicht pflegen zu müssen, das erfolgt ja schon in der AD. Du kannst aber auch eine lokale Gruppe mit schönem Namen anlegen und in diese die User aus der AD aufnehmen. Aber auch User direkt ohne Gruppe als Mitglieder in der SS-Richtlinie aufzunehmen ist möglich. Mach es einfach, wie Du denkst Slight smile

  • Hallo Philipp,

    also es ja nun geklappt. leider geht es aber nicht wenn ich im Homeoffice bin :-) . Aktuell ist die Konfiguration
    wie folgt aufgebaut:

    Internet => Fremde FW => DHCP => Meine Sophos Fw => Mein Netzwerk

    Leider habe ich keinen Zugriff auf die Fremde FW. Es wird sich wohl zum Ende des Monats ändern, dann wird
    bekommen wir unseren Zugang zum Internet via eigener Leitung mit Fritzbox. Also dann sie das Netzwerk
    wier folgt aus:

    Internet=> FritzBox (Leitet alles Weiter)=> Meine Sophos => Mein Netzwerk

    Dann sollte es auch funktionieren das ich aus meinem HomeOffice den Zugang zu meinem Netzwerk via
    SSL VPN bekomme.

    Hast Du sonst einen Tip oder funktioniert es überhaupt das man einen SSL VPN aufbauen kann wenn es eine
    vorgeschaltete Firewall gibt wo man keinen Zugriff drauf hat?

    Beste Grüße

    Hans-Jürgen

  • Hallo Hans-Jürgen,

    ich habe das netzwerk-Setup noch nicht ganz verstanden:

    Du willst AUS dem Homeoffice IN eine Firma zugreifen oder umgekehrt aus der Firma in den Homeoffice (- Netzwerk)?

    Ein Diagramm würde helfen, auch wenn es noch so simpel ist. Bitte mit IP-Adressen, sonst ist es Rätselraten.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Philipp,

    ich habe da mal versucht zu skezzieren wie das netzwerk aufgebaut ist.

    Denke mal das ich für die Arbeiten aus dem Homeoffice warten muß bis wir eine Eigene Internetleitung bekommen
    die dann an den WAN Anschluß der Fritzbox angeschlossen wird.

    Wäre ja echt cool wenn es auch jetzt schon funktionieren würde. Leider habe ich keinen Zugriff auf die Fremde Fw.

    Beste Grüße

    Hans-Jürgen

  • Hallo,

    schönes Diagramm, aber die Frage von wo nach wo zugegriffen werden soll, ist unbeantwortet geblieben.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Sorry,

    also der Zugriff soll aus dem Homeoffice (Internet) reinkommen Richtung Mein Netzwerk (192.168.100.0/24)

  • OK, verstanden. Welcher Test war denn dann erfolgreich?

    Hast du das VPN "von innen" getestet? Das hat dann "funktioniert"?

    Und dann einmal "von außen", also aus dem Homeoffice? Und das hat nicht funktioniert?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Mein erster Test wo es funktioniert hatte war, als ich mit einem Testsystem im Netzwerk 10.28.14.0 war.

    Deswegen war ich froh das klappte, doch als ich dann zu Hause war am Freitag, habe ich den Test von
    dort nochmal gemacht und dort klappte es dann nicht mehr :-( .

  • OK, das ist dann der Klassiker:

    siehe hier:  Sophos XG mit einer FritzBox 7490 betreiben

    oder hier:  Kein Internetzugang hinter Fritzbox 6591 Cable

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.