Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 8 replies
  • Answers 1 answer
  • Subscribers 10 subscribers
  • Views 1094 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fehlerhaftes Routing | TiKonnektor | nach Umstellung auf XGS

Rene Kant

Moin!
Wir haben folgende Konstellation, an welcher ich aktuell scheitere, vielleicht habt ihr noch eine Idee:

Client: 192.168.0.19 nutzt Praxissoftware von Server 192.168.0.200
Einsatz eines Ti-Konnektors 172.16.10.220 mit GW 172.16.10.200
Route in die Ti-Infrastruktur manuell am Client gesetzt.

WAN <-> Fritzbox (Exposed Host Sophos XGS)
br0 default (WiFi - Lan)
br1-Ti (NW_Ti_Internal - LAN)

Konnektor ist i.O. baut die eigene VPN auf - Pings und Pongs sind alle tiptop.


Nun wollen wir einen eBrief über die Praxissoftware versenden, die Ports 465 und 993 werden laut Log direkt gedroppt. 

Ich habe ach schon den Technikersupport meines Distributors eingekauft, aber auch die kommen nicht weiter. :-/

Any - Any - Any bringt keine Veränderung. 
IPv4-Unicast Route hat auch keine Abhilfe geschaffen.

Laut secunet-Konnektor Anleitung heißt es:
Wenn der Modulare Konnektor hinter einer Firewall betrieben wird, müssen folgende Ports und Protokolle freigegeben sein:  Ausgehend alle Ports/Protokolle  Eingehend UDP Port 500 und Port 4500 Die Freigabe der eingehenden UDP Ports kann unterbleiben, wenn die Firewall des IAG die Funktion "Connection Tracking" unterstützt (siehe Kapitel 5.1.1). Dies bedeutet, dass auf Basis der vom Modularen Konnektor ausgehenden UDP Pakete die zugehörige UDP Antwort zugelassen wird. Beachten Sie die nachfolgenden Hinweise.  Eingehend ESP

Besten Dank und Gruß
Rene



This thread was automatically locked due to age.
  • 0

    Hallo Rene,

    "Invalid traffic" in dieser Menge hat meist was mit asynchronem Routing zu tun.  Das heißt, nur ein Teil der Pakete kommt an der Firewall vorbei.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Wer ist denn 100.102.11.23 ?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Bitte mal ein Netzwerkdiagramm posten, wozu ist die Bridge "br1" gut?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Das ist das Ti-Netz welches über den Ti-Konntektor erreicht wird. Es handelt sich hierbei um ein Sicherheitsnetzwerk für Praxen zur Datenübermittlung von Arztbriefen, Befunden etc.

  • 0 in reply to PhilippRusch

    Sophos - Port2 - WAN per FritzBox
    Sophos - BR0 - Wifi/LAN Bridge LocalLan via Port1
    Sophos - BR1 - TiKonnektor/LAN via Port3 und Port4

    Port1+4 -> gepatcht auf Switch

    BR1 wurde angelegt, um den Zugriff für Kartenlesegeräte aus 172.16.10.X zu ermöglichen.

  • 0 in reply to Rene Kant

    Hallo Rene,

    das ist schon klar, das war auc h nicht meine Frage. Ich wollte wissen, welcher Host das genau ist und warum er sich an der Kommunikation beteiligt:

    Schau dir mal das hier genauer an:

    Da geht eine Anfrage nach 10.102.11.23, die Antwort geht aber offenbar an 172.16.10.200 und nicht zurück an 192.168.0.200.

    Das meint Dirk mit asynchronem Routing, da stimmen die Routen im Netzwerk nicht (Hin- und Rückweg unterscheiden sich).

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Rene Kant

    Hallo Rene,

    ganz schlechtes Netzwerkdesign, sorry, da bin ich direkt und offen.

    Besserer Vorschlag: Port 1 als LAN verwenden und Port 4 für den TI-Konnektor und das 172.16.10.x Netzwerk. Und dann sauber routen mit statischen Routen und den richtigen Gateways. Das ist viel einfacher zu verwalten und von den Firewall-Regeln her zu begreifen..

    Es wäre immer noch gut, ein einfaches Netzwerkdiagramm zu haben.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Hallo, wir betreuen mehre Praxen, mit diversen TI Systemen.

    Egal ob KocoBox, Telekom Ti oder sonst was. Alle TI Konnektoren sind genormt und Funktionieren alle gleich, legendlich das Designen der Hardware und die GUI ist immer anders.  Die TI ein IP Technisch ein ganz normaler Bestandteil des Netzwerkes. Die TI Baut eine VPN zum Leistungserbringer auf. Die TI würde ich in der Sophos als Clientlosen Benutzer oder als IP Host  anlegen, eine Regel bilden wo ausgehend nichts geblockt wird, da sonst die VPN Verbindungs-Probleme haben könnte.

    Die Praxis Clients, sowie die GK Terminals reden alle mit der TI, so lange die GK-Terminals und die Clients sauber in der TI angelegt wurden. Dann sollte alles klappen, wir haben sehr viele Sophos XGS bei Ärzten draußen und bei keinem ein Problem.

    Dann kann man am Client selber noch die Ti Routen adden, dies ist aber nicht immer nötig! Daher mit Vorsicht zu genießen!

    Beispiel:

    route add 188.144.0.0      mask 255.255.0.0                 192.168.117.230 -p
    route add 100.102.0.0      mask 255.255.128.0             192.168.117.230 -p
    route add 100.103.0.0      mask 255.255.0.0                 192.168.117.230 -p
    route add 100.102.128.0  mask 255.255.128.0         192.168.117.230 -p
    route add 188.144.0.0      mask 255.254.0.0                 1 92.168.117.230 -p

    Ich muss Phillip zustimmen, das Netzwerkdesign ist nicht ganz so optimal.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Unfiltered HTML