This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Pool nicht erreichbar

Moin,

kleine Vorwarnung: Ich habe die IT von meinem Vorgänger übernommen, kann auch damit arbeiten, stehe aber leider noch nicht so richtig stabil im Thema Sophos.
Fangt beim troubleshooten also ruhig etwas gröber an, ich habe den Verdacht, dass das ne Problemstellung ist, die nur an einer kleinen Einstellung/Fehlkonfiguration hängt.

Wir haben eine SG210 mit UTM 9.705-3.

Internes Netz: 10.10.1.1 /24
Standard VPN Pool: 10.242.2.0 /24
IP UTM: 10.10.1.1
IP TK-Anlage: 10.10.1.40

SSL VPN ist konfiguriert und läuft auch wunderbar, Clients können sich einwählen, kriegen eine IP-Adresse aus dem VPN Pool  zugewiesen und auf alle Ressourcen im internen Netz zugreifen.

Unsere Alcatel OmniPCX Office TK-Anlage bietet die Möglichkeit IP Softphones zu verwenden, was im Homeoffice natürlich deutlich angenehmer als Handy o.ä. wäre.

Jedoch kriegen diese Softphones auf Clients im VPN Pool keine Verbindung zur TK-Anlage im internen Netz. Desweiteren kann ich aus dem internen Netz Clients im VPN Pool nicht anpingen. Interessanterweise kann ich die 10.242.2.1 erreichen, alles darüber hinaus nicht.

Im Firewall-Log kann ich sehen, dass die Clients UDP-Pakete an die TK-Anlage schicken, die auch ankommen.

Das Gateway der TK-Anlage ist nicht die Sophos weswegen in der TK-Anlage eine Route eingerichtet ist:
Um Zielnetz: 10.242.2.0 /24 zu erreichen, gehe über 10.10.1.1 

Nachdem ich diese Route eingerichtet hatte, konnte dann auch UDP-Pakete sehen, die von der TK-Anlage zur UTM gehen, aber eben nicht darüber hinaus.

Firewallregel habe ich wie folgt angelegt: TK-Anlage --Any--> VPN Pool + Internes Netz

Intrusion Prevention hatte ich testweise komplett aus, hat nichts verändert. 

Supportticket (03290048) ist seit Wochen offen (erst im Worldwide, jetzt im UK-Team), Lösungsvorschläge kam nur einer: 

cc set packetfilter timeouts ip_conntrack_udp_timeout_stream 150

Hat aber, soweit ich das beurteilen kann nichts geändert, Ping geht ja so oder so nicht. (bei ICMP ist alle an außer "Allow ICMP through Gateway from external networks")

So, langer Text, ich freue mich über jede Art des hilfreichen Inputs!

LG



This thread was automatically locked due to age.
Parents
  • Hallo,

    so verkehrt sieht das alles nicht aus. Der fehlende Ping kann an der Client-Firewall liegen.

    Wie sind denn die Pakete von/zu der TK Anlage zu sehen? (Live-Log/TCP-Dump/...)

    Wie sieht es mit einem Ping von der SG in Richtung VPN-Client aus?

    Mit der TK hatte ich auch schon mal mehr Erfolg, wenn die Verbindung von Client zur TK-Anlage maskiert wurde. Da stimmte an der Anlage was mit den Routen nicht.

    Wie sieht das Firewall-live-log aus?

    Wenn die ICMP-Behandlung an dieser Stelle aktiviert wurde, sieht man leider keine Einräge im Live-Log zu Ping/icmp.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Danke schonmal für die schnelle Antwort :)
    Die Infos hab ich aus dem Firewall Live Log, sie sehen so aus:

    14:01:06 Packet filter rule #12 UDP 10.242.2.4 : 58769 → 10.10.1.40 : 69 len=89 ttl=127 tos=0x00 srcmac=00:1a:8c:50:c8:ee

    14:01:08 Packet filter rule #21 UDP 10.10.1.40 : 7775   → 10.10.1.1 : 5000 len=51 ttl=64 tos=0x18 srcmac=48:7a:55:10:cb:5a dstmac=00:1a:8c:50:c8:ee

    14:01:13 Packet filter rule #12 UDP 10.242.2.4 : 58770 → 10.10.1.40 : 69 len=82 ttl=127 tos=0x00 srcmac=00:1a:8c:50:c8:ee

    Ping und tracert haben das gleiche Ergebnis, egal ob ich von der Sophos oder meinem PC starte.

    --- 10.242.2.2 ping statistics ---

    5 packets transmitted, 0 received, 100% packet loss, time 4001ms

    Habe jetzt auch mal die meisten Häkchen im ICMP Tab rausgenommen, ändert nichts am Ergebnis oder leeren Live Log. 

  • Hallo Vincent.

    Bitte mal unter "Network Protection / Firewall / ICMP" prüfen, ob das Gateway die Pings überhaupt weitergibt..

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Es macht für den Ping in den VPN-Pool tatsächlich keinen Unterschied ob ich die ganzen Häkchen an oder aus habe.

    Was ich jetzt übrigens im Livelog sehe ist folgendes:

    11:59:37 Default DROP UDP 10.10.1.40 : 52013 → 10.10.1.1 : 65129  len=53 ttl=64 tos=0x00 srcmac=48:7a:55:10:cb:5a dstmac=00:1a:8c:50:c8:ee

  • Das sieht jetzt danach aus, als wenn die Firewallregel mt dem "Allow" nicht greift. Mal die Reihenfolge ändern (Regel nach oben stellen).

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • An erster Stelle steht jetzt die automatisch erzeugte Regel vom SSL VPN und auf Platz 2 die Regel, die der TK-Anlage erlaubt mit jedem Protokoll ins interne Netz und den VPN Pool zu senden.  

    Live Log sieht aber immer noch gleich aus.

  • Das sieht für mich aus, als würden die TFTP-Antwortpakete mit dynamischen Ports an die letzte sichtbare IP gesendet.
    Leider passiert das nicht auf eine bestehende Verbindung (ähnlich wie bei FTP)

    Also mal gucken, ob der TFTP-Helper aktiviert ist (wo der Haken ist, kann ich gerade nicht sagen) und ob die Traffic vom SSL-VPN maskiert wird (damit hat TFTP u.U. Probleme). 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Es handelt sich definitiv um eine TFTP Verbindung, da ich im IP Softphone-Client die IP der TK Anlage in ein Feld namens "TFTP-Server" eintragen muss.

    Der Helper ist aktiv, genau wie eine Maskierungsregel des VPN Pools auf das Interface des internen Netzwerks.
    Bin heute im Homeoffice und habe keine Lust mich selber zu auszusperren, deshalb werde ich morgen mal gucken, was passiert, wenn ich die Maskierung rausnehme.

    Oder hat noch jemand eine Idee ob man stattdessen etwas hinzufügen kann, was das Problem löst?

  • Hallo Vincent,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Did you try Dirk's suggestion to masq the phone traffic from the SSL VPN client to the TK?

    You said you disabled IPS and that that did not help.  Please consider #1 in Rulz (last updated 2020-11-12).

    You said the Alcatel phones emulate a hardware phone - does that mean the TK needs to "see" the MAC address of the phone - said another way, can the TK "see" hardware phones not in the same Ethernet segment (the difference between VoIP phones and Ethernet phones)?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Gelöst!

    Es war tatsächlich die Maskierungsregel des VPN Pools auf das Interface des internen Netzwerks.

    Ganz herzlichen Dank für eure schnelle und zielführende Hilfe, so hätte ich mir das vom offiziellen Support gewünscht!

  • Just to clarify, Vincent - you removedMaskierungsregel that had been in place - you did not add a rule to solve the problem?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply Children
No Data