This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[UTM 9 SG-115][SSL VPN] Anleitung Split-Tunneling einrichten

Guten Tag,

wir haben eine UTM 9 SG-115, nutzen SSL VPN und möchten Split-Tunneling einrichten.

Die besondere Anforderung wäre, dass im Split-Tunneling nur der Datenverkehr zu bestimmten Webseiten über das VPN geleitet wird. Der restliche Datenverkehr soll über die lokale Internet-Leitung des Benutzers laufen. Wir möchten gerne in eine Liste angeben können, welche Webseiten-Aufrufe über das VPN geleitet werden.

Ein Beispiel: Wenn das VPN beim Benutzer aktiv ist, soll nur der Datenverkehr zur Webseite http://www.youtube.com über das VPN geleitet werden. Ein Aufruf der Webseite http://www.sophos.com soll über die lokale Internet-Leitung laufen.

Ist dies prinzipiell möglich? Wenn ja, wäre es schön eine kurze Anleitung oder falls vorhanden einen Link zu einer How-to-Seite von Sophos zu bekommen.

Wir haben selbst schon etwas recherchiert, haben aber nur Lösung zu „allgemeinem“ Split-Tunneling gefunden, wo also der allgemeine Datenverkehr über die lokale Interleitung läuft und nur der Datenverkehr in ein Firmennetzwerk über das VPN. Wir sind uns unsicher, ob diese Lösung für unser Problem passt.



This thread was automatically locked due to age.
  • Hallo  ,

    Vielen Dank, dass Sie sich an die Community gewandt haben. Wir haben insgesamt zwei Konzepte, Spilled und Full Tunneling. In Split-Tunnel können Benutzer nur auf die internen Ressourcen zugreifen, und Full gibt den Benutzern nicht nur Zugriff auf den internen, sondern auch auf den Internetverkehr die Firewall.

    Aber ein spezifisches vollständiges Tunneln für ein paar Site-Basis ist nicht möglich, da dies nur dazu führt, dass das Profil geändert und Zugriff auf bestimmte Sites gewährt wird, und dann das Profil erneut geändert wird, um auf andere Dinge zuzugreifen.

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Technical Support, Global Customer Experience

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case  | Security Advisories 
    Compare Sophos next-gen Firewall | Fortune Favors the prepared
    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Janin,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Please insert here a picture of the Edit of the SSL VPN Profile that you tried but didn't work.  Include pictures of Edits of Network objects included in the SSL VPN Profile.

    Do you have a masquerading rule for the traffic from the VPN connection?  Are you wanting to pass the VPN traffic through UTM Web Filtering?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    ich kann leider keine Bilder  / Screenshots hochladen, da wir noch nichts in dieser Richtung in unserer Sophos eingerichtet haben. Wir sind aktuell auf der Suche nach einer Anleitung, wie man Split-Tunneling mit den von uns gewünschten Kriterien einrichten kann.

    MfG Janin

  • Hallo Vivek Jagad ,

    es ist uns bewusst, dass es diese zwei Konzepte gibt.

    Wir wollen in Zukunft Split-Tunneling einsetzen.

    Die besondere Anforderung wäre, dass im Split-Tunneling nur der Datenverkehr zu bestimmten Webseiten über das VPN geleitet wird. Der restliche Datenverkehr soll über die lokale Internet-Leitung des Benutzers laufen. Wir möchten gerne in eine Liste angeben können, welche Webseiten-Aufrufe über das VPN geleitet werden.

    MfG Janin

  • Moin Janin

    Ich verstehe Dich so, dass Du erst mal wissen willst, ob es überhaupt geht und ob es schon jemand Erfahrungen gemacht hat.

    Das "prinzipiell" möglich. Ich habe das so im Einsatz.
    Unter "Local Networks" trägst Du alle Netze (und Hosts) ein, die Du durch den Tunnel erreichen willst. Das kann auch öffentliche IPs beinhalten (hier benötigst Du für Dein Einwahlnetz die von Bob beschriebene Maskierungsregel unter NAT/Masquerading) und ggf. natürlich Firewall- und/oder Proxy-Regeln.
    Die von Dir beschriebenen FQDNs (www.youtube.de) legst Du als DNS-Group-Objekt an. Die aufgelösten IPs des Objektes werden während der Einwahl geprüft und die IPs in das Routing des Tunnels übernommen. Nachträgliche (dynamische) Anpassungen während der SSL-VPN-Session finden nicht mehr statt - erst wieder beim nächsten Aufbau.
    Du kannst die Objekte auch gruppieren (in Gruppen verschachteln) -> so entstehen Deine "Listen".
    Aber ACHTUNG: Die Menge der IPs/ Netze, die als Routen übergeben werden können, ist begrenzt. Ich vermute, so auf ca. 30 Adressen -> Du solltest nach der Einwahl mal die lokale Routing-Tabelle auf dem Client prüfen (Du bekommst keine Fehlermeldung, wenn der CLient keine Routen mehr einträgt/ bekommt - dann ist einfach nur Schluss).
    Anmerkung: Änderst Du etwas an den Objekten, die Du im Einwahlprofil verwendest, wird die Konfig neu geladen -> da fliegen dann jedes Mal alle eingewählten Benutzer raus.

    Hinter dem ganzen Konzept liegt gar keine Magie -> es ist absoluter "Standard":
    - Objekte für Netze und IPs konfigurieren, die zur UTM geroutet werden sollen (split tunneling)
    - von da an gilt die Routingtabelle der UTM -> öffentliche IPs gehen weiter ins Internet
    - Maskierungsregeln für die Absenderadressen nicht vergessen (VPN-Pool)
    - Proxy- und/oder Firewallregeln nicht vergessen (das gilt ja aber auch schon für den Zugriff auf die internen Netze des UTM-Standortes)

    Viel Erfolg ;-)
    Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)