This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[UTM 9 SG-115][SSL VPN] Anleitung Split-Tunneling einrichten

Guten Tag,

wir haben eine UTM 9 SG-115, nutzen SSL VPN und möchten Split-Tunneling einrichten.

Die besondere Anforderung wäre, dass im Split-Tunneling nur der Datenverkehr zu bestimmten Webseiten über das VPN geleitet wird. Der restliche Datenverkehr soll über die lokale Internet-Leitung des Benutzers laufen. Wir möchten gerne in eine Liste angeben können, welche Webseiten-Aufrufe über das VPN geleitet werden.

Ein Beispiel: Wenn das VPN beim Benutzer aktiv ist, soll nur der Datenverkehr zur Webseite http://www.youtube.com über das VPN geleitet werden. Ein Aufruf der Webseite http://www.sophos.com soll über die lokale Internet-Leitung laufen.

Ist dies prinzipiell möglich? Wenn ja, wäre es schön eine kurze Anleitung oder falls vorhanden einen Link zu einer How-to-Seite von Sophos zu bekommen.

Wir haben selbst schon etwas recherchiert, haben aber nur Lösung zu „allgemeinem“ Split-Tunneling gefunden, wo also der allgemeine Datenverkehr über die lokale Interleitung läuft und nur der Datenverkehr in ein Firmennetzwerk über das VPN. Wir sind uns unsicher, ob diese Lösung für unser Problem passt.



This thread was automatically locked due to age.
Parents
  • Hallo Janin,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Please insert here a picture of the Edit of the SSL VPN Profile that you tried but didn't work.  Include pictures of Edits of Network objects included in the SSL VPN Profile.

    Do you have a masquerading rule for the traffic from the VPN connection?  Are you wanting to pass the VPN traffic through UTM Web Filtering?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    ich kann leider keine Bilder  / Screenshots hochladen, da wir noch nichts in dieser Richtung in unserer Sophos eingerichtet haben. Wir sind aktuell auf der Suche nach einer Anleitung, wie man Split-Tunneling mit den von uns gewünschten Kriterien einrichten kann.

    MfG Janin

  • Moin Janin

    Ich verstehe Dich so, dass Du erst mal wissen willst, ob es überhaupt geht und ob es schon jemand Erfahrungen gemacht hat.

    Das "prinzipiell" möglich. Ich habe das so im Einsatz.
    Unter "Local Networks" trägst Du alle Netze (und Hosts) ein, die Du durch den Tunnel erreichen willst. Das kann auch öffentliche IPs beinhalten (hier benötigst Du für Dein Einwahlnetz die von Bob beschriebene Maskierungsregel unter NAT/Masquerading) und ggf. natürlich Firewall- und/oder Proxy-Regeln.
    Die von Dir beschriebenen FQDNs (www.youtube.de) legst Du als DNS-Group-Objekt an. Die aufgelösten IPs des Objektes werden während der Einwahl geprüft und die IPs in das Routing des Tunnels übernommen. Nachträgliche (dynamische) Anpassungen während der SSL-VPN-Session finden nicht mehr statt - erst wieder beim nächsten Aufbau.
    Du kannst die Objekte auch gruppieren (in Gruppen verschachteln) -> so entstehen Deine "Listen".
    Aber ACHTUNG: Die Menge der IPs/ Netze, die als Routen übergeben werden können, ist begrenzt. Ich vermute, so auf ca. 30 Adressen -> Du solltest nach der Einwahl mal die lokale Routing-Tabelle auf dem Client prüfen (Du bekommst keine Fehlermeldung, wenn der CLient keine Routen mehr einträgt/ bekommt - dann ist einfach nur Schluss).
    Anmerkung: Änderst Du etwas an den Objekten, die Du im Einwahlprofil verwendest, wird die Konfig neu geladen -> da fliegen dann jedes Mal alle eingewählten Benutzer raus.

    Hinter dem ganzen Konzept liegt gar keine Magie -> es ist absoluter "Standard":
    - Objekte für Netze und IPs konfigurieren, die zur UTM geroutet werden sollen (split tunneling)
    - von da an gilt die Routingtabelle der UTM -> öffentliche IPs gehen weiter ins Internet
    - Maskierungsregeln für die Absenderadressen nicht vergessen (VPN-Pool)
    - Proxy- und/oder Firewallregeln nicht vergessen (das gilt ja aber auch schon für den Zugriff auf die internen Netze des UTM-Standortes)

    Viel Erfolg ;-)
    Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

Reply
  • Moin Janin

    Ich verstehe Dich so, dass Du erst mal wissen willst, ob es überhaupt geht und ob es schon jemand Erfahrungen gemacht hat.

    Das "prinzipiell" möglich. Ich habe das so im Einsatz.
    Unter "Local Networks" trägst Du alle Netze (und Hosts) ein, die Du durch den Tunnel erreichen willst. Das kann auch öffentliche IPs beinhalten (hier benötigst Du für Dein Einwahlnetz die von Bob beschriebene Maskierungsregel unter NAT/Masquerading) und ggf. natürlich Firewall- und/oder Proxy-Regeln.
    Die von Dir beschriebenen FQDNs (www.youtube.de) legst Du als DNS-Group-Objekt an. Die aufgelösten IPs des Objektes werden während der Einwahl geprüft und die IPs in das Routing des Tunnels übernommen. Nachträgliche (dynamische) Anpassungen während der SSL-VPN-Session finden nicht mehr statt - erst wieder beim nächsten Aufbau.
    Du kannst die Objekte auch gruppieren (in Gruppen verschachteln) -> so entstehen Deine "Listen".
    Aber ACHTUNG: Die Menge der IPs/ Netze, die als Routen übergeben werden können, ist begrenzt. Ich vermute, so auf ca. 30 Adressen -> Du solltest nach der Einwahl mal die lokale Routing-Tabelle auf dem Client prüfen (Du bekommst keine Fehlermeldung, wenn der CLient keine Routen mehr einträgt/ bekommt - dann ist einfach nur Schluss).
    Anmerkung: Änderst Du etwas an den Objekten, die Du im Einwahlprofil verwendest, wird die Konfig neu geladen -> da fliegen dann jedes Mal alle eingewählten Benutzer raus.

    Hinter dem ganzen Konzept liegt gar keine Magie -> es ist absoluter "Standard":
    - Objekte für Netze und IPs konfigurieren, die zur UTM geroutet werden sollen (split tunneling)
    - von da an gilt die Routingtabelle der UTM -> öffentliche IPs gehen weiter ins Internet
    - Maskierungsregeln für die Absenderadressen nicht vergessen (VPN-Pool)
    - Proxy- und/oder Firewallregeln nicht vergessen (das gilt ja aber auch schon für den Zugriff auf die internen Netze des UTM-Standortes)

    Viel Erfolg ;-)
    Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

Children
No Data