Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 26 subscribers
  • Views 612 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Keine Verbindung von Vlan20 zu Vlan 50

Tom Woerner

Hallo,

ich verzweifle hier aktuell an meiner Sophos XG125.

Folgendes Szenario:

Port 1 Lan (10.9.0.1)

Vlan 20 ist Port1.20 mit 10.11.0.1, mein internes Netz

Port 7 Server (10.20.0.1)

Vlan 50 ist Port7.50 mit 10.21.0.1, Vlan für den Public Zugriff.

Wan Port 2.

Von Außen mit DNat komme ich ohne Probleme auf die Server mit der internen IP 10.21.0.10

Das klappt alles ohne Probleme.

Jedoch komme ich nicht von Vlan20 auf Vlan50, also ich kann keinen einzigen Server von der Source IP 10.11.0.100-200 auf Destination IP 10.21.0.10 erreichen .. Habe sämtliche Firewallregeln durch probiert aber es wird keine Verbindung erlaubt.

Ping geht aber ohne Probleme. Ports stehen auf beliebig, ist aktuell einfach zum debugging so gemacht.

Wenn mein Laptop aber auf Port 1 sitzt mit beispielsweise der IP 10.9.0.100, dann komme ich auf den Server 10.21.0.10.

Also wenn ich mit dem Laptop im VLan bin gehts nicht, aber von der normalen Schnittstelle klappts.

Protokolliert wird das ganze aber auch. Da kam dann folgendes dabei heraus. Eventuell kann damit jemand was anfangen?

2021-07-06 20:07:38Firewallmessageid="01001" log_type="Firewall" log_component="Invalid Traffic" log_subtype="Denied" status="Deny" con_duration="0" fw_rule_id="6" nat_rule_id="0" policy_type="1" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="" app_risk="0" app_technology="" app_category="" vlan_id="" ether_type="IPv4 (0x0800)" bridge_name="" bridge_display_name="" in_interface="" in_display_interface="" out_interface="" out_display_interface="" src_mac="" dst_mac="" src_ip="10.11.0.100" src_country="R1" dst_ip="10.21.0.10" dst_country="R1" protocol="TCP" src_port="55526" dst_port="5004" packets_sent="0" packets_received="0" bytes_sent="0" bytes_received="0" src_trans_ip="" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="" src_zone="" dst_zone_type="" dst_zone="" con_direction="" con_id="" virt_con_id="" hb_status="No Heartbeat" message="Invalid TCP state." appresolvedby="Signature" app_is_cloud="0" In die Zwischenablage kopieren

Kann mir hier jemand helfen? Mach da seit bestimmt 12 Stunden rum und es klappt nicht, mir gehen auch die Ideen aus was ich noch tun könnte.

Über Eure Hilfe freue ich mich sehr

Kind regards,

Tom Wörner



This thread was automatically locked due to age.
Parents
  • FormerMember
    0 FormerMember

    Hi ,

    Thank you for reaching out to the Community! 

    I will move this thread to the Sophos(XG) Firewall group from UTM Firewall as it's better suited there. 

    About your issue, a packet capture from GUI would help us understand if the configured firewall rules work or not for the traffic from VLAN 20 to VLAN 50. 

    When you try to access VLAN 50, run a packet capture on the destination IP address from the GUI.

  • 0 in reply to FormerMember

    Hallo H_Patel,

    danke für deine Hilfe!

    Das Ursprungsszenario habe ich nun geändert weil ich nicht weitergekommen bin. Der Server ist nun nichtmehr im VLan sondern auf der direkten Schnittstelle mit der IP 10.19.0.10.

    Das hat auf Anhieb geklappt, auch mit den Firewallregeln.

    Nun aber gleiches Problem, nur anders…

    Der zweite Server (Dell R320, IP 10.19.0.11, Host Proxmox) ist im selben Subnetz und hängt am gleichen Switch.

    Firewallregel:

    source (lan) - source network (10.11.0.100-10.11.0.200) 

    destination (server) - destination network (1. synology 10.19.0.10, 2. dellserver 10.19.0.11)

    service (any)

    Diese Regel funktioniert auch.

    jetzt aber das Problem:

    von der SSL VPN Verbindung geht nur die 10.19.0.10. Die 10.19.0.11 ist nicht erreichbar.

    SSL-VPN subnetz/ IP-Range (172.16.100.100-172.16.100.200)

    Firewallregel:

    source (any) - source network (172.16.100.100-172.16.100.200)

    destination (server) - destination network (1. synology 10.19.0.10, 2. dellserver 10.19.0.11)

    service (any)

    Erlaubte Benutzer (tom)

    tom ist mein ssl vpn Profil. Das klappt auch alles. Am Handy bekomme ich die IP 172.16.100.101.

    Wie kann es sein, dass die 10.19.0.10 funktioniert und die 10.19.0.11 nicht?

    hier die gewünschten Daten von der Diagnose:


    Ich hoffe das ist so halbwegs gut zu verstehen.


    Kind regards,

    Tom Woerner

Reply
  • 0 in reply to FormerMember

    Hallo H_Patel,

    danke für deine Hilfe!

    Das Ursprungsszenario habe ich nun geändert weil ich nicht weitergekommen bin. Der Server ist nun nichtmehr im VLan sondern auf der direkten Schnittstelle mit der IP 10.19.0.10.

    Das hat auf Anhieb geklappt, auch mit den Firewallregeln.

    Nun aber gleiches Problem, nur anders…

    Der zweite Server (Dell R320, IP 10.19.0.11, Host Proxmox) ist im selben Subnetz und hängt am gleichen Switch.

    Firewallregel:

    source (lan) - source network (10.11.0.100-10.11.0.200) 

    destination (server) - destination network (1. synology 10.19.0.10, 2. dellserver 10.19.0.11)

    service (any)

    Diese Regel funktioniert auch.

    jetzt aber das Problem:

    von der SSL VPN Verbindung geht nur die 10.19.0.10. Die 10.19.0.11 ist nicht erreichbar.

    SSL-VPN subnetz/ IP-Range (172.16.100.100-172.16.100.200)

    Firewallregel:

    source (any) - source network (172.16.100.100-172.16.100.200)

    destination (server) - destination network (1. synology 10.19.0.10, 2. dellserver 10.19.0.11)

    service (any)

    Erlaubte Benutzer (tom)

    tom ist mein ssl vpn Profil. Das klappt auch alles. Am Handy bekomme ich die IP 172.16.100.101.

    Wie kann es sein, dass die 10.19.0.10 funktioniert und die 10.19.0.11 nicht?

    hier die gewünschten Daten von der Diagnose:


    Ich hoffe das ist so halbwegs gut zu verstehen.


    Kind regards,

    Tom Woerner

Children
No Data