Lancom WAN Gateway SSL VPN

Moin,

ich bin mir nicht ganz sicher. Aber bei der Portforwarding Regel im Lancom kannst du nicht 0-0 eingeben.
Sondern 1-442, 444-1024, etc. Du musst halt die Zugriffsports für deinen Lancom ausklammern, sonst sperrst du dich aus! 
Map-Port darf bei 0 bleiben wenn du einen Bereich angibst.

Hallo,

das dachte ich mir auch, das war nur zum probieren, ich hatte mal nur den SSL VPN Port drin gehabt.

Wie schaut deine ACL aus? Da der Lancom Backup Gateway ist sollte er in der WAN Zone sein. Ist der Haken bei SSL-VPN drin?
Zum testen würde ich aber das User Portal nutzen, ist einfacher und geht schneller. Den Port stellst du unter "Administration -> Admin and User settings -> User Portal HTTPS Port" ein. Wenn der funktioniert weißt du das Portforwarding im Lancom funktioniert.

Hallo natürlich ist der Haken drin. Wir benutzen das SSL VPN aktuel über unseren Haupt WAN von unseren Kabel Provider ganz normal. Ich habe mich sogar eben erfolgreich mit Laptop am Lancom angeschloßen und kam über die 20.251 auf das Userportal und SSL VPN.  So sollte das ungefähr dann aussehen.

Das schaut ja so richtig aus. Aber funktioniert das Userportal von der öffentlichen IP des VoIP Lancoms?

Der XG ist es ja egal von welchen WAN du kommst. 

Von deinem anderen Post von vor 5 Tage sehe ich dass du beide WANs für SSL VPN nutzen willst. Im VPN Konfig file steht ja immer nur eine IP und die nutzt er dann auch. Bin mir nicht sicher ob du da so beide WANs eintragen kannst. Du müsstest halt die Benutzer dann manuell aufteilen je nachdem welches WAN sie benutzten sollen.

Das schaut ja so richtig aus. Aber funktioniert das Userportal von der öffentlichen IP des VoIP Lancoms?

Der XG ist es ja egal von welchen WAN du kommst. 

Von deinem anderen Post von vor 5 Tage sehe ich dass du beide WANs für SSL VPN nutzen willst. Im VPN Konfig file steht ja immer nur eine IP und die nutzt er dann auch. Bin mir nicht sicher ob du da so beide WANs eintragen kannst. Du müsstest halt die Benutzer dann manuell aufteilen je nachdem welches WAN sie benutzten sollen.

Ich will nur entweder WAN1 oder WAN2 in der VPN Konfig von Client eintragen, so das ich mal zur Not paar office users auf die schwächere Leitung packen kann.

Es muss also am Lancom hängen, der leitet mir das nicht weiter, wieso auch immer, wie oben geschrieben wen ich direkt am Lancom dran hänge, sehe ich alles von der Sophos (Userportal und SSL-VPN)

Das Port-Forwarding ist richtig. Evtl. die Firewall von Lancom.

Das Lancom Gateway ist in der XG auch aktiv? Siehe "Routing -> Gateways" wenn es als Backup konfiguriert ist, nimmt die XG hier nichts an.

Das Gateway steht auf Backup, falls mal die WAN Verbindung ausfällt vom anderen.

Sicher das die XG nichts entgegennimmt? Wie gesagt direk am Lancom angeschloßen und es geht. Oder sieht die XG dann die Externen IP's und sagt sich nein ist nicht mein Haupt-Wan?

Geht das überhaupt das ich dann 2 Gatways auf Active habe?

Warum es funktioniert wenn du direkt am Lancom hängst wundert mich, da könntest du recht haben dass die XG unterscheidet ob LAN oder WAN Traffic.

Zwei aktive Gateways geht natürlich. Abgehend wird der Traffic 50/50 aufgeteilt oder wie man es halt in "Network -> WAN Link Manager" einstellt.
Sinnvoller sind aber SD-WAN Regeln. Hier legst du fest, welches Netz über welches WAN ins Internet geht. Z.B. TK-Netz über den Lancom wenn die TK-Anlage selber die SIP Registrierung machen soll über den Anschluss.

So sollte es gehen (ist etwas älter):

Hallo, eigentlich wollen wir noch keine aufteilung vom WAN Traffic machen, da der Haupt-WAN Kabel Provider uns eine 1000k/50k Leitung bereit hällt.

Der Lancom soll nur wirklich ein paar SSL-VPN User abnehmen. Die TK-Anlage ist direkt mit dem Lancom am S0/S1 angeschloßen, denke mal die können wir getrosst ignorieren.

Ja dann genügt eine SD-WAN-Regel. Alle Netze über den anderen WAN laufen lassen. Somit wird der Lancom WAN nur bei Ausfall genutzt.
Hauptsache der Lancom WAN Anschluss steht nicht mehr auf Backup sondern auf aktiv.

Also sowas? Alles auf Any lassen, oder muss ich noche eine ausnahme machen, nicht das am ende mein VPN User über den Lancom reinkommt und dann der Traffic am anderen WAN Gateways zurückgeschickt wird.

Ja passt, bin mir nur nicht sicher ob du Incoming Interface auf Any lassen kannst.
Am besten dein LAN Interface auswählen. Ans falsche WAN wird hier nichts zurückgeschickt.

Also mit SD WAN Route, und Gateways auf Active hat jetzt keine Änderung gemacht. Wenn ich nur wüste wie ich im Lancom schauen kann ob das ankommt und ob es weitergeleitet wird, frustierend.

Zusätzlich kommt jetzt noch dazu unsere IPSec Site-To-Site VPN zu unsere Tochterfirma hatte jetzt merkwürdige Probleme, auf dem SMB Server kam ich ganz normal drauf, aber komischerweise konnten die Leute sich nicht mehr auf unseren Terminalserver per RDP draufschalten. (Aber in der Sophos Log, stehen sie drin??)