Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 25 replies
  • Answers 1 answer
  • Subscribers 31 subscribers
  • Views 44219 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG 85w - RemoteAcces SSL VPN korrekt konfigurieren

Phil-

Hi Community,


ich benötige Hifle von den Sophos Profis.

Vermutlich ist es nur ein kleines Problemchen, dass ich aber einfach momentan nicht finde.

Ich muss vorweg sagen, dass ich mich erst seit kurzem mit dem Thema Sophos beschäftige, nun zu meinem Problem:


-----------

Ich habe ein Sophos XG85w im Einsatz, die hinter einer Fritzbox 7490 angeschlossen ist.

Die Sophos Firewall soll 4 Usern eine SSL VPN über den Sophos Client ermöglichen.

Über die Fritzbox läuft die Telefonie, DynDNS und als Exposted Host ist die Sophos Firewall eingetragen.

Kurz der Aufbau des Netzes ( Wifi nicht mitinbegriffen )

Fritzbox ( 192.168.160.1 ) ----> Sophos XG 85w am WAN Port (192.168.160.153).

Sophos am LAN Port ( 172.31.17.254 )         DHCP Bereich ( 172.31.17.100 - 172.31.17.170 ).

SSL-VPN Einstellungen: IPv4 Lease Bereich : 10.10.10.100-10.10.10.170

Die Benutzer wurden unter USER angelegt und in den Einstellungen "SSL-VPN Fernzugriff" zu einer Richtlinie hinzugefügt. Dort wurde auch unter dem Punkt zugelassene Netzwerkressourcen das Interne Netzwerk angegeben.


Es ist eine NAT Regel eingerichtet, damit das Interne Netzwerk ins Internet kommt.

Ich kann von draußen auch das Userportal über den DynDNS Namen perfekt erreichen und mir den OpenVPN Client + Conf downloaden.

Wenn ich mich nun mit dem Sophos Client zur Firewall verbinden will, bekomme ich keine Verbindung hin.

Den Auszug im Fehlerlog des Sophos Clients habe ich mal mit angehängt.

Ich denke es wird irgendwo eine Firewall Regel oder was ähnliches fehlen, deßhalb würde ich mich freuen, wenn ihr mir kurze Tipps geben könntet wo ich was einrichten oder den Fehler suchen müsste.


Danke im voraus

MFG Gerber

Fullscreen 6281.Log_VPN.txt Download 
Fri Jul 22 10:47:46 2016 OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jun 14 2016
Fri Jul 22 10:47:46 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Enter Management Password:
Fri Jul 22 10:47:46 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Jul 22 10:47:46 2016 Need hold release from management interface, waiting...
Fri Jul 22 10:47:47 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'state on'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'log all on'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'hold off'
Fri Jul 22 10:47:47 2016 MANAGEMENT: CMD 'hold release'
Fri Jul 22 10:47:55 2016 MANAGEMENT: CMD 'username "Auth" "dominikg"'
Fri Jul 22 10:47:55 2016 MANAGEMENT: CMD 'password [...]'
Fri Jul 22 10:47:55 2016 Socket Buffers: R=[65536->65536] S=[49152->49152]
Fri Jul 22 10:47:55 2016 Attempting to establish TCP connection with [AF_INET]192.168.160.153:8443 [nonblock]
Fri Jul 22 10:47:55 2016 MANAGEMENT: >STATE:1469177275,TCP_CONNECT,,,,,,



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to DirkJung

    Hi Dirk,

    danke zunächst für die Hilfe.

    Ich habe den ersten Fehler gefunden xD, es war bei dem Punkt Override Hostnanme kein Eintrag hinterlegt.

    Wenn ich dort den DynDNS Namen eintrage kommt eine Verindung zustande.

    Nun habe ich noch ein weiteres Problem:

    Ich bekomme nun die IP Adresse 10.10.10.101 zugewiesen.

    Wenn ich nun auf das Interne Netzwerk zugreifen will bekomme ich kein Ping und keine Verindung in das Netzwerk hin.

    Zugleich kann ich auch nicht im Internet surfen.

    Ich habe FIrewall Regel " VPN -> LAN" und auch shcon extra ein VPN Host Netz angelegt und dieses in das LAN Netz zugelassen, leider ohne Erfolg.

    Ist es auch korrekt, dass ich kein Gateway zugewiesen bekomme ??

    Danke im voraus

    Gruß Philipp

  • 0 in reply to Phil-

    So danke für die Hilfe...


    Es funktioniert nun alle super.

    Eine Frage hätte ich jedoch noch.

    Bei den größeren Sophos Firewalls gibt es eine Einstellung, dass bei dem VPN Verkehr zum surfen der eigene Hausanschluss benutz wird und nu der Traffic der wirklich über den VPN soll, durch den Tunnel geleitet wird.

    Gibt es so eine Eisntellung auch bei der XG Firewall, damit nicht der Internet Traffic über den Tunnel geht ?

    Grüße Philipp

  • 0 in reply to Phil-

    So und nochmal eine kurzes EDIT:

    In den SSL Einstellungen gibt es ein Punkt ( als Standardgateway benutzen).

    Über diesen Punkt kann man einstellen ob der Traffic durch den Tunnel oder über die eigenene Internetleitung geleitet wrid.

    Danke nochmals für die Hilfe.

    Grüße Philipp

  • 0 in reply to Phil-

    Hallo Philipp,

    was hast du eingestellt damit der Zugriff auf das Netzwerk funktioniert? Ich hätte das selbe Problem.

    Gruß

    Martin

  • 0 in reply to MartinZentner

    Hi Martin,


    das Problem war bei mir, dass der SSl-Client nicht die Verbindung zu der DynDNS Adresse aufgebaut hat (Logfile).

    In den Einstellungen "SSL-VPN-Einstellungen" musste unter dem Punkt "Hostname" überschreiben, die DynDNS Adresse eingetragen werden.

    Danach ist im Logfile korrekt zusehen, dass die Vebrindung zum DynDNS Name aufgebaut wird.

    Zusätzlich muss natürlich eine Firewall Regl für den VPN Traffic in das Netzwerk erlaubt werden.

    Ich habe nur momentan noch mit einem Problem zu kämpfen:
    - Wenn ich über VPN verbunden bin kann ich die IP-Adressen korrekt anpingen, leider funktioniert die Namensauflösung nicht.

    Ich habe die DNS Server mitgegeben, bekomme aber über nslookup ein Timout.


    hat hierzu jemand eine Idee ?

    MFG Philipp

  • 0 in reply to Phil-

    Hi Philipp,

    wie sehen denn deine Firewall Regeln aus?

    Ich bin per VPN verbunden kann aber nicht anpingen. Habe als Source Zone-VPN / Networks - Any / Services - Any und immer als Ziel Lan und Netzwerke Port1

    Da geht aber nichts.

    Hättest du eine Idee?

    Gruß

    Martin

  • 0 in reply to MartinZentner

    Morgen Martin,

    1.) Hast du denn generell keinen Zugriff auf das Netzwerk ?? oder funktioniert nur ein Ping in das Netzwerk nicht ??

    Falls nur der ping nicht funktioniert, bitte mal ein Client oder einen Server anpingen, der sich auch sicher aus dem internen Netz anpingen lässt ( Firewall etc)

    2.) Hast du in den Firewall Regeln ein IN Traffic ?? kommt Traffic an ??

    3.) Ist die Firewall Benutzerbasierend ? und du hast eventuell vergessen den richtigen Benutzer hinzuzufügen, somit greift die Regel für den verbunden Benutzer nicht?

    4.) Ich habe gerade nochmals nachgesehen, ich habe bei mir im Ziel noch den WAN Port mit angegeben.

    Kannste ja gerne mal eine Rückmeldung geben, danke.

    MFG Philipp

  • 0 in reply to Phil-

    Hallo zusammen,

    ich würde dieses Thema gerne nochmal aufgreifen.
    Ich bin genau nach dieser Anleitung vorgegangen:
    https://community.sophos.com/kb/en-us/122769

    Bei Override hostname habe ich meinen Dyndns-Hostname eingetragen (geht auch über die Fritzbox). In der Fritzbox ist die XG als Exposed Host eingetragen.

    Ich kann auch eine VPN-Verbindung aufbauen... in der XG zeigt er mir auch an, dass ich verbunden bin.

    Nur komme ich auf kein einziges Gerät hinter der XG... weder Ping noch irgendwas anderes... hat jemand einen Tipp für mich? Kann ja eigentlich "nur" eine simple Einstellung sein, oder?


    Danke euch!

    Gruß
    Marius

  • 0 in reply to Gawo

    Hi Marius,

    1.) wird der VPN wirklich korrekt aufgebaut? bekommst du eine IP Adresse aus dem Ssl Vpn Bereich zugewiesen?

    2.) Hast du in den Firewall Regeln ein IN Traffic erstellt? Kommt Traffic auf der Regel an?

    3.) Ist die Firewall Regel Benutzerbasierend ? und du hast eventuell vergessen den richtigen Benutzer hinzuzufügen, somit greift die Regel für den verbunden Benutzer nicht?

    4.) In welche Gruppe werden die Benutzer für den VPN gepackt? Ist diese in der Regel erlaubt?

    5.) welche Netzwerke sind in den allgemeinen Vpn Einstellungen erlaubt?

    Dort können die Netzwerke, welche erreicht werden sollen angegeben werden.

    Grüße Phil

  • 0 in reply to Phil-

    Hi Phil,

    danke dir erst einmal für deine schnelle Antwort.
     Ja, die VPN-Verbindung wird richtig aufgebaut. Es erscheint folgendes Fenster und ich bekomme eine IP aus dem VPN Bereich:

    In der Firewall ist auch zu sehen, dass ich verbunden bin:



    auffällig ist jedoch, dass scheinbar kein Up- oder Download stattfindet, alles steht auf 0:

    Es wurde eine Firewallregel für den VPN-Verkehr erstellt:

    auch hier ist zu sehen, dass eingehend und ausgehend auf 0 steht...


    Die Firewallregel ist gruppenbasierend, ich habe eine Gruppe erstellt, in der ich auch Mitglied bin. Hier die Regel:

    und hier die Gruppe:

    Hier noch einmal die VPN policy:

    In den allgemeinen VPN Einstellungen wird folgendes erlaubt:

     

    Ich hoffe, dass die Screenshots hilfreich sein werden... und dass ich alle Fragen beantwortet habe :-)

    Lieben Gruß und vielen vielen Dank!

    Marius