Internet trafik über VPN Route

Du musst eigentlich nur eine SD-WAN PBR bauen. Für Internet Traffic. 

Diese Regel so anlegen: https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/129512/xml-import-for-internetv4-objects

Dann diese durch den Tunnel auf die andere Seite. Nicht vergessen auch ein SNAT(MASQ) zu machen. 

Hallo LuCar Toni

habe die Datei exportiert und eine SD-WAN erstellt.

Stehe aber auf dem schlauch wie ich die Snat und Firewall erstellen soll bzw. wie dieser aufgebaut wird.

Ein Beispiel:

Client mit der IP 192.168.1.68 am Sophos soll das Internet von der Draytek Nutzen

Tunnel Name: Draytek_Corlu

Subnet Draytek: 192.168.0.0/24

Subnet Sophos: 192.168.100.0/24

Routing Sophos Seite über Layer 3 Switch 

Beide Standorte können sich gegenseitig erreichen

Wie muss meine Firewall und NAT-Regel aussehen, damit der Client mit der IP 192.168.1.68 über Draytek rausgeht - SD WAN nach deiner Einstellung wurde erstellt

Bitte nicht böse werden :-) ware lange Jahre Draytek nutzer deshalb ist die Sophos Neuland für mich, muss mich lange einlesen und einarbeiten.

Vg

Ich habe das mal zusammen geschrieben: https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/121408/routing-in-xgv18-with-sd-wan-pbr

Du musst die SD-WAN Regel bauen, damit die Firewall weiß, der Traffic muss durch den Tunnel.

Dann musst du den Traffic erlauben (Firewall Rule).

Dann musst du den Traffic (wahrscheinlich) auch maskieren, könnte auch ohne funktionieren, wenn die Gegenseite damit umgehen kann. MASQ auf der SFOS ist jedoch einfacher. 

Hallo LuCar Toni,

SD WAN sieh so aus:

Eingehende Schnittstelle: Port 1

Quelle Netzwerke 192.168.1.68

Ziel Netzwerke Internet IPv4

Primäres Gateway meine Standleitung

Status Grün

Habe Firewall-Regel erstellt für Outbound

Quellezone: LAN

Quelle Netz: Internet IPv4

Ziel Netz: Subnet von Draytek

Ziel Zone: VPN

Linked Nat / Verknüpfte NAT mit MASQ und ohne probiert

Kein Erfolg - irgendwo mach ich ein Fehler

Die FIrewall Rule wäre LAN to WAN. SD-WAN kommt erst später im Traffic Flow. community.sophos.com/.../life-of-a-packet-sophos-firewall

Vielen Dank für deine Hilf und Geduld.

Habe auch probiert - bin einfach zu dumm dafür, geht einfach nicht. Ich bekomme es nicht hin..

Wie sicher bist du, dass es nicht an dem Peer liegt? 

Einfach auf der Firewall ein Packet Capture machen. Dabei schauen, ob das Paket korrekt die Firewall auf IPsec0 verlässt. Wenn das richtig aussieht, dann ist es Problem vom Peer und dort stimmt etwas nicht. 

Packet Capture zeigt verstoß an - ich komme aus der Firewall nicht raus ergo ich mache was an der Firewall verkehrt.

Packet Capture = Ping zu VPN Router Draytek

Wenn ich die automatisch generierte VPN Rule benutze können meine Endgeräte über ipsec0 die Firewall verlassen und erreichen auch die Gegenseite

Sobald ich aber die SD-WAN Rule in spiel nehmen, komme ich nicht mehr raus.

Mein Fehler liegt vermutlich darin, dass ich der SD-WAN Richtlinie InternetIPv4 nicht richtig sagen kann wie er durch den Tunnel gehen soll.

Habe SD-WAN Regel eingestellt so wie hier : https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/129512/xml-import-for-internetv4-objects

Dann habe ich unter Regeln und Richtlinien folgende Regel eingestellt

Quellezone: LAN

Quelle Netz: InternetIPv4 ( SD-WAN )

Ziel Netz: Subnet von Draytek

Ziel Zone: WAN

Linked Nat / Verknüpfte NAT mit MASQ und ohne probiert

Ich denke sehr stark dass hier irgendwo der Wurm liegt.

Ich muss ja der PBR SD WAN InternetIPv4 ( SD-WAN ) sagen, dass er durch den Tunnel gehen soll, genau wo mach ich das ?

Die SD_WAN Regel muss wie folgt aussehen:

So sieht es aus 

Client 192.168.1.68 soll über das VPN Draytek zum Internet

Das ist die Firewall Regel

Dort sage ich dass die Quelle Internet IPv4 in der Lan Zone über das Subnet der Draytek "CorluLan" ins WAN soll

Mit Linked Nat verknüpft.

Wenn hier alles soweit i.O ist, dann kann die Sophos wirklich nicht mit der Draytek zusammenarbeiten außer das normale Routing oder fehlt mir noch ne Einstellung / Konfiguration ?