This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internet trafik über VPN Route

Hallo Zusammen,

habe zwischen eine Sophos XGS 2100 und Draytek mittels Ikev2 ein Site to Site Tunnel aufgebaut.

Das routing der Subnetze funktioniert einwandfrei in beide richtungen.

Firewallregen wurden auch entsprechend konfiguriert.

Nun möchte ich aber, dass bestimmte clienten auf Sophos seite über den VPN Tunnel ins Internet gehen, quasi die Internetleitung der Draytek nutzen.

Wie kann ich diese realisieren ?

Bei der Draytek ging es ziemlich einfach mittels route policy aber bei der Sophos habe ich es nicht hinbekommen.

man hat mir vor Ort gesagt, dass dies nicht möglich ist, was ich aber nicht glaube.

wäre für jede hilfe dankbar

This thread was automatically locked due to age.

Parents

0 LuCar Toni over 3 years ago

Du musst eigentlich nur eine SD-WAN PBR bauen. Für Internet Traffic.

Diese Regel so anlegen: https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/129512/xml-import-for-internetv4-objects

Dann diese durch den Tunnel auf die andere Seite. Nicht vergessen auch ein SNAT(MASQ) zu machen.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 AyhanGünay over 3 years ago in reply to LuCar Toni

Hallo LuCar Toni

habe die Datei exportiert und eine SD-WAN erstellt.

Stehe aber auf dem schlauch wie ich die Snat und Firewall erstellen soll bzw. wie dieser aufgebaut wird.

Ein Beispiel:

Client mit der IP 192.168.1.68 am Sophos soll das Internet von der Draytek Nutzen

Tunnel Name: Draytek_Corlu

Subnet Draytek: 192.168.0.0/24

Subnet Sophos: 192.168.100.0/24

Routing Sophos Seite über Layer 3 Switch

Beide Standorte können sich gegenseitig erreichen

Wie muss meine Firewall und NAT-Regel aussehen, damit der Client mit der IP 192.168.1.68 über Draytek rausgeht - SD WAN nach deiner Einstellung wurde erstellt

Bitte nicht böse werden :-) ware lange Jahre Draytek nutzer deshalb ist die Sophos Neuland für mich, muss mich lange einlesen und einarbeiten.

Vg
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 AyhanGünay over 3 years ago in reply to LuCar Toni

Hallo LuCar Toni

habe die Datei exportiert und eine SD-WAN erstellt.

Stehe aber auf dem schlauch wie ich die Snat und Firewall erstellen soll bzw. wie dieser aufgebaut wird.

Ein Beispiel:

Client mit der IP 192.168.1.68 am Sophos soll das Internet von der Draytek Nutzen

Tunnel Name: Draytek_Corlu

Subnet Draytek: 192.168.0.0/24

Subnet Sophos: 192.168.100.0/24

Routing Sophos Seite über Layer 3 Switch

Beide Standorte können sich gegenseitig erreichen

Wie muss meine Firewall und NAT-Regel aussehen, damit der Client mit der IP 192.168.1.68 über Draytek rausgeht - SD WAN nach deiner Einstellung wurde erstellt

Bitte nicht böse werden :-) ware lange Jahre Draytek nutzer deshalb ist die Sophos Neuland für mich, muss mich lange einlesen und einarbeiten.

Vg
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 LuCar Toni over 3 years ago in reply to AyhanGünay

Ich habe das mal zusammen geschrieben: https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/121408/routing-in-xgv18-with-sd-wan-pbr

Du musst die SD-WAN Regel bauen, damit die Firewall weiß, der Traffic muss durch den Tunnel.

Dann musst du den Traffic erlauben (Firewall Rule).

Dann musst du den Traffic (wahrscheinlich) auch maskieren, könnte auch ohne funktionieren, wenn die Gegenseite damit umgehen kann. MASQ auf der SFOS ist jedoch einfacher.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 AyhanGünay over 3 years ago in reply to LuCar Toni

Hallo LuCar Toni,

SD WAN sieh so aus:

Eingehende Schnittstelle: Port 1

Quelle Netzwerke 192.168.1.68

Ziel Netzwerke Internet IPv4

Primäres Gateway meine Standleitung

Status Grün

Habe Firewall-Regel erstellt für Outbound

Quellezone: LAN

Quelle Netz: Internet IPv4

Ziel Netz: Subnet von Draytek

Ziel Zone: VPN

Linked Nat / Verknüpfte NAT mit MASQ und ohne probiert

Kein Erfolg - irgendwo mach ich ein Fehler
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 3 years ago in reply to AyhanGünay

Die FIrewall Rule wäre LAN to WAN. SD-WAN kommt erst später im Traffic Flow. community.sophos.com/.../life-of-a-packet-sophos-firewall

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 AyhanGünay over 3 years ago in reply to LuCar Toni

Vielen Dank für deine Hilf und Geduld.

Habe auch probiert - bin einfach zu dumm dafür, geht einfach nicht. Ich bekomme es nicht hin..
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 3 years ago in reply to AyhanGünay

Wie sicher bist du, dass es nicht an dem Peer liegt?

Einfach auf der Firewall ein Packet Capture machen. Dabei schauen, ob das Paket korrekt die Firewall auf IPsec0 verlässt. Wenn das richtig aussieht, dann ist es Problem vom Peer und dort stimmt etwas nicht.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 AyhanGünay over 3 years ago in reply to LuCar Toni

Packet Capture zeigt verstoß an - ich komme aus der Firewall nicht raus ergo ich mache was an der Firewall verkehrt.

Packet Capture = Ping zu VPN Router Draytek

Wenn ich die automatisch generierte VPN Rule benutze können meine Endgeräte über ipsec0 die Firewall verlassen und erreichen auch die Gegenseite

Sobald ich aber die SD-WAN Rule in spiel nehmen, komme ich nicht mehr raus.

Mein Fehler liegt vermutlich darin, dass ich der SD-WAN Richtlinie InternetIPv4 nicht richtig sagen kann wie er durch den Tunnel gehen soll.

Habe SD-WAN Regel eingestellt so wie hier : https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/129512/xml-import-for-internetv4-objects

Dann habe ich unter Regeln und Richtlinien folgende Regel eingestellt

Quellezone: LAN

Quelle Netz: InternetIPv4 ( SD-WAN )

Ziel Netz: Subnet von Draytek

Ziel Zone: WAN

Linked Nat / Verknüpfte NAT mit MASQ und ohne probiert

Ich denke sehr stark dass hier irgendwo der Wurm liegt.

Ich muss ja der PBR SD WAN InternetIPv4 ( SD-WAN ) sagen, dass er durch den Tunnel gehen soll, genau wo mach ich das ?
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 3 years ago in reply to AyhanGünay

Die SD_WAN Regel muss wie folgt aussehen:

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 AyhanGünay over 3 years ago in reply to LuCar Toni

So sieht es aus

Client 192.168.1.68 soll über das VPN Draytek zum Internet

Das ist die Firewall Regel

Dort sage ich dass die Quelle Internet IPv4 in der Lan Zone über das Subnet der Draytek "CorluLan" ins WAN soll

Mit Linked Nat verknüpft.

Wenn hier alles soweit i.O ist, dann kann die Sophos wirklich nicht mit der Draytek zusammenarbeiten außer das normale Routing oder fehlt mir noch ne Einstellung / Konfiguration ?
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 3 years ago in reply to AyhanGünay

Die Objekte sind wahrscheinlich falsch.

Du musst WAN - ANY nutzen.

Dann musst du in der Firewall Regel und in der SD-WAN Regel auch mit dem Internet v4 arbeiten (überprüfe auch, dass du das ANY objekt verwendest, wo alle Internet V4 Objekte drin sind).

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 AyhanGünay over 3 years ago in reply to LuCar Toni

Habe auch die Internet V4 probiert

Was meinst du mit WAN - ANY ? Zielnetzwerk und Zielzone in der Firewall Regel ?
Cancel
Vote Up 0 Vote Down

Cancel