Internet trafik über VPN Route

Du musst eigentlich nur eine SD-WAN PBR bauen. Für Internet Traffic. 

Diese Regel so anlegen: https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/129512/xml-import-for-internetv4-objects

Dann diese durch den Tunnel auf die andere Seite. Nicht vergessen auch ein SNAT(MASQ) zu machen. 

Hallo LuCar Toni

habe die Datei exportiert und eine SD-WAN erstellt.

Stehe aber auf dem schlauch wie ich die Snat und Firewall erstellen soll bzw. wie dieser aufgebaut wird.

Ein Beispiel:

Client mit der IP 192.168.1.68 am Sophos soll das Internet von der Draytek Nutzen

Tunnel Name: Draytek_Corlu

Subnet Draytek: 192.168.0.0/24

Subnet Sophos: 192.168.100.0/24

Routing Sophos Seite über Layer 3 Switch 

Beide Standorte können sich gegenseitig erreichen

Wie muss meine Firewall und NAT-Regel aussehen, damit der Client mit der IP 192.168.1.68 über Draytek rausgeht - SD WAN nach deiner Einstellung wurde erstellt

Bitte nicht böse werden :-) ware lange Jahre Draytek nutzer deshalb ist die Sophos Neuland für mich, muss mich lange einlesen und einarbeiten.

Vg

Ich habe das mal zusammen geschrieben: https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/121408/routing-in-xgv18-with-sd-wan-pbr

Du musst die SD-WAN Regel bauen, damit die Firewall weiß, der Traffic muss durch den Tunnel.

Dann musst du den Traffic erlauben (Firewall Rule).

Dann musst du den Traffic (wahrscheinlich) auch maskieren, könnte auch ohne funktionieren, wenn die Gegenseite damit umgehen kann. MASQ auf der SFOS ist jedoch einfacher. 

Hallo LuCar Toni,

SD WAN sieh so aus:

Eingehende Schnittstelle: Port 1

Quelle Netzwerke 192.168.1.68

Ziel Netzwerke Internet IPv4

Primäres Gateway meine Standleitung

Status Grün

Habe Firewall-Regel erstellt für Outbound

Quellezone: LAN

Quelle Netz: Internet IPv4

Ziel Netz: Subnet von Draytek

Ziel Zone: VPN

Linked Nat / Verknüpfte NAT mit MASQ und ohne probiert

Kein Erfolg - irgendwo mach ich ein Fehler

Die FIrewall Rule wäre LAN to WAN. SD-WAN kommt erst später im Traffic Flow. community.sophos.com/.../life-of-a-packet-sophos-firewall

Vielen Dank für deine Hilf und Geduld.

Habe auch probiert - bin einfach zu dumm dafür, geht einfach nicht. Ich bekomme es nicht hin..

Vielen Dank für deine Hilf und Geduld.

Habe auch probiert - bin einfach zu dumm dafür, geht einfach nicht. Ich bekomme es nicht hin..

Wie sicher bist du, dass es nicht an dem Peer liegt? 

Einfach auf der Firewall ein Packet Capture machen. Dabei schauen, ob das Paket korrekt die Firewall auf IPsec0 verlässt. Wenn das richtig aussieht, dann ist es Problem vom Peer und dort stimmt etwas nicht. 

Packet Capture zeigt verstoß an - ich komme aus der Firewall nicht raus ergo ich mache was an der Firewall verkehrt.

Packet Capture = Ping zu VPN Router Draytek

Wenn ich die automatisch generierte VPN Rule benutze können meine Endgeräte über ipsec0 die Firewall verlassen und erreichen auch die Gegenseite

Sobald ich aber die SD-WAN Rule in spiel nehmen, komme ich nicht mehr raus.

Mein Fehler liegt vermutlich darin, dass ich der SD-WAN Richtlinie InternetIPv4 nicht richtig sagen kann wie er durch den Tunnel gehen soll.

Habe SD-WAN Regel eingestellt so wie hier : https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/129512/xml-import-for-internetv4-objects

Dann habe ich unter Regeln und Richtlinien folgende Regel eingestellt

Quellezone: LAN

Quelle Netz: InternetIPv4 ( SD-WAN )

Ziel Netz: Subnet von Draytek

Ziel Zone: WAN

Linked Nat / Verknüpfte NAT mit MASQ und ohne probiert

Ich denke sehr stark dass hier irgendwo der Wurm liegt.

Ich muss ja der PBR SD WAN InternetIPv4 ( SD-WAN ) sagen, dass er durch den Tunnel gehen soll, genau wo mach ich das ?

Die SD_WAN Regel muss wie folgt aussehen:

So sieht es aus 

Client 192.168.1.68 soll über das VPN Draytek zum Internet

Das ist die Firewall Regel

Dort sage ich dass die Quelle Internet IPv4 in der Lan Zone über das Subnet der Draytek "CorluLan" ins WAN soll

Mit Linked Nat verknüpft.

Wenn hier alles soweit i.O ist, dann kann die Sophos wirklich nicht mit der Draytek zusammenarbeiten außer das normale Routing oder fehlt mir noch ne Einstellung / Konfiguration ?

Die Objekte sind wahrscheinlich falsch. 

Du musst WAN - ANY nutzen. 

Dann musst du in der Firewall Regel und in der SD-WAN Regel auch mit dem Internet v4 arbeiten (überprüfe auch, dass du das ANY objekt verwendest, wo alle Internet V4 Objekte drin sind). 

Habe auch die Internet V4 probiert

Was meinst du mit WAN - ANY ? Zielnetzwerk und Zielzone in der Firewall Regel ?

WAN zone und ANY Object für Network. 

Ich verstehe nur Bahnhof wenn ich in der Firewall Regel WAN zu ANY mache, woher weis dann InternetIPv4 dass der Ausgang über Tunnel ist, wenn ich nirgendswo eine Regel habe, der den Tunnel und die InternetIPv4 miteinander verbinde.

Dann muss ich nicht mit Linked NAT arbeiten sondern eine eigene NAT Regel auch noch schreiben - ist das richtig ?

Hast du einen Route based VPN? Oder alten Policy based? 

Du musst von der Perspektive der Firewall denken. (Wenn du einen Route based VPN Tunnel hast). 

Für die Firewall möchtest du folgendes machen: 

Client geht ins Internet und soll über den IPsec Tunnel gehen.

Das heißt: 

LAN // Client 

WAN // ANY 

Service ANY

Allowed. 

NAT brauchst du nicht zwangläufig, wenn die Gegenstelle das korrekt macht.

Dann brauchst du eine SD-WAN Regel:

Client 

Internetv4

ANY 

Gateway vom Ipsec tunnel (das musst du anlegen). 

Ich würde aber empfehlen, einen Sophos Partner zu involvieren. 

Habe Policy Based

Da ist dass Schlagwort, habe das Gateway vom IPsec Tunnel nicht angelegt - ich muss erstmal ein Gateway anlegen muss aber mich durchlesen wie ich das am besten machen, denn der VPN Tunnel zur Draytek hat ja keine Schnittstelle

Danke nochmals für deine Zeite und Mühen