Sophos XG VPN IPsec Client hinter Unifi UDM

Hallo,

hast du auf der Sophos bei den IPsec-Einstellungen auch die Netze zugelassen und auch entsprechende Firewall-Rules auf der Sophos eingerichtet, dass das VPN-Netz in dein trusted LAN darf?

Habe ich bereits probiert, leider ohne Erfolg.

Das Log sieht wie folgt aus:

Die eingehenden Verbindungen vom VPN-Netz (192.168.100.0/24) zum LAN-Netz (192.168.0.0/24) funktionieren, nur bei den Antworten der Systeme können die Pakete nicht mehr zugeordnet werden.

Meine Konfiguration sieht derzeitig wie folgt aus:

Habe ich bereits probiert, leider ohne Erfolg.

Das Log sieht wie folgt aus:

Die eingehenden Verbindungen vom VPN-Netz (192.168.100.0/24) zum LAN-Netz (192.168.0.0/24) funktionieren, nur bei den Antworten der Systeme können die Pakete nicht mehr zugeordnet werden.

Meine Konfiguration sieht derzeitig wie folgt aus:

Hast du auch eine Firewall-Rule von LAN-Netz ins VPN-Netz?

2 Regeln

LAN-VPN

VPN-LAN

Mir fällt eins auf: Bei LAN-VPN dürfen VLAN_0-50 ins VLAN_100 aber bei VPN-LAN darf nur VLAN_100 ins VLAN_0.

Anhand deines Logs wird eine RDP-Verbindung von 192.168.0.28 aufgebaut, wohin soll diese Verbindung gehen? Ist diese eventuell in einem anderen VLAN?

Primär würde es ausreichen wenn das VLAN_0 geht (192.168.0.0).

Es soll eine Verbindung aufgebaut werden von 192.168.100.2 (VPN) => 192.168.0.28 (VLAN_0)

Ich sehe jedoch immer wieder Verbindungen die verworfen werden, da die Pakete nicht zugeordnet werden konnten als Ziel ist der Port 1 (192.168.0.18) von der XG. 

Verbindungen auf den Dateisystemen werden immer unter den Hostnamen der XG hergestellt... eventuell ist hier das Problem. 

Wenn du einen Ping von 192.168.100.2 auf 192.168.0.28 machst und auch vice versa, was erscheint dann im Log? Funktioniert dieser problemlos?

Hast du evtl. eine NAT-Rule, die die IP maskiert?

EDIT: Welche IP hat das Netz zwischen UDM und Sophos? Sehe es hat die 192.168.10.2 (nehme an es ist ein /24 Netz?)

Ping vom VPN-Client (192.168.100.2) auf Server (192.168.0.28) geht durch. 

Ping vom Server auf VPN-Client geht nicht. 

Sind alles /24 Netze.

Habe nur eine Default Nat Regel:

Verworfene, nicht zuzuordnende Pakete sind meist kein Problem.

Oft gehören diese zu Verbindungen, welche ist Firewall längst abgebaut hat.

Ungewöhnlich ist hier die 192.168.0.18. Ich denke, dass hier die Traffic noch mit NAT/Masquerading in Kontakt kommet und die Source-IP verändert wird.

... was aber immer noch nicht heißen muss, dass es Probleme dadurch gibt.

Wie sieht es denn mit grundlegenden Funktionen aus? Laufwerksverbindungen sind oft mit Servernamen, DNS und Authentifizierung verbunden ... daher gibt es etliche Abhängigkeiten.
RDP ist einfacher. Gibt man hier die IP als Ziel an, funktioniert es, wenn die Verbindung OK ist. Wenn die Frage nach Nutzername/Kennwort kommt, ist die Verbindung da. (Wenn dann der Bildschirm schwarz bleibt, ist das ein anderes Problem ... meist MTU)

Eine RDP Verbindung mittels IP als auch Auflösung über DNS funktionieren.

Interessanterweise funktioniert in der cmd der tracert Befehl nicht ganz korrekt am Client. 
Hier kommt beim ersten hop es zu einem Timeout, der 2. hop wird dann korrekt zur IP des Servers aufgelöst. 

Dann antwortet der routinghop/die Firewall nicht auf ICMP.

Ist irgendwo einstellbar.