Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 5 subscribers
  • Views 886 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG VPN IPsec Client hinter Unifi UDM

Nextro

Hallo zusammen,

ich habe eine Virtuelle Sophos XG Installation mit 2 Netzwerk Ports (Port 1: LAN: 192.168.0.18 - 255.255.255.0;  Port3: WAN: 192.168.10.2 - 255.255.255.0)

Davor habe ich eine UniFi UDM, welche die öffentliche IPv4 Adresse erhält und Portfreigabe für die Dienste vornimmt.

Gerne würde ich auf der Sophos XG 18 den VPN Dienst nutzen. Hierzu habe ich eine Portfreigabe auf Port 500 und 4500 zu Port 3 aktiv von UDM zur XG. 

Der Verbindungsaufbau per Sophos Client Connect klappt soweit. Jedoch funktionieren viele Verbindungen im Netzwerk nicht (Netzlaufwerke). Im Protokoll sehe ich viele Verbindungen vom Typ ipsec0 welche von der IP-Quelle zum IP-Ziel korrekt sind. Jedoch wird immer versucht die Rückantwort an 192.168.0.18 zu senden und nicht zum VPN-Client.

Hat jemand für mich eine Lösung? 



This thread was automatically locked due to age.
  • 0

    Hallo,

    hast du auf der Sophos bei den IPsec-Einstellungen auch die Netze zugelassen und auch entsprechende Firewall-Rules auf der Sophos eingerichtet, dass das VPN-Netz in dein trusted LAN darf?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Habe ich bereits probiert, leider ohne Erfolg.

    Das Log sieht wie folgt aus:

    Die eingehenden Verbindungen vom VPN-Netz (192.168.100.0/24) zum LAN-Netz (192.168.0.0/24) funktionieren, nur bei den Antworten der Systeme können die Pakete nicht mehr zugeordnet werden.

    Meine Konfiguration sieht derzeitig wie folgt aus:

  • 0 in reply to Nextro

    Hast du auch eine Firewall-Rule von LAN-Netz ins VPN-Netz?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Nextro

    Mir fällt eins auf: Bei LAN-VPN dürfen VLAN_0-50 ins VLAN_100 aber bei VPN-LAN darf nur VLAN_100 ins VLAN_0.

    Anhand deines Logs wird eine RDP-Verbindung von 192.168.0.28 aufgebaut, wohin soll diese Verbindung gehen? Ist diese eventuell in einem anderen VLAN?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Primär würde es ausreichen wenn das VLAN_0 geht (192.168.0.0).

    Es soll eine Verbindung aufgebaut werden von 192.168.100.2 (VPN) => 192.168.0.28 (VLAN_0)

    Ich sehe jedoch immer wieder Verbindungen die verworfen werden, da die Pakete nicht zugeordnet werden konnten als Ziel ist der Port 1 (192.168.0.18) von der XG. 

    Verbindungen auf den Dateisystemen werden immer unter den Hostnamen der XG hergestellt... eventuell ist hier das Problem. 

  • 0 in reply to Nextro

    Wenn du einen Ping von 192.168.100.2 auf 192.168.0.28 machst und auch vice versa, was erscheint dann im Log? Funktioniert dieser problemlos?

    Hast du evtl. eine NAT-Rule, die die IP maskiert?

    EDIT: Welche IP hat das Netz zwischen UDM und Sophos? Sehe es hat die 192.168.10.2 (nehme an es ist ein /24 Netz?)

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 19.5 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Ping vom VPN-Client (192.168.100.2) auf Server (192.168.0.28) geht durch. 

    Ping vom Server auf VPN-Client geht nicht. 

    Sind alles /24 Netze.

    Habe nur eine Default Nat Regel:

  • 0 in reply to Nextro

    Verworfene, nicht zuzuordnende Pakete sind meist kein Problem.

    Oft gehören diese zu Verbindungen, welche ist Firewall längst abgebaut hat.

    Ungewöhnlich ist hier die 192.168.0.18. Ich denke, dass hier die Traffic noch mit NAT/Masquerading in Kontakt kommet und die Source-IP verändert wird.

    ... was aber immer noch nicht heißen muss, dass es Probleme dadurch gibt.

    Wie sieht es denn mit grundlegenden Funktionen aus? Laufwerksverbindungen sind oft mit Servernamen, DNS und Authentifizierung verbunden ... daher gibt es etliche Abhängigkeiten.
    RDP ist einfacher. Gibt man hier die IP als Ziel an, funktioniert es, wenn die Verbindung OK ist. Wenn die Frage nach Nutzername/Kennwort kommt, ist die Verbindung da. (Wenn dann der Bildschirm schwarz bleibt, ist das ein anderes Problem ... meist MTU)

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Eine RDP Verbindung mittels IP als auch Auflösung über DNS funktionieren.

    Interessanterweise funktioniert in der cmd der tracert Befehl nicht ganz korrekt am Client. 
    Hier kommt beim ersten hop es zu einem Timeout, der 2. hop wird dann korrekt zur IP des Servers aufgelöst. 

Cookie Information Banner