Kann man Sophos nicht irgendwie sagen dass er sozusagen alles was auf firma.local endet via VPN an die Firewall wendet? Alles durch den VPN senden will ich nicht wenn es nicht nötig ist.

Ja, kann man man. Man muss nur unter Fernzugriff-VPN --> IPsec --> Erweiterte Einstellungen den Schalter "Als Standardgateway verwenden" ausschalten (und natürlich dem Sophos-Client die geänderte Config unterjubeln). Dann schickt diese tatsächlich nur den Traffic des Fernzugriffs durchs VPN, aller Rest geht ins Inet. Das sollte auch per Namen gehen.

Aber der DNS-Server antwortet dir schon ...?

nslookup (ohne parameter)

www.heise.de 

was kommt da zurück?

deinserver.deinedomain.irgendwas

was kommt da zurück?

Am besten den output posten.

Wenn der DNS Server nicht reagiert ... ist unter administration / device access / DNS für die Zone (VPN) zugelassen?

PS: die manuellen Einträge unter "Netzwerk --> DNS " müssen natürlich auch Voll Qualifiziert (incl. Domänenanteil) gemacht werden.

Hallo dirk

Ich habe ein NSLookup machen können. Untenstehend Bilder vom CMD und dem Firewall DNS.

LG Gian Duri

ok, würde der DNS Dienst nicht antworten, gäbe es ein timeout.

Kann die Fw den Namen lokal auflösen? Diagnostics / Tools / Name lookup  (anderer Server : 192.168.34.1)

Hallo Dirk

Die Firewall kann den namen Aufläsen.

Kann es sein, dass es ein Problem ist, dass bei der Firewall selber als DNS localhost (127.0.0.1) angegeben ist?

192.168.33.1 ist das Netzwerk vom Router vor der Firewall... (FRITZ!Box)

LG Gian Duri

Du verwirrst "192.168.33.1" ist kein Netzwerk, sondern ein Host. Ist dies die Fritzbox? Spielt die für das durch die Sophos geschützte Netzwerk den DNS-Server? Warum sitzt die vor der Sophos? Was macht die, wozu braucht man die überhaupt? Ich glaube, Du solltest das Netzwerk, welches Durch den VPN-Clienten erreicht werden soll, einmal aufskizzieren/erklären. 

An sonst - das Problem "Kann man Sophos nicht irgendwie sagen dass er sozusagen alles was auf firma.local endet via VPN an die Firewall wendet?"  muss man -zumindest nach meiner unmaßgeblichen Meinung- aufseiten des VPN-Clienten regeln. Der hier zuständige DNS Dienst/Server muss wissen, wie und wo er sozusagen den Präfix firma.local auflösen könnte. Schließlich gibt er dann vor, wohin irgendeine Anwendung den Traffic schickt soll, entweder lokal, in den Tunnel oder ins Inet. Auch hier wäre es schön, wenn man wüsste, wie es bei Dir auf der Client-Seite aussieht.

Sorry

Hallo

Keine Ursache, sag mir was du brauchst und ich sende es dir in den Chat als Nachricht.

WIr haben ein Glasfaseranschluss an der Wand. Dieser hat ein Kabel in ein Media Converter.

Der Media Converter schickt ein RJ45 Signal raus. Ein Kabel geht vom Media Converter in eine FRITZ!Box 4040.

Die FRITZ!Box hat ein eigenes Netzwerk mit 3 Geräten.

An einem Port der FRITZ!Box ist die Firewall angeschlosen.

Diese Firewall hat statisch konfiguriert 192.168.33.2/24 konfiguriert.

DIe FIrewall sendet als Internes Netzwerk von der Firewall kontrolliert 192.168.34.0/24 heraus.

Mein Notebook hat z.B.: 192.168.34.192

Der Datenserver haz t.B.: Stazisch konfiguriert 192.168.34.96 und im DNS auf der Firewll cloud.workaut.local konfiguriert.

LG Gian Duri

So wie ich das als interessierter Laie sehe, spielt bei Dir die Fritzbox den DNS-Server - und die Sophos verweist auf diese. Die Frage ist, ob die Fritz dann auch die Adressen aus dem 34er Netz auflösen kann, was ich erst einmal nicht annehme und deshalb auch das "unknown".

Soll dann die Sophos als DNS-Server für das 34er Netz dienen, muss die Loopbackadresse als erster DNS-Verweis eingetragen sein und erst danach die Fritzbox. So sollte die Sophos die Adressen im 34er Netz auflösen können und auch die, welche aus dem VPN hereinschneien und was sie dann nicht findet, geht an die Fritz.

Was ich allerdings nicht verstehe ist, warum nutzt Du nicht die Sophos als Borderrouter und hängst die Fritz dahinter, falls Du diese z.B. für VoIP benötigst. Spart Dir doppeltes NAT und eben auch DNS-Probleme. Mich wundert ohnehin, dass Du IPsec durch die Fritz durchbekommen hast, normalerweise müssten dann hier andere Ports Verwendung finden.

Hallo

Ich ändere das mal. Wir haben bei uns einfach eine Bürogemeinschaft und die einten Mitglieder haben gewüscht, dass sie nicht mehr hinter der Firewall agieren.

Telefone sind VoIP und gehen halt 2x geroutet.

LG Gian Duri

Hallo,

Keine Veränderung..

Ergänzung:

Ist das nicht bei der IPSEc Konfiguration mitanzugeben?

LG G…

Wieso, die Fritzbox ist doch auch ne Firewall? Wenn es ums Separieren geht, dass kann man doch in der Sophos mit Subnetzen/Vlans realtiv einfach erledigen.

Wieso, die Fritzbox ist doch auch ne Firewall? Wenn es ums Separieren geht, dass kann man doch in der Sophos mit Subnetzen/Vlans realtiv einfach erledigen.

Kann man aber die Aus der Bürogemeinschaft möchten das so ... keine ahnung warum

Hallo Gian,

1. schau mal hier: https://community.sophos.com/utm-firewall/f/german-forum/133285/sophos-xg-mit-einer-fritzbox-7490-betreiben

Grundsätzlich kann man die Fritzbox vor der Sophos stehen lassen.

Wie im Thread in meinem o.g. Link beschrieben, muss man dann aber das Netzwerk "hinter" der Sophos in der fritzbox eintragen

2. Ein VPN kann man nicht "von innen" testen. Die Aussage oben ("Ich stelle eine IPSec Verbindung über den Sophos Connect Client her. Die Verbindung besteht.") ist also wertlos. Sorry, das ich das so sage.

3. Das kann nicht funktionieren:

4. Öffentliche DNS-Server müssten deinen externen DNS-Namen in deine externe IP auflösen können - das wäre das Allererste was wir hier klkären müssen. Sonst muss eine andere Methode als "Remote ID" ausgewählt werden.

Hallo Phillipp

Danke für deiine Antwort. Ich war gestern als ich begonnen habe zuhause. Da habe ich mich mit TeamViewer auf einen Computer in der Firma verbunden.

Was soll ich da sonst eintragen? Leer lassen?

Danke für deine Hilfe!!

LG Gian Duri

PS.. es sollen nur die Protokolle die wir erlauben von der FRITZ!Box her zur Firewall geleitet werden, also z.B.: Port 5001.

Es gibt noch einen weiteren Link, der dir helfen könnte.

https://community.sophos.com/utm-firewall/f/german-forum/123898/kein-internetzugang-hinter-fritzbox-6591-cable

Oder mal nach "Fritzbox" suchen im Forum.

danke für die hIlfe.

Doch -geht, sogar mit ohne:

Soweit ich weiß, kann man bei IPsec da allen Quatsch reinschreiben, auf die Verbindung hat dies keinen Einfluß. Der Cisco-Cleint z.B. der Applekisten lässt es gleich ganz weg.

Und warum sollte man ein VPN nicht von innen, also von dem aus Sicht des Clienten entfernten Netzwerk testen können, wenn der Tunnel einmal aufgebaut ist? Hat man da dann eine unidirektionale Verbindung? ich habs noch nicht probiert.

@Sophos User5900 : Falsch verstanden - ich bezweifle, dass der Tunnel überhaupt steht, wenn er den von aussen (also in der richtigen Umgebung) testen würde.

Bitte genau lesen. Beim Testen muss man immer aufpassen, dass man das Richtige testet und das Ergebnis auch eine Aussage erlaubt.

Nun, er schrieb ja, dass er über die IPs zugriff habe und beschwerte sich lediglich über dei fehlende Namensauflösung.

Achso - lesen kann ich übrigens ganz gut, aber nur das was der Andere auch schreibt. Drückt dies dann aber nicht wirlich dessen Gedanken aus -so what-, kann ich auch nix dafür. Daher --> nicht falsch verstanden, sondern falsch geschrieben

Also noch mal eine kurze Zusammenfassung ...

Alles geht, nur die Namensauflösung durch den Tunnel nicht.

DNS-Server für VPN ist die interne LAN-IP der XG. Das LAN-Netz ist als "durch den Tunnel erreichbar" konfiguriert.

eine offene Frage: . ist unter administration / device access / DNS für die Zone (VPN) zugelassen?

@gian duri alonder: die 127.0.0.1 als DNS ist nutzlos, stört aber (eigentlich) auch nicht - also besser rausmachen (das ist, als wenn man sich selber nach der Zeit fragt)

@Sophos user5900: die Sophos FW hinter einer Fritzbox (oder anderem Providerrouter) ist bei uns absolut üblich. Die FB übernimmt hier die Rolle des 1. Paketfilters und leitet alles Nötige per NAT an die Sophos weiter. Keine Probleme mit IPSec, Telefonie, o.Ä. dadurch.

War/ist das nicht bei der UTM so, dass die, wenn sie selbst als DNS-Server agieren sollte, den Loopback als ersten DNS-Eintrag haben musst?