Kann man Sophos nicht irgendwie sagen dass er sozusagen alles was auf firma.local endet via VPN an die Firewall wendet? Alles durch den VPN senden will ich nicht wenn es nicht nötig ist.

Ja, kann man man. Man muss nur unter Fernzugriff-VPN --> IPsec --> Erweiterte Einstellungen den Schalter "Als Standardgateway verwenden" ausschalten (und natürlich dem Sophos-Client die geänderte Config unterjubeln). Dann schickt diese tatsächlich nur den Traffic des Fernzugriffs durchs VPN, aller Rest geht ins Inet. Das sollte auch per Namen gehen.

danke für die hIlfe.

Doch -geht, sogar mit ohne:

Soweit ich weiß, kann man bei IPsec da allen Quatsch reinschreiben, auf die Verbindung hat dies keinen Einfluß. Der Cisco-Cleint z.B. der Applekisten lässt es gleich ganz weg.

Und warum sollte man ein VPN nicht von innen, also von dem aus Sicht des Clienten entfernten Netzwerk testen können, wenn der Tunnel einmal aufgebaut ist? Hat man da dann eine unidirektionale Verbindung? ich habs noch nicht probiert.

"Lokal" ist nicht das Problem, die "Remote ID" muss von "überall" aus dem Internet gefunden werden. Das kann dann keine ".local" oder eine private IP-Adresse "172.20.35.x" sein.

@Sophos User5900 : Falsch verstanden - ich bezweifle, dass der Tunnel überhaupt steht, wenn er den von aussen (also in der richtigen Umgebung) testen würde.

Bitte genau lesen. Beim Testen muss man immer aufpassen, dass man das Richtige testet und das Ergebnis auch eine Aussage erlaubt.

Das ist der DNS-Server des Netzes, mit welchen sich die VPN-Clients verbinden (sollen). Bei mir langt dies zur Namensauflösung..

Nun, er schrieb ja, dass er über die IPs zugriff habe und beschwerte sich lediglich über dei fehlende Namensauflösung.

Achso - lesen kann ich übrigens ganz gut, aber nur das was der Andere auch schreibt. Drückt dies dann aber nicht wirlich dessen Gedanken aus -so what-, kann ich auch nix dafür. Daher --> nicht falsch verstanden, sondern falsch geschrieben

Also noch mal eine kurze Zusammenfassung ...

Alles geht, nur die Namensauflösung durch den Tunnel nicht.

DNS-Server für VPN ist die interne LAN-IP der XG. Das LAN-Netz ist als "durch den Tunnel erreichbar" konfiguriert.

eine offene Frage: . ist unter administration / device access / DNS für die Zone (VPN) zugelassen?

@gian duri alonder: die 127.0.0.1 als DNS ist nutzlos, stört aber (eigentlich) auch nicht - also besser rausmachen (das ist, als wenn man sich selber nach der Zeit fragt)

@Sophos user5900: die Sophos FW hinter einer Fritzbox (oder anderem Providerrouter) ist bei uns absolut üblich. Die FB übernimmt hier die Rolle des 1. Paketfilters und leitet alles Nötige per NAT an die Sophos weiter. Keine Probleme mit IPSec, Telefonie, o.Ä. dadurch.

War/ist das nicht bei der UTM so, dass die, wenn sie selbst als DNS-Server agieren sollte, den Loopback als ersten DNS-Eintrag haben musst?

nee,

das gab es bei Sophos Firewalls noch nie.Nicht mit SG und auch nicht mit XG.

Bei Windows ist der DNS-Dienst vom OS abgekoppelt und du sagst dem Dienst, dass er den lokalen Server fragen soll. (wenn ich nicht falsch liege)

Ich habe oft mit kleinen Netzen zu tun, welche ohne eigenen DNS-Server auskommen müssen. Da fragen die Clients auch die Firewall und die leitet alles ins Internet weiter, was sie nicht selber kennt (lokaler DNS-Eintrag ... vom NAS z.B.)

Also mich hat irritiert, dass der nslookup von "fritz.box" beantwortet wurde.

Für mich sieht das so aus, als ob er OP vom lokalen Netzwerk vor der Sophos aus testet. Daher meine Aussage, dass man "von aussen" testen sollte, wenn man eine gültige Testumgebung haben will.
Es könnte aber auch sein, dass dies ein entfernter Standort mit einer weiteren Fritzbox ist, aber das wissen wir mangels Infos nicht.

Und @Sophos User5900 : lieber unbekannter Mitstreiter, ich will hier kein Recht behalten, sondern helfen.

Da meine Zeit aber begrenzt ist, rede ich hier nicht um den heißen Brei herum, sondern möchte einfach klare, direkte Aussagen treffen und so die Infos erhalten, die man zum Lösen des Problems benötigt.

Also mich hat irritiert, dass der nslookup von "fritz.box" beantwortet wurde.

Für mich sieht das so aus, als ob er OP vom lokalen Netzwerk vor der Sophos aus testet. Daher meine Aussage, dass man "von aussen" testen sollte, wenn man eine gültige Testumgebung haben will.
Es könnte aber auch sein, dass dies ein entfernter Standort mit einer weiteren Fritzbox ist, aber das wissen wir mangels Infos nicht.

Und @Sophos User5900 : lieber unbekannter Mitstreiter, ich will hier kein Recht behalten, sondern helfen.

Da meine Zeit aber begrenzt ist, rede ich hier nicht um den heißen Brei herum, sondern möchte einfach klare, direkte Aussagen treffen und so die Infos erhalten, die man zum Lösen des Problems benötigt.

Hallo Phillipp

Das kann ich gerne beantworten ;)

Wir haben beim Ort wo ich am Sonntag war ebenfalls eine FRITZ!Box im Einsatz. Dort ist es eine 5530. In der Firma haben wir ja eine 4040.

Jetzt bin ich in der Wohnung, da habe ich nur Internet über mein Mobiltelefon welches ich als Router missbrauche über "Mobiler HotSpot".

Auch wenn ich beim Local ID unsere Externe IP-Adresse eintrage ändert sich nichts an der Situation.

LG Gian Duri

@dirkotte

Ich weiss nicht ob das beiträgt zur Lösung, wenn ich hier in der Wohnung mit Internet über Mobilfunk laufe, habe ich mit verbundenem VPN keine Antwort über NSLookup.

LG Gian Duri

Genau das meine ich: es war Zufall, das der Lookup funktioniert hat in dem Fall.

Über Mobilfunk als Router ist schon mal ein gutes Setup zum Testen.

Jetzt bitte einmal den Tunnel aufbauen und uns dann einen Screenshot von der Windows Kommandozeile mit "route print" geben.

Hallo Phillipp

Mach ich doch gerne

LG Gian Duri

Alles gut

So und jetzt ein ipconfig /all

Hallo Phillipp

Natürlich..

LG Gian Duri

keine Ahnung, ob die 172.20.35.254 als DNS-Server funktioniert.

... war das nicht mal die 192.168.34.1?

was sagt nslookup denn jetzt bei bestehenden VPN zu www.heise.de und cloud.workaut.local  ?

Hallo Dirk

Trage ich nichts als DNS ein wird automatisch seitens der Firewall bei einer Prüfung mit "ipconfig /all" als DNS 172.20.35.254 gewählt.

192.168.34.1 ist die IP-Adresse der Firewall aus dem internen Netzwerk.

Falls ihr auch z.B.: Konfigurationsdateien möchtet kann ich euch diese gerne zustellen :)

LG Gian Duri

Was ist, hat denn keiner Ideen mehr?

Also das 172.20er Netz ist auf jeden Fall eine privates, aber augenscheinlich keines, welches Ihr gem. Deiner o.a. Skizze nutzt. Aber irgendwo muss sich dieses ja befinden und hier dann ein DNS-Server werkeln. Den würde ich mal veruchen zu finden und dann abzuschalten um zu testen, ob dieser Dein Problem verurscht.