This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN Hostname Verbindung klappt nicht

Hallo

Ich habe eine XG 115 Firewall auf welcher ich den Sophos Connect Client nutzen möchte, ich selber bekomme es aber nicht hin, Ihn funktional zu konfigurieren.

Ich habe DNS-Einträge auf der Firewall mit z.B.: server.firma.local welche auf z.B.: 192.168.1.2 auflösen (korrekt).

Ich stelle eine IPSec Verbindung über den Sophos Connect Client her. Die Verbindung besteht.

Wenn ich zu einem Dienst über die IP-Adresse herstelle klappt die Verbindug, selbiges über den Hostname klappt nicht.

Welche IP-Adresse soll in den Einstellungen der Firewall beim IPSec als DNS Server angegeben werden?

Beim Sophos Remote Access habe ich die externe.vpn.ip.254 eingetragen, weil er mir lokal die 254 als DNS Server angegeben hat.

Hier folgen Bilder der Einstellungen auf der Firewall.

Danke für eure Hilfe im Voraus!

LG Gian Duri

This thread was automatically locked due to age.

Top Replies

Sophos User5900 over 3 years ago +1

Also - ich habe in der XG den Nameserver als einzigen eingetragen, welcher für das lokale Netz zuständig ist, mit dem ich mich per VPN auch verbinden will. Damit klappt die Auflösung einwandfrei. Der DNS…

Parents

0 gian duri calonder over 3 years ago

Kann man Sophos nicht irgendwie sagen dass er sozusagen alles was auf firma.local endet via VPN an die Firewall wendet? Alles durch den VPN senden will ich nicht wenn es nicht nötig ist.
Cancel
Vote Up 0 Vote Down

Cancel
0 Sophos User5900 over 3 years ago in reply to gian duri calonder

Ja, kann man man. Man muss nur unter Fernzugriff-VPN --> IPsec --> Erweiterte Einstellungen den Schalter "Als Standardgateway verwenden" ausschalten (und natürlich dem Sophos-Client die geänderte Config unterjubeln). Dann schickt diese tatsächlich nur den Traffic des Fernzugriffs durchs VPN, aller Rest geht ins Inet. Das sollte auch per Namen gehen.
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to jprusch

Hallo Phillipp

Das kann ich gerne beantworten ;)

Wir haben beim Ort wo ich am Sonntag war ebenfalls eine FRITZ!Box im Einsatz. Dort ist es eine 5530. In der Firma haben wir ja eine 4040.

Jetzt bin ich in der Wohnung, da habe ich nur Internet über mein Mobiltelefon welches ich als Router missbrauche über "Mobiler HotSpot".

Auch wenn ich beim Local ID unsere Externe IP-Adresse eintrage ändert sich nichts an der Situation.

LG Gian Duri
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to gian duri calonder

@dirkotte

Ich weiss nicht ob das beiträgt zur Lösung, wenn ich hier in der Wohnung mit Internet über Mobilfunk laufe, habe ich mit verbundenem VPN keine Antwort über NSLookup.

LG Gian Duri
Cancel
Vote Up 0 Vote Down

Cancel
0 jprusch over 3 years ago in reply to gian duri calonder

Genau das meine ich: es war Zufall, das der Lookup funktioniert hat in dem Fall.

Über Mobilfunk als Router ist schon mal ein gutes Setup zum Testen.

Jetzt bitte einmal den Tunnel aufbauen und uns dann einen Screenshot von der Windows Kommandozeile mit "route print" geben.

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to jprusch

Hallo Phillipp

Mach ich doch gerne

LG Gian Duri
Cancel
Vote Up 0 Vote Down

Cancel
0 Sophos User5900 over 3 years ago in reply to dirkkotte

Sorry, ich meine dies einmal gelesen zu haben, da an sonst die Kiste quasi als Relais arbeitet und nicht als Server - aber wahrscheinlich täusche ich mich.

Windows -naja- abgekoppelt, die Arbeitsstationen haben einen eigenen Dienst hierfür:
Cancel
Vote Up 0 Vote Down

Cancel
0 Sophos User5900 over 3 years ago in reply to jprusch

Alles gut
Cancel
Vote Up 0 Vote Down

Cancel
0 jprusch over 3 years ago in reply to gian duri calonder

So und jetzt ein ipconfig /all

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to jprusch

Hallo Phillipp

Natürlich..

LG Gian Duri
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 3 years ago in reply to gian duri calonder

keine Ahnung, ob die 172.20.35.254 als DNS-Server funktioniert.

... war das nicht mal die 192.168.34.1?

was sagt nslookup denn jetzt bei bestehenden VPN zu www.heise.de und cloud.workaut.local ?

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to dirkkotte

Hallo Dirk

Trage ich nichts als DNS ein wird automatisch seitens der Firewall bei einer Prüfung mit "ipconfig /all" als DNS 172.20.35.254 gewählt.

192.168.34.1 ist die IP-Adresse der Firewall aus dem internen Netzwerk.

Falls ihr auch z.B.: Konfigurationsdateien möchtet kann ich euch diese gerne zustellen :)

LG Gian Duri
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 gian duri calonder over 3 years ago in reply to dirkkotte

Hallo Dirk

Trage ich nichts als DNS ein wird automatisch seitens der Firewall bei einer Prüfung mit "ipconfig /all" als DNS 172.20.35.254 gewählt.

192.168.34.1 ist die IP-Adresse der Firewall aus dem internen Netzwerk.

Falls ihr auch z.B.: Konfigurationsdateien möchtet kann ich euch diese gerne zustellen :)

LG Gian Duri
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Sophos User5900 over 3 years ago in reply to gian duri calonder

Was ist, hat denn keiner Ideen mehr?

Also das 172.20er Netz ist auf jeden Fall eine privates, aber augenscheinlich keines, welches Ihr gem. Deiner o.a. Skizze nutzt. Aber irgendwo muss sich dieses ja befinden und hier dann ein DNS-Server werkeln. Den würde ich mal veruchen zu finden und dann abzuschalten um zu testen, ob dieser Dein Problem verurscht.
Cancel
Vote Up 0 Vote Down

Cancel
0 jprusch over 3 years ago in reply to Sophos User5900

Ich habe jede Menge Ideen:

zunächst diese: welcher "DNS-Server" kennt denn die Resourcen im "Büro" möglichst vollständig?

Ist das die Büro-Fritzbox mit der 192.168.33.1 ?

Dann sollte diese IP in der VPN-Server Konfiguration der XG eingetragen werden und nur dieser als "DNS1".

"DNS2" lässt du erstmal leer.

Dann erneut einen Client verbinden mit dieser geänderten Konfiguration, prüfen, ob das richtig funktioniert.

Dann prüfen, ob die DNS-Auflösung der internen Resourcen jetzt geht.

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to Sophos User5900

Ja das ist auf der Skizze nicht drauf.

172.20.35.0/24 ist das VPN-Netzwerk für IPSec und 172.20.34.0/24 ist das SSL VPN Netzwerk.
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to jprusch

Hallo Phillip, hier teil 2 der Bilder.

LG Gian Duri
Cancel
Vote Up 0 Vote Down

Cancel
0 gian duri calonder over 3 years ago in reply to jprusch

Hallo Phillipp

Wir haben im Netzwerk 1 Firewall, 1 Büro FRITZ!Box und sonst keine weiteren Dienste welche einen eigenen DNS aktiv an die Geräte verteilt.

Alle Geräte welche im Internen Netzwerk sind, lösen das ganze über die Firewall auf.

Als DNS Server soll unsere Firewall funktionieren.

Ich prüfe gemäss deiner Einstellungen:

Firewall IPSec VPN DNS1 auf 192.168.33.1 setzen

Firewall IPSec VPN DNS2 leer

Foto Teil 1

Teil 2 kommt sogleich vom anderen Gerät aus

Der Schlingel hat sich beim Adapter den DNS Statisch auf 172.20.35.254 und 192.168.4.1 gesetzt ...

keine Veränderung mit 192.168.33.1 als einziger dns
Cancel
Vote Up 0 Vote Down

Cancel