Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 13 replies
  • Subscribers 6 subscribers
  • Views 928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG230 Firewall Richtline WiFi to WAN erlaubt Pakete mit Ziel auf private IP-Adressbereiche (192.168.0.0/16)

TerryNeumann

Hallo zusammen,

wir haben leider ein unschönes Verhalten mit unsere Sophos XG und einer Firewall Richtlinie.

Unsere WLAN Netzwerke (separate Zone) haben Zugriff auf die Remote VPN (Site-to-Site) Netzwerke.
Somit auch das Default Gast WLAN.

Das darf und soll so natürlich nicht sein!!!
Die Regel soll den Zugriff auf das Internet erlauben, aber eben nicht auf das LAN oder Remote-LAN über VPN!

Kann mir jemand beantworten warum dies so ist und wie wir es vermeiden können? 

Vielen Dank und beste Grüße.

SD-WAN-Routen
Aktuelle Routing-Rangfolge: VPN-Route, Statische Route, SD-WAN-Route.

Regel 22

Quellzone WiFi
Quellnetz 10.0.17.0
Zielzone WAN
Zielnetzwerke Beliebig
Dienste Beliebig
Kein Ausschluss

Log

Zeit

Prot.-Komp

Protokoll-Untertyp

Benutzername

Firewallregel

NAT-Regel

Ein-Schnittstelle

Ausgehende Schnittstelle

Quell-IP

Ziel-IP

Quellport

Zielport

Protokoll

Regeltyp

Nachrichten-ID

29.09.2022 11:36

Firewall Rule

Allowed

22

1

vxlan9.103

Port4

10.0.17.104

192.168.20.3

65508

53

UDP

1

1


This thread was automatically locked due to age.
  • 0

    Das ist DNS Traffic. Wer ist die 192.168.20.3? 

    __________________________________________________________________________________________________________________

  • 0

    Die 192.168.20.3 ist nicht über ein Interface erreichbar, welches der WAN-Zone zugeordnet ist?

    Im Log-viewer mal auf detailansicht gehen oder im normalen firewall-log ganz vorne klicken ... da gibt es auch mehr details.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to LuCar Toni

    In diesem Fall ein DC am Remote Standort. Das Gast WLAN darf auf keinen Fall zugriff haben.

  • 0 in reply to dirkkotte

    Erstmal danke für euer Feedback.

    Wir haben eine Verbindung zum Internet an der Schnittstelle Port4 die als Zone "WAN" eingerichtet ist.
    Natürlich nutzen die Site-to-Site VPN Verbindungen zu den Remotestandorten ebenfalls diese Verbindung.
    (Quellzone: VPN  | Quellnetz: lokales LAN --> Zielzone: LAN | Zielnetz: entferntes LAN).

    Das Netz 192.168.20.0/24 ist ein LAN am Remote-Standort.

    Für mich war es vom Verständnis so, das folgende Regel nur Zugriff auf öffentliche IP-Adressen im Internet hat.
    Beispiel: Quellzone: WiFi  | Quellnetz: 10.0.17.0 --> Zielzone WAN | Zielnetzwerke Beliebig |Dienste Beliebig

    (Das Gast WLAN wird von Assistenten mit dieser Konfiguration so auch bereitgestellt).

    Wir haben keine statischen Routen!

    SD-WAN-Route:

    Nicht aktiv



    2022-09-29 14:36:47Firewallmessageid="00001" log_type="Firewall"
log_component="Firewall Rule" log_subtype="Allowed" status="Allow"
con_duration="43" fw_rule_id="22" nat_rule_id="1" policy_type="1"
user="" user_group="" web_policy_id="14" ips_policy_id="5" appfilter_policy_id="6"
app_name="DNS" app_risk="1" app_technology="Network Protocol"
app_category="Infrastructure" vlan_id="" ether_type="Unknown (0x0000)"
bridge_name="" bridge_display_name="" in_interface="vxlan9.103"
in_display_interface="vxlan9.103" out_interface="Port4" out_display_interface="NGN"
src_ip="10.0.17.104" src_country="R1"
dst_ip="192.168.20.3" dst_country="R1" protocol="UDP" src_port="53176" dst_port="53"
packets_sent="5" packets_received="0" bytes_sent="325" bytes_received="0"
src_trans_ip="öffentliche WAN-IP" src_trans_port="0" dst_trans_ip="" dst_trans_port="0"
src_zone_type="LAN" src_zone="WiFi" dst_zone_type="WAN" dst_zone="WAN"
con_direction="" con_event="Stop" con_id="1833259648" virt_con_id=""
hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0"
web_policy="1_Webfilter_Gaest-WLAN"

  • 0 in reply to TerryNeumann

    Und wenn ihr in der Regel 22 die destination Networks nicht auf any einstellt, sondern auf Internet ip4. Damit sollte es doch gehen oder? 

  • 0 in reply to svn

    Das sollte funktionieren, ist aber doch nur ein Workaround.

    Die VPN-verbindungen sollten auch in der VPN-Zone landen. Prüf mal im Log-Viewer in der Detailansicht, welche Ziel-Zone die Pakete in Richtung VPN haben.

    PS: OK, wer vorher alles liest .... das log zeigt als Ziel-Zone ja WAN an. terminiert das VPN an der Sophos Firewall oder einem anderen VPN-gateway?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to svn

    Moin, das war in der UTM so, in der XG gibt es diese Netzwerkgruppe nicht.
    Ich kann in der XG Firwallrichtlinie einen Ausschluss für bestimmte Netzte hinterlegen.
    Das habe ich nun für Class-A bis C private Netzwerke getan.

    Trotzdem sollte die WAN Zone von Haus aus, den Traffic blockieren, sofern es sich bei dem Ziel um private Adressbereiche handelt.

  • 0 in reply to TerryNeumann

    Das „feature“ kam glaube mit der v19 rein. 
    man kann die auch manuell hinzufügen. Gibt von Sophos sogar die Vorlagen, falls man eine ältere fw einsetzt. 

  • 0 in reply to svn

    Funktioniert die Verbindung überhaupt? Oder ist das nur das erste Pakete? 

    Also kann der Client wirklich auf den AD Server mit Port 80 Zugreifen?

    Es könnte nämlich das Hänne-Ei Problem sein: Die Firewall hat keine Route zum Außenstandort, dadurch landet der Traffic auf dem WAN interface. Du erlaubst LAN to WAN also wird der Traffic auf WAN rausgeschickt.

    Der Logviewer sollte XFRM bzw. Ipsec0 als Interface anzeigen, nicht Port4. Port4 sagt, dass das Paket wirklich auf WAN raus geschickt wird. 

    Überprüfe mal den Packet Capture im Webadmin, wo das Paket versendet wird. Ich gehe gerade davon aus, dass es auf WAN versendet wird (und somit keine Verbindung zustande kommt). 

    __________________________________________________________________________________________________________________

  • 0 in reply to svn

    Oh, super. vielen Dank. Wir haben noch SFOS 18.5.4 MR-4 im Einsatz.

    Ich habe eben nochmal geschaut.
    Die Anfragen vom Gast-WLAN (10.0.17.0) wurden zwar über die WAN-Schnittstelle gesendet und von der Firewall zugelassen, aber die Pakete haben nie Ihr Ziel (192.168.20.3 oder 192.168.33.5) erreicht.

    Danke für eure Unterstützung.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML