Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 13 replies
  • Subscribers 6 subscribers
  • Views 930 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG230 Firewall Richtline WiFi to WAN erlaubt Pakete mit Ziel auf private IP-Adressbereiche (192.168.0.0/16)

TerryNeumann

Hallo zusammen,

wir haben leider ein unschönes Verhalten mit unsere Sophos XG und einer Firewall Richtlinie.

Unsere WLAN Netzwerke (separate Zone) haben Zugriff auf die Remote VPN (Site-to-Site) Netzwerke.
Somit auch das Default Gast WLAN.

Das darf und soll so natürlich nicht sein!!!
Die Regel soll den Zugriff auf das Internet erlauben, aber eben nicht auf das LAN oder Remote-LAN über VPN!

Kann mir jemand beantworten warum dies so ist und wie wir es vermeiden können? 

Vielen Dank und beste Grüße.

SD-WAN-Routen
Aktuelle Routing-Rangfolge: VPN-Route, Statische Route, SD-WAN-Route.

Regel 22

Quellzone WiFi
Quellnetz 10.0.17.0
Zielzone WAN
Zielnetzwerke Beliebig
Dienste Beliebig
Kein Ausschluss

Log

Zeit

Prot.-Komp

Protokoll-Untertyp

Benutzername

Firewallregel

NAT-Regel

Ein-Schnittstelle

Ausgehende Schnittstelle

Quell-IP

Ziel-IP

Quellport

Zielport

Protokoll

Regeltyp

Nachrichten-ID

29.09.2022 11:36

Firewall Rule

Allowed

22

1

vxlan9.103

Port4

10.0.17.104

192.168.20.3

65508

53

UDP

1

1


This thread was automatically locked due to age.
Parents
  • 0

    Die 192.168.20.3 ist nicht über ein Interface erreichbar, welches der WAN-Zone zugeordnet ist?

    Im Log-viewer mal auf detailansicht gehen oder im normalen firewall-log ganz vorne klicken ... da gibt es auch mehr details.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Erstmal danke für euer Feedback.

    Wir haben eine Verbindung zum Internet an der Schnittstelle Port4 die als Zone "WAN" eingerichtet ist.
    Natürlich nutzen die Site-to-Site VPN Verbindungen zu den Remotestandorten ebenfalls diese Verbindung.
    (Quellzone: VPN  | Quellnetz: lokales LAN --> Zielzone: LAN | Zielnetz: entferntes LAN).

    Das Netz 192.168.20.0/24 ist ein LAN am Remote-Standort.

    Für mich war es vom Verständnis so, das folgende Regel nur Zugriff auf öffentliche IP-Adressen im Internet hat.
    Beispiel: Quellzone: WiFi  | Quellnetz: 10.0.17.0 --> Zielzone WAN | Zielnetzwerke Beliebig |Dienste Beliebig

    (Das Gast WLAN wird von Assistenten mit dieser Konfiguration so auch bereitgestellt).

    Wir haben keine statischen Routen!

    SD-WAN-Route:

    Nicht aktiv



    2022-09-29 14:36:47Firewallmessageid="00001" log_type="Firewall"
log_component="Firewall Rule" log_subtype="Allowed" status="Allow"
con_duration="43" fw_rule_id="22" nat_rule_id="1" policy_type="1"
user="" user_group="" web_policy_id="14" ips_policy_id="5" appfilter_policy_id="6"
app_name="DNS" app_risk="1" app_technology="Network Protocol"
app_category="Infrastructure" vlan_id="" ether_type="Unknown (0x0000)"
bridge_name="" bridge_display_name="" in_interface="vxlan9.103"
in_display_interface="vxlan9.103" out_interface="Port4" out_display_interface="NGN"
src_ip="10.0.17.104" src_country="R1"
dst_ip="192.168.20.3" dst_country="R1" protocol="UDP" src_port="53176" dst_port="53"
packets_sent="5" packets_received="0" bytes_sent="325" bytes_received="0"
src_trans_ip="öffentliche WAN-IP" src_trans_port="0" dst_trans_ip="" dst_trans_port="0"
src_zone_type="LAN" src_zone="WiFi" dst_zone_type="WAN" dst_zone="WAN"
con_direction="" con_event="Stop" con_id="1833259648" virt_con_id=""
hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0"
web_policy="1_Webfilter_Gaest-WLAN"

  • 0 in reply to TerryNeumann

    Und wenn ihr in der Regel 22 die destination Networks nicht auf any einstellt, sondern auf Internet ip4. Damit sollte es doch gehen oder? 

  • 0 in reply to svn

    Das sollte funktionieren, ist aber doch nur ein Workaround.

    Die VPN-verbindungen sollten auch in der VPN-Zone landen. Prüf mal im Log-Viewer in der Detailansicht, welche Ziel-Zone die Pakete in Richtung VPN haben.

    PS: OK, wer vorher alles liest .... das log zeigt als Ziel-Zone ja WAN an. terminiert das VPN an der Sophos Firewall oder einem anderen VPN-gateway?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to svn

    Das sollte funktionieren, ist aber doch nur ein Workaround.

    Die VPN-verbindungen sollten auch in der VPN-Zone landen. Prüf mal im Log-Viewer in der Detailansicht, welche Ziel-Zone die Pakete in Richtung VPN haben.

    PS: OK, wer vorher alles liest .... das log zeigt als Ziel-Zone ja WAN an. terminiert das VPN an der Sophos Firewall oder einem anderen VPN-gateway?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?