Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 5 subscribers
  • Views 1928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Client bekommt keine Internetverbindung

Markus Schneider

Moin.

Im Einsatz ist eine SFOS 19.0.1. Ich bekomme es leider nicht hin, dass mein VPN Client/Gerät nach einer erfolgten VPN Verbindung über den Sophos VPN Client Zugriff auf das Internet erhält. Der Zugriff auf das VPN Netz funktioniert jedoch. Ich habe sowohl das VPN/Remote-Netz als Standard Gateway versucht als auch Split-Tunnel, also die Option "Standard Gateway verwenden" deaktiviert. Beides ist bisher leider nicht zielführend gewesen. Nach Anpassung der Einstellungen wurde jeweils auch immer die aktuelle VPN-Config am Client importiert.

Meine Konfiguration sieht aktuell wie folgt aus:

Port 1 = LAN
Port 2 = WAN

VPN:

Firewall / NAT:

Internal -> lokale Netz:



External -> WAN:

NAT:

Vielleicht hat ja jemand noch eine Idee...

Vielen Dank!



This thread was automatically locked due to age.
Parents
  • 0

    In die Tiefe bin ich noch nicht eingestiegen ... hier erst mal das offensichtliche.

    Ohne den Haken "als standard-gateway", wird der VPN-Client keine Internet-pakete in den Tunnel schicken.

    Dann muss in der NAT-Regel die Source-Adresse "maskiert" werden. Das bedeutet in SNAT  "durch die Interface-Adresse ersetzt" werden. "Ursprünglich" ist hier falsch.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    #Port bedeutet nicht, dass dort alle Netze gemeint sind, die an diesem Port angeschlossen sind, sondern einfach nur, die IP Adresse von dem Port.

    Du musst für Internet Zugriff auch das Internetv4 Objekt dort auswählen. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

      Vielen Dank. Sorry für die blöde Nachfrage. Aber welches Objekt muss ich dort dann konkret auswählen bzw. ggf. anlegen? In der UTM konnte man immer direkt "Internet IPv4" auswählen, hier habe ich das entsprechende Objekt nicht zur Verfügung.

  • 0 in reply to Markus Schneider

    Internetv4 Objekt existiert in SFOS seit der Version v19.0. Du kannst es auch manuell anlegen lassen:  XML Import for Internetv4 Objects 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Stimmt, unter IP-Hosts finde ich die Internet IPv4 Adressbereiche (1-9), usw. sowie unter IP-Hostgruppen die entsprechende Gruppe "Internet IPv4group".

    Wie bekomme ich nun aber die entsprechende Gruppe (mit all den Hosts) bei den SSL-VPN "zugelassenen Netzwerkressourcen" hinzugefügt?

    Dort kann ich unter "Hinzufügen" dann IP oder Network auswählen und dort dann auch eine IP-Hostgruppe. Jedoch müsste ich dann, je nach Typauswahl, immer noch eine IP oder IP-Bereich, etc. angeben. Das erschließt sich mir noch nicht so richtig...

  • 0 in reply to Markus Schneider

    Du musst wohl alle Internet Objekte auswählen. 

    Auch deine NAT Regel unten ist nicht korrekt. Du brauchst keine Linked NAT Regel, sondern die automatische NAT Regel sollte ausreichend sein, also die MASQ NAT Regel, die vom System angelegt wird. 

    __________________________________________________________________________________________________________________

Reply
  • 0 in reply to Markus Schneider

    Du musst wohl alle Internet Objekte auswählen. 

    Auch deine NAT Regel unten ist nicht korrekt. Du brauchst keine Linked NAT Regel, sondern die automatische NAT Regel sollte ausreichend sein, also die MASQ NAT Regel, die vom System angelegt wird. 

    __________________________________________________________________________________________________________________

Children
  • 0 in reply to LuCar Toni

    Okay vielen Dank! Ich habe die verknüpfte NAT Regel einmal entfernt und die Firewall Regel für VPN neu angelegt.

    Bei SSL-VPN stehe ich allerdings noch auf dem Schlauch. Folgende Vorgehensweise:

    Bei "Zugelassene Netzwerkressourcen IPv4 "neues Element hinzufügen". Hinzufügen "Network".

    Welchen TYP wähle ich dort und welche IP-Adresse? Unter IP-Hostgruppe kann ich die IPv4 Gruppe oder die einzelnen IPv4 Adressbereiche auswählen bzw. hinzufügen, aber ich muss dennoch einen TYP bzw. eine IP-Adresse (oder Netzwerk oder IP-Bereich) eingeben. Warum ist es, im Gegensatz zur guten alten UTM, hier so kompliziert "einfach" nur Internet IPv4 freizugeben?

    Ich wähle dort die IPv4 Adressbereiche einzeln (oder als Gruppe aus).

  • 0 in reply to Markus Schneider

    Mir ist gerade eingefallen, dass das gar nicht funktionieren kann. SSLVPN unterstützt keine IP-Range objekte. Das internet Objekt ist ein IPv4 Range objekt. 

    Daher nutz einmal ANY und schau, ob es dann geht. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Wo finde ich denn dann ANY? Und ich muss ja zunächst beim Hinzufügen einer zugelassenen Netzwerkressource auswählen, ob IP oder Netzwerk und dann nachfolgend noch mal den TYP (IP, Netzwerk, IP-Bereich oder IP-Liste) und dann noch die IP-Adresse(n). Was wäre hier denn dann konkret zu wählen und einzutragen?

Unfiltered HTML