Hallo beisammen,
ich hoffe, dass jemand bei einem Problem weiterhelfen kann oder einen Tipp hat:
Wir versuchen aktuell uns das Leben zu vereinfachen, indem wir auf die Router in mehreren Außenstellen (16 insgesamt) zugreifen wollen.
Dabei scheitern wir an der Verbindung Hauptstelle -> Router Außenstelle.
Die Standorte sind alle mit Sophos UTMs über Site2Site IPsec-Verbindungen an der Hauptstelle (Ausgangspunkt) angebunden.
Anbei eine Schematische Darstellung:
Die Site2Site Verbindungen zwischen den Netzen in der Außenstelle und der Hauptstelle funktioniert ohne Probleme.
Aus der Hauptstelle besteht Zugriff auf:
Router der Hauptstelle (120.120.120.1)
Firewalls der Außenstellen (123.123.x.x, LAN-Interface)
Netz der Außenstellen (123.124.x.x)
Aus den Außenstellen besteht Zugriff auf:
Router der Außenstelle (120.120.120.x)
Firewall der Hauptstelle (123.123.1.23, LAN-Interface)
Netz der Hauptstelle (123.123.x.x)
Was nicht funktioniert ist, aus der Hauptstelle auf die Router der Außenstellen zuzugreifen.
Der Zugriff Außenstelle -> Router Hauptstelle ist nicht relevant.
Die Weboberfläche der Router ins Internet zu öffnen möchte ich vermeiden, der Zugriff soll aus dem LAN heraus erfolgen.
Es geht noch nicht um die Weboberfläche/Webfilter, ein Ping kommt bereits nicht an den Firewalls der Außenstellen an.
Aktuelle Einrichtung
D-NAT auf Firewall Hauptstelle
Quelle: Server aus Hauptstelle
Dienst: any
Ziel: 120.120.120.9
neues Ziel: eine nicht belegte freie IP in der Außenstelle ("fake-IP")
auto-Firewall Regeln aktiviert
D-NAT auf Firewall Außenstelle
Quelle: Server aus Hauptstelle
Dienst: any
Ziel: die freie "fake-IP" (s.o.)
neues Ziel: 120.120.120.9
auto-Firewall Regeln aktiviert
Der Hinweg sollte so funktionieren, mit einem anderen Ziel innerhalb des Netzwerks der Außenstelle(123.124.1.x) klappt das auch im Test.
Der Rückweg müsste möglich sein, da der Router nach intern auch kommunizieren kann (z.B. Weboberfläche aufrufen).
Ich vermute trotzdem die Ursache auf dem Rückweg in den 255.255.255.248er Netzen der Außenstellen.
Das Ergänzen mit Source-NAT (Umbiegen der Rückantwort vom Router auf andere Netze) brachte bisher kein Erfolg.
Routing ist vermutlich raus, da die VPN-Verbindungen keine eigenen Interfaces haben, auf die Ich die Anfrage aus der Hauptstelle routen könnte.
Die Anfragen laufen dadurch bisher immer ins WAN und wir versuchen es deshalb mit NAT.
Die Firewall loggt keine blockierten Zugriffe im Zusammenhang mit dem Zugriff zum Router oder vom Router zurück.
Übersehe ich etwas offensichtliches oder spielt vielleicht noch Sophos-Seitig eine Funktion dazwischen?
Ich würde mich freuen, wenn jemand hier etwas Licht ins Dunkel bringen könnte.
Bis dahin versuche ich mich weiter an diesem doch recht interessanten Problem :)
This thread was automatically locked due to age.
