VPN Traffic

Hallo Dennis,

so, dann schauen wir uns das mal genauer an:

Bitte einen Screenshot im "EDIT"-Modus senden von "Remote Access/SSL/Profiles", dann von "Remote Access/SSL/Settings" (hier kannst du en Hostnamen schwärzen, wenn override genutzt wird) und "Remote Access/SSL/Advanced". Da steht sonst weiter nichts "Gefährliches" drin, was man schwärzen müsste.

Dann noch einen Screenshot von "Remote Access/Advanced/ClientOptions" für die DNS-Einstellungen.

Von einem der VPN-Clients dann bitte ein Ergebnis oder Screenshot von "route print", wenn es eine Windows-Maschine ist, bei Linux bitte route -nv benutzen.

Nützlich wäre dann bei Windows noch ein "ipconfig /all" und natürlich könnte man mit tracert sich den Weg der Pakete ansehen, einmal zu einem internen Ziel und einmal zu einem externen (Internet-) Ziel.

jprusch said:

"Remote Access/SSL/Profiles",

jprusch said:

"Remote Access/SSL/Settings"

jprusch said:

"Remote Access/SSL/Advanced"

jprusch said:

"Remote Access/Advanced/ClientOptions"

jprusch said:

"route print"

===========================================================================
Schnittstellenliste
  8...00 ff 2a 90 d7 22 ......Sophos SSL VPN Adapter
 11...9c 5c 8e 01 dd 7d ......Realtek PCIe GbE Family Controller
 16...02 00 4c 4f 4f 50 ......Npcap Loopback Adapter
  7...7c b0 c2 61 fc d3 ......Intel(R) Dual Band Wireless-AC 7265
 18...7c b0 c2 61 fc d4 ......Microsoft Wi-Fi Direct Virtual Adapter
 10...7e b0 c2 61 fc d3 ......Microsoft Wi-Fi Direct Virtual Adapter #2
 12...7c b0 c2 61 fc d7 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.54     25
         10.0.1.0    255.255.255.0       10.242.2.1       10.242.2.2    257
       10.242.2.0    255.255.255.0   Auf Verbindung        10.242.2.2    257
       10.242.2.2  255.255.255.255   Auf Verbindung        10.242.2.2    257
     10.242.2.255  255.255.255.255   Auf Verbindung        10.242.2.2    257
    80.147.128.90  255.255.255.255      192.168.1.1     192.168.1.54    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      169.254.0.0      255.255.0.0     192.168.1.58     192.168.1.54     26
      169.254.0.0      255.255.0.0   Auf Verbindung   169.254.226.162    281
  169.254.226.162  255.255.255.255   Auf Verbindung   169.254.226.162    281
  169.254.255.255  255.255.255.255   Auf Verbindung   169.254.226.162    281
      192.168.1.0    255.255.255.0   Auf Verbindung      192.168.1.54    281
     192.168.1.54  255.255.255.255   Auf Verbindung      192.168.1.54    281
    192.168.1.255  255.255.255.255   Auf Verbindung      192.168.1.54    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.1.54    281
        224.0.0.0        240.0.0.0   Auf Verbindung        10.242.2.2    257
        224.0.0.0        240.0.0.0   Auf Verbindung   169.254.226.162    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.1.54    281
  255.255.255.255  255.255.255.255   Auf Verbindung        10.242.2.2    257
  255.255.255.255  255.255.255.255   Auf Verbindung   169.254.226.162    281
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
      169.254.0.0      255.255.0.0     192.168.1.58       1
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    331 ::1/128                  Auf Verbindung
 11    281 fe80::/64                Auf Verbindung
  8    291 fe80::/64                Auf Verbindung
 16    281 fe80::/64                Auf Verbindung
  8    291 fe80::a48b:e13c:b947:3fdc/128
                                    Auf Verbindung
 16    281 fe80::c590:a34c:953b:e2a2/128
                                    Auf Verbindung
 11    281 fe80::d477:13a:91d5:be3a/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
 11    281 ff00::/8                 Auf Verbindung
  8    291 ff00::/8                 Auf Verbindung
 16    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

jprusch said:

"ipconfig /all"

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : Mini
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : fvt.local
                                       fritz.box

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: fvt.local
   Beschreibung. . . . . . . . . . . : Sophos SSL VPN Adapter
   Physische Adresse . . . . . . . . : 00-FF-2A-90-D7-22
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::a48b:e13c:b947:3fdc%8(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.242.2.2(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 19. Oktober 2020 20:06:14
   Lease läuft ab. . . . . . . . . . : Dienstag, 19. Oktober 2021 20:06:14
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 10.242.2.254
   DHCPv6-IAID . . . . . . . . . . . : 1208024874
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-7F-16-61-9C-5C-8E-01-DD-7D
   DNS-Server  . . . . . . . . . . . : 10.0.1.5
                                       10.0.1.2
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physische Adresse . . . . . . . . : 9C-5C-8E-01-DD-7D
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::d477:13a:91d5:be3a%11(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.54(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 14. Oktober 2020 13:36:34
   Lease läuft ab. . . . . . . . . . : Sonntag, 25. Oktober 2020 09:58:14
   Standardgateway . . . . . . . . . : 192.168.1.1
   DHCP-Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6-IAID . . . . . . . . . . . : 60578958
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-7F-16-61-9C-5C-8E-01-DD-7D
   DNS-Server  . . . . . . . . . . . : 192.168.1.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Npcap Loopback Adapter:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Npcap Loopback Adapter
   Physische Adresse . . . . . . . . : 02-00-4C-4F-4F-50
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::c590:a34c:953b:e2a2%16(Bevorzugt)
   IPv4-Adresse (Auto. Konfiguration): 169.254.226.162(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 973209676
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-7F-16-61-9C-5C-8E-01-DD-7D
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Drahtlos-LAN-Adapter WLAN:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 7265
   Physische Adresse . . . . . . . . : 7C-B0-C2-61-FC-D3
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 1:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physische Adresse . . . . . . . . : 7C-B0-C2-61-FC-D4
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 11:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #2
   Physische Adresse . . . . . . . . : 7E-B0-C2-61-FC-D3
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter Bluetooth-Netzwerkverbindung:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physische Adresse . . . . . . . . : 7C-B0-C2-61-FC-D7
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Auf dem DNS-Servernamen "SRV1" die rechte Maustaste drücken, Eigenschaften, Sicherheit, Berechtigungen korrigieren. Bist du mindestens Orgaisations-Admin oder Domain-Admin, dann solltest du Vollzugriff auf alle DNS-Einstellungen haben.

Meinst du das im DNS-Manager des Servers?

Zu diesem Post habe ich jede Menge Anmerkungen:

Bitte als erstes die zweite Netzwerkkarte mit der DHCP-Adresse ABSCHALTEN.

Dann bitte auf der Sophos kontrollieren, ob die internen DNS-Server überhaupt "raus ins Internet" dürfen.

Also so wie hier:

Dann die "Forwarder" auf der Sophos kontrollieren (das ist bei mir eine "Availibilty-Group":

Definition der "Availibilty-Group" für die externen DNS-Server (das muss jeder an seine Verhältnisse anpassen)

Aber die beste Beschreibung zu diesem Thema gibt es in diesem Thread hier:

https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice

Ja, klar, im DNS-Manager auf dem Windows-Server :-)

Wichtig ist dann noch bei den "Weiterleitungen" auf dem internen Windows-DNS-Server den ersten Eintrag auf die interne IP der Sophos zu setzen.

Im DNS vom Windows Server. Sollte dann so aussehen? Auflösung nicht möglich?

jprusch said:

DNS-Server überhaupt "raus ins Internet" dürfen.

Das scheinen sie zu dürfen

jprusch said:

Forwarder"

Die Forwards sind leer. Was muss ich hier einfügen?

Ist die 10.0.1.2 die Sophos IP-Adresse ?

Woher soll der Windows-DNS den Hostnamen dieses Gerätes denn kennen? Das muss man mit der Hand anlegen.

Also im DNS-Server in der forward-zone einen Eintrag erstellem für "firewall.fvt.local" mit der IP 10.0.1.2.

Dann kann dieser Name "aufgelöst" werden. Funktionieren würde die Weiterleitung auch so, ohne Namensauflösung des Hostnamens der Sophos-Firewall selbst. Sieht halt nur nicht schön aus.

Bei den "Forwarders" bitte das eintragen, was ich oben bereits geschrieben habe. Also deine externen DNS-Provider. Der Trick mit der Availibilty-Group ist nur dafür da, immer den am besten verfügbaren zu nutzen. Sonst klappert DNS alle ab, bis einer antwortet, was dann dauern kann.

Also sollte es dann so aussehen? Nur warum steht bei Currently assigned forwarders: noe?

Also sollte es dann so aussehen? Nur warum steht bei Currently assigned forwarders: noe?

Das funktioniert nur bei ISPs, die per DHCP ihre Einstellungen an dich weitergeben, um deine WAN-Schnittstelle zu konfigurieren.

Wenn wir das wie hier manuell konfigurieren, dann darf das NICHT eingschaltet sein. NONE ist also OK.

Jetzt läuft es soweit rund. Vielen Dank für den tollen Support bis dahin!!!

Dann markiere doch bitte eine meiner Antworten als "Answer", dann wird das Thema als "gelöst" markiert, das hlft dann auch anderen.