Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 1949 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Keine Route von Sophos SG-125 zu externem Netzwerk, Routingproblem?

Bert Nitsche

Ich habe ein Problem mit meiner Sophos SG-125 mit UTM9:

Es gibt ein internes Netzwerk 192.168.0.0/24 und via Site-2-Site-VPN ist ein externes Netzwerk 172.31.0.0/16 in AWS angebunden.

Alles funktioniert perfekt. Geräte aus dem internen Netz erreichen die Cloud und umgekehrt. Da ICMP explizit erlaubt ist, können sich die Geräte auch netzübergreifend pingen.

Außer: die Firewall selbst kann keine IP im externen Netz pingen. Ich habe im externen Netz einen Radius-Server, den ich in der Firewall eintragen möchte. Auch dieser ist nicht erreichbar.

Was muss ich tun, damit die Sophos Adressen im externen Netz erreicht. Ich dachte, eine statische Route wäre nicht erforderlich, da ja bereits das Site-2-Site-VPN eine Route für das gesamte Netz anlegt.

Habe ich etwas übersehen?

Um es nochmal deutlich zu machen. Es geht nur darum, dass die Firewall selbst keine Adressen im externen Netz erreicht. Aus dem lokalen Netz ist alles erreichbar.



This thread was automatically locked due to age.
  • 0 in reply to Bert Nitsche

    Ahhh - I forgot it was VPC.  I don't remember having any problem, so I'm guessing...

    Does the following give you the tunnel name?

          cc get_objects ipsec_connection amazon_vpc|grep \'ref

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    OK, . Das funktionierte. Da auf dem Tunnel viel Traffic ist, habe ich gefiltert und nacheinander ausgeführt:

    a) espdump -n --conn REF_IpsAmaVpn0f77f21 -vv | grep ICMP

    b) espdump -n --conn REF_IpsAmaVpn0f77f21 -vv | grep 1812

    c) espdump -n --conn REF_IpsAmaVpn0f77f22 -vv | grep ICMP

    d) espdump -n --conn REF_IpsAmaVpn0f77f22 -vv | grep 1812

    Dabei konnte ich Pings von meinem Rechner im internen Netz nach extern mit a) sehen. Ein Ping vom Tools-Menü der Firewall zu einer remote-Adresse schlug fehl und es gab keinen Logeintrag auf der Konsole.

    Ebenso schlug fehl, einen Radius-Client im Remote-Net in die Firewall einzutragen und zu testen. b) und d) zeigten keinen Logeintrag und im UI gibt es einen Timeout.

    Sieht so aus, als ob einfach das Routing von self-originated Traffic in Richtung Tunnel nicht funktioniert. :-(

Unfiltered HTML