Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 9304 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PolicyBasedRouting für einen Client nach VPN

gidosch
Hallo zusammen

Bin gerade am experimentieren mit der Sophos Firewall. Im Moment habe ich ein kleines Verständnis Problem was mir ein Sophos/Astaro Spezie sicher schnell beantworten kann.
Erstmal zur Umgebung:
- mehrere Client hinter der Sophos Firewall
- es existiert ein VPN Tunnel (SidetoSise, Sophos ist Server) zu einem VPN Server im Internet welche als Client konfiguriert ist.

Ziel wäre nun, dass ein Client (fixe IP) welches sich hinter der Sophos befindet sämtlichen traffic ins Internet nicht durch den Provider hinter der Sophos versendet sondern durch den Tunnel und dort ins Internet geht.
Versuchte bereits ein  policybased Routing (pbr) einzurichten. Doch was ich einreichte egal der Client geht immer direkt ins Internet. Muss ich bei pbr erst eine andere statische route löschen? Habe nun mal folgenden Eintrag in pbr drin:
Target: IP Adresse des VPN Server auf der Gegenseite
Selector IPdes Clients --> Netz über das der Client rausgeht-->anyPort -> InternetIPV4

Mache ich da einen überlegungsFehler und verwende die falsche Technik?


This thread was automatically locked due to age.
  • 0
    Proxys?
    Und was heißt "Netz über das Client rausgeht"?
  • 0
    Ach ja, InternetIP4 ist eine Definition, die auf das DefaultGW der UTM abzielt.
  • 0
    Target: IP Adresse des VPN Server auf der Gegenseite
    Selector IPdes Clients --> Netz über das der Client rausgeht-->anyPort -> InternetIPV4

    Netz über das der Client raus geht ist die Schnittstelle gemeint in welcher sich der Client befindet. Also Client hat interne IP 192.168.38.152 --> Source Interface habe ich die Schnittstelle der Sophos genommen, hinter der der Client auf die Sopos zugreift. 
  • 0
    Falls Du möchtest, dass ich mir einen Anhang anschaue, dann nutze dafür bitte die Funktion des Forums.
  • 0
    Hallo T.K
    Ich versuchte den Printscreen im Forum mit der Funktion "Insert Image" hinzuzufügen. 

    Leider wird dies nicht dargestellt, da vermutlich Dropbox einen HTTPS link zurverfügung stellt. Aus diesem Grunde habe ich den Printscreen noch als Dropbox Link auch eine Funktion des Forums "Insert Link" verlinkt.
    https://www.dropbox.com/s/prdvw5sjh40zwm2/sophos_PbR.png
  • 0
    Ah via Advanced kann man Dateien hinzufügen. Ok als hier das File

    2015-10-04 14_06_22-WebAdmin - User admin - Device sophos.gidos.ch.png
  • 0
    Proxy und NAT greift nichts für diesen Client?
    Was zeigt ein tcpdump auf dem ext und dem VPN Interface der UTM?
  • 0
    Das Source-Interface ist schon das in dem auch das Notebook sitzt?

    Stell mal testweise das Source-Interface auf "Any" habe mehrere Policy-based Routings und bei allen ist als Source-Interface "Any" eingestellt und es funktioniert.

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0
    (Sorry, my German-speaking brain isn't functioning at present. [:(])

    If you want to allow Asus_Notebook to reach the Internet only via an IPsec VPN tunnel for example, use firewall rules at the top of your rule list:
    [LIST=1]Asus_Notebook -> IPsec -> VPN Server : Allow
    • Asus_Notebook -> Any -> Internet : Drop
    [/LIST]
    Now, the notebook user will be forced to establish a full tunnel in order to get past the UTM.

    MfG - Bob (Bitte, auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    @ all Vielen Dank für die weiteren Tipps, leider führte bis jetzt noch keine Lösung zum Erfolg, aber ich bleibe dran :-)

    @schieren:
    Das Source-Interface ist schon das in dem auch das Notebook sitzt?

    Ja ist das Interface in welchem sich das "Asus_Notebook" befindet.
    Stell mal testweise das Source-Interface auf "Any" 

    Source Interface ist nun Any, aber trotzdem geht das Notebook direkt über die Astaro ins Internet und nicht durch den Tunnel.

    @BAlfson
    Ziel sollte dein, dass das Asus_Notebook durch den eingerichteten SitetoSite SSL VPN Tunnel auf der anderen seite des Tunnels (VPNServer) ins Internet gehen soll.
    Habe den Tipp mit den beiden Firewall Regeln auch noch versucht, doch da ja das Routing falsch ist hat auch dies nix bewirkt.

    @K.N
    Proxy und NAT greift nichts für diesen Client?

    Proxy ist ausgeschalten, NAT ist nicht eingerichtet ausser Masquerading für das Interface hinter welchem das Asus_Notebook ist, damit das ganze Netz ins Internet kann.
    Was zeigt ein tcpdump auf dem ext und dem VPN Interface der UTM?

    tcpdump muss ich erst schauen, wie ich den Befehl genau absetzen kann, damit ich nicht Zuviel Datenmüll erzeuge. Versuche es aber gleich mal und melde mich wieder
Cookie Information Banner