Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 9293 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PolicyBasedRouting für einen Client nach VPN

gidosch
Hallo zusammen

Bin gerade am experimentieren mit der Sophos Firewall. Im Moment habe ich ein kleines Verständnis Problem was mir ein Sophos/Astaro Spezie sicher schnell beantworten kann.
Erstmal zur Umgebung:
- mehrere Client hinter der Sophos Firewall
- es existiert ein VPN Tunnel (SidetoSise, Sophos ist Server) zu einem VPN Server im Internet welche als Client konfiguriert ist.

Ziel wäre nun, dass ein Client (fixe IP) welches sich hinter der Sophos befindet sämtlichen traffic ins Internet nicht durch den Provider hinter der Sophos versendet sondern durch den Tunnel und dort ins Internet geht.
Versuchte bereits ein  policybased Routing (pbr) einzurichten. Doch was ich einreichte egal der Client geht immer direkt ins Internet. Muss ich bei pbr erst eine andere statische route löschen? Habe nun mal folgenden Eintrag in pbr drin:
Target: IP Adresse des VPN Server auf der Gegenseite
Selector IPdes Clients --> Netz über das der Client rausgeht-->anyPort -> InternetIPV4

Mache ich da einen überlegungsFehler und verwende die falsche Technik?


This thread was automatically locked due to age.
  • 0
    So ich habe nun mal ein TCPDUMP laufen lassen und als PCAP File abgespeichert und diesem Post angehängt.
    Während dem TCPDUMP am laufen war, habe ich vom Client aus ein Trecert auf Google gemacht.
    Hier der Laufweg, welcher von der Astaro direkt ins Internet Geroutet wird, anstatt durch den Tunnel. 
    Routenverfolgung zu www.google.ch [173.194.32.239]  ber maximal 30 Abschnitte:

    

      1    
    dump2.zip
  • 0
    Wichtig wäre noch wie der Tunnel definiert ist.. da ja jeglicher Traffic durch den Tunnel durchgelassen werden muss ist es nicht sinnvoll hier mit automatic rules zu arbeiten...

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0
    @schieren Die Firewall Rule wurde zwar durch die AutomaticRule erstellt. Sieht aber oeit ok aus. das Netzwerk hinter dem der Notebook ist any nach dem VPN Pool (SSL) welche die IP Adresse der Gegenseite bekommt wenn Tunnel aufgebaut wird und auch die gegen seitige Regel ist any.
    Also: 192.168.38.x(Network) --> Any --> VPN Pool (SSL)
             VPN Pool (SSL) --> Any --> 192.168.38.x (Network)
    Denke die Regel wäre die falsche wenn man NICHT den ganzen Traffic durch lassen möchte, was man aus Security Sicht auch nie macht.
    Habe aber zum auch dies ausschliessen die Regel selber erstellt, leider ohen Erfolg. Mein Problem ist einfach, dass ich der Sophos nicht bei bringen kann, dass sie alle Pakete durch den Tunnel routen soll.
  • 0
    Welche IP hat der VPN-Server in der policy based routing definition? ist hier die ip aus dem tunnel definiert oder die internet-ip?

    Ebenso muss als destination-network dann any rein und nicht internetipv4 (das ist bounded an interfaces mit default-gw eintrag).

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0
    Hallo schieren

    Die IP des VPN Server ist die IP, welche der Server auf der gegenseite via VPN erhält, in meinem Fall die IP 10.242.2.6. Beim Destination Network habe ich nun wieder das any rein gemacht, das Internet IPv4 habe ich mal zur Testzwekce reingemacht.
  • 0
    ok. Habe das gestern mal testweise nachgestellt auf meiner UTM.. traceroute-pakete wurden ohne probleme über die PBR-Route geroutet. 
    Allerdings habe ich auch festgestellt das web pakete (http/https) nicht über die pbr-Regel gelaufen sind sondern durch den webfilter-Proxy.. (muss ggf. dann abgestimmt werden mit den pbr-regeln) 

    schau mal in das live-log des paket-filters wenn du einen traceroute von dem client machst.. taucht das dort auf? ggf. ein paar Regeln mit logging versehen dafür... 

    evtl. liegt es an der Reihenfolge wie die Sophos die Pakete verarbeitet.. da gab es mal einen screenshot.

    Falls du Support hast solltest du hier Sophos einschalten.. mir gehen die Ideen aus..

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

Cookie Information Banner