Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 8 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 6790 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

OpenSSL VPN routen an externen Standort

MartinZwirlein

Hallo zusammen,

wir haben zwei Standorte welche beide über eine Sophos UTM verfügen (UTM 220 bzw. SG 135). Die Standorte sind per S2S ipsec VPN verbunden.

Standort A (192.168.0.0/24) <--S2S ---> Standort B (192.168.10.0/24)

Ich habe am Standort A den Fernzugriff per OpenSSL VPN für einige User freigegeben. Als freigegebene Netze sind das interne LAN eingetragen und mittels eigener Netzwerkdefinition das Netzwerk 192.168.10.0/24.

Automatische Firewallregel ist aktiviert.
Leider komm ich per VPN auf die UTM A nicht in das Netz von Standort B. Woran hackt es noch? BIn für alle hinweise dankbar.

PS: In interne LAN von Standort A klappt alles wunderbar.



This thread was automatically locked due to age.
  • 0

    Standort B muss das OpenSSL VPN Netz von Standort A per Site2Site freigegeben bekommen, ansonsten kennt es das nicht.

    Die VPN Nutzer kommen ja nicht von 192.168.0.0 sondern vom VPN IP Pool von Standort A. Default wäre das "10.242.2.0" mit den Namen "VPN Pool (SSL)"

    Schau noch ob die OpenSSL VPN Netze beider Standorte gleich sind (also auf Default sind), müsstest du dann ggf. anpassen damit diese eindeutig sind, sonst klappt das Routing evtl. nicht.

    Falls das nicht klappt sag Bescheid.

    ---

    Sophos UTM 9.3 Certified Engineer

  • 0

    Welche IP Adresse erhalten die SSLVPN Clients? Gibt es dessen Netz auch auf der anderen UTM?

    Hast Du die Firewalllogs auf den beiden UTMs kontrolliert? Was ist das Ergebnis von tcpdump?

  • 0 in reply to K.N.

    K.N. said:
    Welche IP Adresse erhalten die SSLVPN Clients? Gibt es dessen Netz auch auf der anderen UTM?

    Der SSL VPN Pool lautet 172.16.242.0. Das netz ist am Standortd B angelegt und im Remotegatewas des S2S auch als Entferntes Netz eingetragen.

    K.N. said:
    Hast Du die Firewalllogs auf den beiden UTMs kontrolliert? Was ist das Ergebnis von tcpdump?

    Ich habe mir die Logs der Networkprotection logs auf beiden UTMs angeschaut: kommt kein Eintrage welcher auf eine 172.16.242.x adresse verweist. tcpdump habe ich bisher nicht versucht; Wäre auch das erstemal, hast du einen link zu einer guten anleitung?

  • 0 in reply to Ben

    Ich Prüfe das am spätestens Montag und gebe dann Rückmeldung. Vielen Dank erstmal für die Hilfestellungen.

  • 0 in reply to Ben

    Hallo Ben,


    ich habe die Einstellungen nochmal überprüft und kann leider keinen Erfolg vermelden.
    Standort B baut den IPSec Site2Site Tunnel auf. Striktes Routing und Bindung an eine Schnittstelle ist nicht angehakt.
    Im Remotegateway Standort B ist der VPN ssl Pool von Standort A eingetragen.

    Am Standort A ist der VPN SSL Pool vom Standort A als lokales Netz Eingetragen. Striktes Routing und Bindung an eine Schnittstelle ist nicht angehakt.

  • 0 in reply to MartinZwirlein

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Hi, Martin, and welcome to the UTM Community!

    The advice you received above is correct, so let me show it in a way that a visual-tactile like me understands. Look at How to allow remote access users to reach another site via a Site-to-Site Tunnel.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    vielen dank für den Link. Ich habe alle einstellungen nochmals überpüft, leider ohne Erfolg.
    Habe dann die WAN schnittstellen von Standort B mit in zu den lokalen Netzwerken beim VPN zugang hinzugefügt. Dass hat dann geklappt.

    Trotzdem wundere ich mich darüber.

    Vielen Dank nochmal und viele Grüße!

    Martin

  • 0 in reply to MartinZwirlein

    Hi,

    das macht eigentlich keinen Sinn die WAN Schnittstellen als lokale Netze in den VPN Einstellungen mit aufzunehmen. Vielleicht ist hier etwas anderes faul oder falsch konfiguriert. Hast du Screenshots? Ggf. PN oder Daten anonymisieren.

    ---

    Sophos UTM 9.3 Certified Engineer

Cookie Information Banner