Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 6333 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Solved] Hairpining: Wie komme ich vom Homeoffice über die Zweigstelle zum Hauptsitz?

Jan Selucky

Hallo zusammen,

ich bin noch relativ neu mit der Sophos UTM bin aber begeistert von der Leistung, der Usability und dem Forum. :)

Zu folgendem Szenario habe ich eine Frage:

 

Ich bin der Homeofficeuser und möchte mich mit dem ShrewSoft VPN Client mit der Zweigstelle 1 verbinden. Das klappt auch super.

Alternativ kann ich auch eine VPN Verbindung zum Hauptsitz aufbauen, wenn ich dort arbeiten muss. Wenn ich jetzt aber den Hauptteil meiner Arbeit über die Zweigstelle 1 erledigen will, aber dennoch Ressourcen vom Hauptsitz brauche, dann muss ich das über Hairpinning machen, soweit ich das verstanden habe.

Leider klappt das bei mir auch nach viel lesen und probieren nicht. Ausgangssituation sind die UTMs wie oben im Schaubild. Jede Zweigstelle ist in der Domäne und hat auch einen DC. Die DCs unterhalten sich prima über das Site2Site VPN. Die Verbindung zur Zweigstelle 2 ist aktuell nicht relevant, wird aber bald mit einer Site2Site Verbindung vernetzt, dann wird das auch nochmal zwischen Zweigstelle 1 und 2 interessant.

Meine Zweigstellen 1 Sophos sieht folgendermaßen aus:

Das Interface mit der bezeichnung BTEC stirbt und wurde nur noch nicht rauskonfiguriert.

"LAN Fest" = Zweigstelle 1

"LAN Fest GS" Hauptsitz

Ausschnitt aus Network Protection -> Firewall -> Rules

Ausschnitt aus Network Protection -> NAT -> Masquerading

Ausschnitt aus Site-to-Site -> IPSec

 

Ausschnitt aus RemoteAccess -> IPSec

 

Was übersehe ich? Ich habe gelesen, man bekäme das auch mit SNAT hin, aber der "richtige Weg" führt nicht über SNAT, kann das sein?

Für Hilfe wäre ich sehr dankbar. Schönen Freitag und schon mal ein schönes Wochenende :)

Jan



This thread was automatically locked due to age.
  • +1

    Hallo Jan,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    If you need NAT to do what you want, you've made a mistake in configuring something. [:D]

    Here's an example of three sites (auf Deutsch!).  Hopefully, you can see from that how to extend to four sites.  The solution with Remote Access is, in effect, the same: How to allow remote access users to reach another site via a Site-to-Site Tunnel.

    There are ways to do this with manual routing and NAT, but the suggested solution is the most elegant.  It was first proposed here over 8 years ago by Gert Hansen, the original designer of the UTM and WebAdmin.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob!

     

    Vielen Dank für deine Hilfe. Ich bin in der Tat schon einen schritt weiter. Ich habe bei beiden SG's im Site2Site VPN -> Remote Gateway  meine VPNPool IPSec eingetragen.

    Siehe da: eine 2. Site2Site Verbindung wird hergestellt und ich kann via Ping von zu Hause auf den Hauptsitz zugreifen. Leider hört es da schon auf. Mehr als ein Ping geht nicht durch. Muss ich denn noch etwas einstellen? Von den Anleitungen her (vielen Dank fürs verlinken) habe ich denke ich alles umgesetzt. Das meiste hatte ich ja schon drin

    Viele Grüße.

    Jan

    EDIT

    Ich hatte die Firewallregeln noch nicht komplett hinterlegt. Es fehlten noch:

    Hauptsitz SG:
    "Internal LAN" -> "RemoteVPN_Zweigstelle"

    und auf der Gegenseite
    "RemoteVPN_Zweigstelle -> LAN Hauptsitz"

    Jetzt geht es :)

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML