Hallo,
ich habe im Moment noch ein Problem mit IPSEC über eine Public IP auf unsere Sophos Firewall in der DMZ.
Von aussen funktioniert alles wie gewünscht, von innen (Gast bzw. Client VLAN) bekomme ich nach ein paar Paketen "masquerading failed for source" oder wenn ich ein anders Outbound Interface nutze "reverse masquerading failed for source (1): 10.0.203.8:500".
Ich gehe mal davon aus, dass Problem tritt auf, da bei der IP Adresse "78.x.x.x/32" Masq:No bei "sh ipv4-fib" zu finden ist.
Funktioniert das trotzdem irgendwie?
Vielen Dank wie immer und frohe Ostern
Henri
[IP-masquerading] 2023/04/08 13:23:52,898 Devicetime: 2023/04/08 13:23:52,775 [info] : open port 23692 for UDP (17), 172.20.70.129:51266
[IP-Router] 2023/04/08 13:23:52,899 Devicetime: 2023/04/08 13:23:52,777
IP-Router Rx (VF1, RtgTag: 70):
DstIP: 172.20.70.129, SrcIP: 78.x.x.x, Len: 208, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 51266, SrcPort: 500
Filter (limited)
[IP-Router] 2023/04/08 13:23:52,937 Devicetime: 2023/04/08 13:23:52,777
IP-Router Rx (VF1, RtgTag: 70):
DstIP: 172.20.70.129, SrcIP: 78.x.x.x, Len: 208, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 51266, SrcPort: 500
Route: BUNDLE-1 Tx (VLAN70_CLIENT)
[IP-Router] 2023/04/08 13:23:52,937 Devicetime: 2023/04/08 13:23:52,807
IP-Router Rx (BUNDLE-1, VLAN70_CLIENT, RtgTag: 70):
DstIP: 78.x.x.x, SrcIP: 172.20.70.129, Len: 424, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 51266
Route: WAN Tx (VF1)
[IP-masquerading] 2023/04/08 13:23:52,937 Devicetime: 2023/04/08 13:23:52,807 [error] : masquerading failed for source: 172.20.70.129:51266
[IP-Router] 2023/04/08 13:23:56,014 Devicetime: 2023/04/08 13:23:55,876
IP-Router Rx (BUNDLE-1, VLAN70_CLIENT, RtgTag: 70):
DstIP: 78.x.x.x, SrcIP: 172.20.70.129, Len: 424, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 51266
Route: WAN Tx (VF1)
[IP-masquerading] 2023/04/08 13:23:56,014 Devicetime: 2023/04/08 13:23:55,876 [error] : masquerading failed for source: 172.20.70.129:51266
[IP-Router] 2023/04/08 13:24:02,177 Devicetime: 2023/04/08 13:24:02,074
IP-Router Rx (BUNDLE-1, VLAN70_CLIENT, RtgTag: 70):
DstIP: 78.x.x.x, SrcIP: 172.20.70.129, Len: 424, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 51266
Route: WAN Tx (VF1)
[IP-masquerading] 2023/04/08 13:24:02,177 Devicetime: 2023/04/08 13:24:02,074 [error] : masquerading failed for source: 172.20.70.129:51266
Rtg-Tag 70
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
0.0.0.0/0 0.0.0.0 TELEKOM 41 on Redistribute Static (5)
78.x.x.x VF1 23 on Redistribute Static (5)
10.0.100.0/24 0.0.0.0 VLAN100_FWINT 3 no Redistribute Connected LAN (2)
10.0.100.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.100.2/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.101.0/24 10.0.100.8 VLAN100_FWINT 3 no Redistribute Static (5)
10.0.203.0/24 0.0.0.0 VLAN203_FWWAN 8 no Redistribute Connected LAN (2)
10.0.203.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.203.2/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.210.0/24 0.0.0.0 MANAGEMENT 21 no Redistribute Connected WAN (2)
10.0.210.2/32 0.0.0.0 #Loopback 1 no Redistribute Local WAN (0)
78.x.x.x/32 0.0.0.0 #Loopback 1 no Redistribute Local WAN (0)
IPSEC GastLAN -> Sophos Firewall in DMZ
Moderator: Lancom-Systems Moderatoren
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Hi Henri,
Welche Sophos Firewall hast Du denn?
Frag da mal lieber im Sophos Forum.
Oder ist ein LANCOM Gerät hier mit beteiligt?
Viele Grüße
ts
Welche Sophos Firewall hast Du denn?
Frag da mal lieber im Sophos Forum.
Oder ist ein LANCOM Gerät hier mit beteiligt?
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Hallo tstimper,
das sind LANCOM IP-Router und IP-Masq. Traces.
Mit vielen Grüßen
Henri
das sind LANCOM IP-Router und IP-Masq. Traces.
Mit vielen Grüßen
Henri
-
Dr.Einstein
- Beiträge: 3236
- Registriert: 12 Jan 2010, 14:10
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Das ist nur ein Anzeigefehler. Die eigene WAN-IP/32 wird immer ohne Maskierung an, die eigentliche Route aber mit Maskierung, Beispiel von meinem Router:Henri hat geschrieben: 08 Apr 2023, 14:17 Ich gehe mal davon aus, dass Problem tritt auf, da bei der IP Adresse "78.x.x.x/32" Masq:No bei "sh ipv4-fib" zu finden ist.
Rtg-Tag 70
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
78.x.x.x VF1 23 on Redistribute Static (5)
78.x.x.x/32 0.0.0.0 #Loopback 1 no Redistribute Local WAN (0)
Code: Alles auswählen
0.0.0.0/0 0.0.0.0 INTERNET 3 on Redistribute Static (5)
80.151.xxx.xxx/32 0.0.0.0 #Loopback 1 no Redistribute Local WAN (0)
Nutzt du Portweiterleitungen für UDP500 auf deine 172.20.70.129?
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Hallo Dr.Einstein,
danke, habe wohl zu viel rausgeworfen. Die VLANs sind alle über Bundle-1 (10G) mit dem Switch verbunden.
Ich hatte auch untern /Status/IP-Router/1-N-NAT/IPSec-Table nachgeschaut. Da wird die Verbindung registriert,
finde aber gerade den Output nicht mehr.
Mit vielen Grüßen
Henri
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
0.0.0.0/0 0.0.0.0 TELEKOM 22 on Redistribute Static (5)
172.20.70.0/23 0.0.0.0 VLAN70_CLIENT 17 no Redistribute Connected LAN (2)
172.20.70.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
172.20.70.2/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
Mit vielen Grüßen
Henri
danke, habe wohl zu viel rausgeworfen. Die VLANs sind alle über Bundle-1 (10G) mit dem Switch verbunden.
Ich hatte auch untern /Status/IP-Router/1-N-NAT/IPSec-Table nachgeschaut. Da wird die Verbindung registriert,
finde aber gerade den Output nicht mehr.
Mit vielen Grüßen
Henri
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
0.0.0.0/0 0.0.0.0 TELEKOM 22 on Redistribute Static (5)
172.20.70.0/23 0.0.0.0 VLAN70_CLIENT 17 no Redistribute Connected LAN (2)
172.20.70.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
172.20.70.2/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
Mit vielen Grüßen
Henri
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Ja klar, 500 und 4500, allerdings selektiv für Interface VF1 (78.x.x.x).Nutzt du Portweiterleitungen für UDP500 auf deine 172.20.70.129?
Mit vielen Grüßen
Henri
-
Dr.Einstein
- Beiträge: 3236
- Registriert: 12 Jan 2010, 14:10
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Moment, entweder habe ich den Aufbau nicht verstanden, oder genau das ist das Problem:
VF FritzBox -> Lancom (WAN 78.x.x.x | LAN 172.20.70.2/23) -> Sophos Firewall 172.20.70.129
Sophos Firewall 172.20.70.129 baut einen VPN Tunnel auf die WAN IP des Lancoms auf??
DstIP: 78.x.x.x, SrcIP: 172.20.70.129,
Prot.: UDP (17), DstPort: 500, SrcPort: 51266
Dann würde es mich nicht wundern, dass diese Schleife nicht funktioniert. 1) wäre das Hairpin Nat, 2) hättest du einen Kreis, da ja der Zielport 500 wieder auf die Portweiterleitung zeigt. Kapiere nicht, was du vor hast. Oder das ganze IP gekürze macht mir hier Probleme.
VF FritzBox -> Lancom (WAN 78.x.x.x | LAN 172.20.70.2/23) -> Sophos Firewall 172.20.70.129
Sophos Firewall 172.20.70.129 baut einen VPN Tunnel auf die WAN IP des Lancoms auf??
DstIP: 78.x.x.x, SrcIP: 172.20.70.129,
Prot.: UDP (17), DstPort: 500, SrcPort: 51266
Dann würde es mich nicht wundern, dass diese Schleife nicht funktioniert. 1) wäre das Hairpin Nat, 2) hättest du einen Kreis, da ja der Zielport 500 wieder auf die Portweiterleitung zeigt. Kapiere nicht, was du vor hast. Oder das ganze IP gekürze macht mir hier Probleme.
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Hallo Dr.Einstein,
danke für deine Nachricht.
Okay, also erst einmal wieso. Wir haben diverse Kunden mit hohen Sicherheitsanforderungen, daher nutzen wir LANCOM VPN, 802.1x mit SCEP (MDM) und Zertifikate vom ISG-4000. Jetzt gibt es aber Mitarbeiter, wo diese Lösung nicht passt. Dafür gibt es dann einen Zugang mit Sophos IPSEC OTP auf ganz spezifische IPs & Ports. Für diesen Zweck gibt es eine Public IP 78.x.x.x, für diese IP ist ein Forwarding von Port 500, 4500, 443 usw. auf den Sophos Cluster 10.0.x.8, eingerichtet, Outbound geht auch alles über diese IP zurück ins Internet (10.0.203.8 - TAG 203). Hierfür gibt es einsprechende FW Regel und IP-R Einträge.
Der Sophos Cluster ist vor allem der zentrale Reverse Proxy (WAF), die WAN URLs werden von LAN als auch vom WAN benutzt.
Das funktioniert auch alles wie gewünscht, wenn man von aussen kommt (im Fall von IPSEC), sonst immer.
Wenn aber nun ein solcher Mitarbeiter vor Ort ist, bucht er sich in das Guest WLAN ein und möchte die VPN Verbindung auch "lokal" nutzen.
Dabei gibt es dann dieses Problem.
Technisch:
/Setup/IP-Router/1-N-NAT
500 500 UDP 78.x.x.x 10.0.203.8 0 Yes SFW IPSEC
4500 4500 UDP 78.x.x.x 10.0.203.8 0 Yes SFW IPSEC
/Setup/IP-Router/IP-Routing-Table
255.255.255.255 0.0.0.0 2005 0 10.0.100.8@5 0 No Yes Default Route via Sophos FW - VLAN5
255.255.255.255 0.0.0.0 2000 0 10.0.100.8@0 0 No Yes Default Route via Sophos FW - VLAN1
255.255.255.255 0.0.0.0 203 0 VF1 0 on Yes Default Route from FW WAN
Das dafür dann die entsprechenden FW Rules existieren, ist glaube ich selbsterklärend. Die Sophos Firewall NATted dann Outbound mit 10.0.203.8.
Backslash hatte vor vielen Jahren einmal etwas über eine Glaskugel bei IP-Masq. und IPSEC geschrieben. Ich vermute einmal ich mache hier etwas falsch, so dass die Glaskugel nicht funktioniert. Hier ist die Blick in die Glaskugel, vermutlich ist es nicht gut, wenn bei SPI 0 drinsteht, was aber hier nicht okay ist, verstehe ich nicht ganz. Übrigens nutze ich gerade VPN ins Admin Netz in gleicher Konstellation zu einem ISG-5000 ohne Probleme.
Content of table: /Status/IP-Router/1-N-NAT/IPSec-Table
remote-Address local-Address remote-cookie local-cookie remote-SPI local-SPI Timeout CO NL NR DP Flags WAN-Address
--------------------------------------------------------------------------------------------------------------------------
78.x.x.x 10.0.203.8 9f1be4f5a03b78b6 438d6ccf99b058fb 00000000 00000000 16850 20 0 0 0 0041 78.x.x.x
78.x.x.x 172.20.70.129 0000000000000000 9f1be4f5a03b78b6 00000000 00000000 1985 15 0 0 0 0040 78.x.x.x
Es funktioniert offensichtlich nicht, da wg. diesem Traceeintrag ("[IP-masquerading] 2023/04/08 13:23:52,937 Devicetime: 2023/04/08 13:23:52,807 [error] : masquerading failed for source: 172.20.70.129:51266") das Paket nicht an die Sophos Firewall forwarded wird. Das ist dann auch in den Traces der Sophos Firewall und dem Client zu sehen, übriges funktioniert die Kommunikation initial für die ersten paar Pakete. Der Sophos Client nutzt Port 500, nicht 4500, ich aber auch bisher keine Schalten dafür gefunden.
Danke und mit vielen Grüßen
Henri
danke für deine Nachricht.
Okay, also erst einmal wieso. Wir haben diverse Kunden mit hohen Sicherheitsanforderungen, daher nutzen wir LANCOM VPN, 802.1x mit SCEP (MDM) und Zertifikate vom ISG-4000. Jetzt gibt es aber Mitarbeiter, wo diese Lösung nicht passt. Dafür gibt es dann einen Zugang mit Sophos IPSEC OTP auf ganz spezifische IPs & Ports. Für diesen Zweck gibt es eine Public IP 78.x.x.x, für diese IP ist ein Forwarding von Port 500, 4500, 443 usw. auf den Sophos Cluster 10.0.x.8, eingerichtet, Outbound geht auch alles über diese IP zurück ins Internet (10.0.203.8 - TAG 203). Hierfür gibt es einsprechende FW Regel und IP-R Einträge.
Der Sophos Cluster ist vor allem der zentrale Reverse Proxy (WAF), die WAN URLs werden von LAN als auch vom WAN benutzt.
Das funktioniert auch alles wie gewünscht, wenn man von aussen kommt (im Fall von IPSEC), sonst immer.
Wenn aber nun ein solcher Mitarbeiter vor Ort ist, bucht er sich in das Guest WLAN ein und möchte die VPN Verbindung auch "lokal" nutzen.
Dabei gibt es dann dieses Problem.
Technisch:
/Setup/IP-Router/1-N-NAT
500 500 UDP 78.x.x.x 10.0.203.8 0 Yes SFW IPSEC
4500 4500 UDP 78.x.x.x 10.0.203.8 0 Yes SFW IPSEC
/Setup/IP-Router/IP-Routing-Table
255.255.255.255 0.0.0.0 2005 0 10.0.100.8@5 0 No Yes Default Route via Sophos FW - VLAN5
255.255.255.255 0.0.0.0 2000 0 10.0.100.8@0 0 No Yes Default Route via Sophos FW - VLAN1
255.255.255.255 0.0.0.0 203 0 VF1 0 on Yes Default Route from FW WAN
Das dafür dann die entsprechenden FW Rules existieren, ist glaube ich selbsterklärend. Die Sophos Firewall NATted dann Outbound mit 10.0.203.8.
Backslash hatte vor vielen Jahren einmal etwas über eine Glaskugel bei IP-Masq. und IPSEC geschrieben. Ich vermute einmal ich mache hier etwas falsch, so dass die Glaskugel nicht funktioniert. Hier ist die Blick in die Glaskugel, vermutlich ist es nicht gut, wenn bei SPI 0 drinsteht, was aber hier nicht okay ist, verstehe ich nicht ganz. Übrigens nutze ich gerade VPN ins Admin Netz in gleicher Konstellation zu einem ISG-5000 ohne Probleme.
Content of table: /Status/IP-Router/1-N-NAT/IPSec-Table
remote-Address local-Address remote-cookie local-cookie remote-SPI local-SPI Timeout CO NL NR DP Flags WAN-Address
--------------------------------------------------------------------------------------------------------------------------
78.x.x.x 10.0.203.8 9f1be4f5a03b78b6 438d6ccf99b058fb 00000000 00000000 16850 20 0 0 0 0041 78.x.x.x
78.x.x.x 172.20.70.129 0000000000000000 9f1be4f5a03b78b6 00000000 00000000 1985 15 0 0 0 0040 78.x.x.x
Es funktioniert offensichtlich nicht, da wg. diesem Traceeintrag ("[IP-masquerading] 2023/04/08 13:23:52,937 Devicetime: 2023/04/08 13:23:52,807 [error] : masquerading failed for source: 172.20.70.129:51266") das Paket nicht an die Sophos Firewall forwarded wird. Das ist dann auch in den Traces der Sophos Firewall und dem Client zu sehen, übriges funktioniert die Kommunikation initial für die ersten paar Pakete. Der Sophos Client nutzt Port 500, nicht 4500, ich aber auch bisher keine Schalten dafür gefunden.
Danke und mit vielen Grüßen
Henri
-
Dr.Einstein
- Beiträge: 3236
- Registriert: 12 Jan 2010, 14:10
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Du meinst das hier oder? viewtopic.php?p=80080&hilit=ipsec+table#p80080
Hair-PIN-Nat auf Port 500 mit speziellem Lancom-Algorithmus. Da bin ich leider raus. Sowas kann dir garantiert nur ein Entwickler beantworten.
Hair-PIN-Nat auf Port 500 mit speziellem Lancom-Algorithmus. Da bin ich leider raus. Sowas kann dir garantiert nur ein Entwickler beantworten.
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Hi Henri,
also bei einem Hairpin-NAT für IPSec wäre ich sehr vorsichtig... IPSec nachzuhalten ist an sich schon eine herausforderung, das aber auch noch als Hairpin-NAT... ich würde davon ausgehen, daß das scheitert...
mein Tipp: trage im DNS-Server des LANCOMs die IP-Adresse der Sophos unter dem öffentlichen Namen ein...
so kontaktiert ein Host von "aussen" das LANCOM und es wird ein Portforwarding gemacht und wenn der Host von "innen" kommt, dann spricht er direkt mit der Sophos...
Das hat zudem den Vorteil, daß die Sophos auch die von "innen" kommenden Zugriffe "separieren" kann (z.B. in Log-Files), denn bei einem Hairpin-NAT kämen sie alle von der öffentlichen Adsresse des LANCOMs...
Gruß
Backslash
also bei einem Hairpin-NAT für IPSec wäre ich sehr vorsichtig... IPSec nachzuhalten ist an sich schon eine herausforderung, das aber auch noch als Hairpin-NAT... ich würde davon ausgehen, daß das scheitert...
mein Tipp: trage im DNS-Server des LANCOMs die IP-Adresse der Sophos unter dem öffentlichen Namen ein...
so kontaktiert ein Host von "aussen" das LANCOM und es wird ein Portforwarding gemacht und wenn der Host von "innen" kommt, dann spricht er direkt mit der Sophos...
Das hat zudem den Vorteil, daß die Sophos auch die von "innen" kommenden Zugriffe "separieren" kann (z.B. in Log-Files), denn bei einem Hairpin-NAT kämen sie alle von der öffentlichen Adsresse des LANCOMs...
Gruß
Backslash
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Hallo Backslash,
vielen Dank für deine Hilfe, wie immer...
Das habe ich schon versucht gehabt, leider bindet die Sophos Firewall IPSEC nur an ein Interface (WAN=10.0.203.
. Auf dem Gerät sind Routen definiert, um den 172.20.0.0/16 Traffic über das LAN IF(10.0.100. zu routen. Daher passiert bei dieser Konfiguration leider folgendes:
172.20.70.129 -> 10.0.203.8 WAN (SFW) LAN 10.0.100.8 -> 172.20.70.129 IDS! Ende!
Das Gerät wird nicht nur als WAF (Inbound) sondern auf den gesamten Outbound Traffic verwendet. Funktionieren würde die 10.0.100.8 als Ziel, leider ist dort aber IPSEC nicht erreichbar.
Hast Du noch eine andere Idee?
Danke und mit vielen Grüßen
Henri
vielen Dank für deine Hilfe, wie immer...
Das habe ich schon versucht gehabt, leider bindet die Sophos Firewall IPSEC nur an ein Interface (WAN=10.0.203.
. Auf dem Gerät sind Routen definiert, um den 172.20.0.0/16 Traffic über das LAN IF(10.0.100. zu routen. Daher passiert bei dieser Konfiguration leider folgendes:172.20.70.129 -> 10.0.203.8 WAN (SFW) LAN 10.0.100.8 -> 172.20.70.129 IDS! Ende!
Das Gerät wird nicht nur als WAF (Inbound) sondern auf den gesamten Outbound Traffic verwendet. Funktionieren würde die 10.0.100.8 als Ziel, leider ist dort aber IPSEC nicht erreichbar.
Hast Du noch eine andere Idee?
Danke und mit vielen Grüßen
Henri
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Hi Henri,
da ich deine Routing-Tabellen nicht kenne und auch nicht weiss, wie du die Geräte angeschlossen hast, ist das wie ein Blick in die Kristallkugel... (und wie man die Sophos richtrig konfiguriert kann ich dir auch nicht sagen)
Aber ich verstehe ich das Problem auch nicht wirklich... Du hast die Sophos in der DMZ und einen Client in einem Gastnetz...
Das sind doch verschiedene Netze... Somit ist es aus Sicht der Sophos doch egal, ob der Client in "Internet" steht oder in einem andere LAN-Netz (Gastnetz) - beide Netze erreicht die Sophos über ihre Default-Route.
Und Clients, die sich auf der Sophos einwählen, bekommen doch von der Sophos eine IP-Adresse zugewiesen - und der Pool ändert sich ja nicht, egal aus welchem Netz der Client sich einwählt. Wichtig ist nur, daß es keine Überschneidung des Pools mit deinen anderen Netzen gibt, denn sonst passiert genau das:
BTW: "funktioniert" es denn, wenn du das IDS abschaltest (also als IDS-Aktion "Übertragen" einstellst)? Wenn ja, dann könntest du das IDS mit einer Dummy-Route "überlisten", die das Netz 172.20.70.x in einem ansonsten ungenutzten Routing-Tag über ein imaginäres Gateway im Netz 10.0.100.x (z.B. die von dir genannte 10.0.100.8 ) erreichbar macht...
Aber du könntest natürlich mit der ganz großen Kelle "draufschlagen" und die Pakete für die 78.x.x.x durchs Internet schicken... Denn laut deiner FIB hat du ja zwei WAN-Leitungen - eine zur Telekom und eine über die Fritzbox (VF1)... Du mußt nur dafür sorgen, daß die Route zum 78.x.x.x Netz im "Gast"-Kontext (Rtg-Tag 70) nicht auf VF1 zeigt, sondern auch auf die TELEKOM... Und natürlich muß dem Kontext der Sophos die Default-Route auf VF1 zeigen und es darf keine Route auf die TELEKOM-Geegnstelle geben. Dann machen die Pakete die Große Runde...
Gruß
Backslash
da ich deine Routing-Tabellen nicht kenne und auch nicht weiss, wie du die Geräte angeschlossen hast, ist das wie ein Blick in die Kristallkugel... (und wie man die Sophos richtrig konfiguriert kann ich dir auch nicht sagen)
Aber ich verstehe ich das Problem auch nicht wirklich... Du hast die Sophos in der DMZ und einen Client in einem Gastnetz...
Das sind doch verschiedene Netze... Somit ist es aus Sicht der Sophos doch egal, ob der Client in "Internet" steht oder in einem andere LAN-Netz (Gastnetz) - beide Netze erreicht die Sophos über ihre Default-Route.
Und Clients, die sich auf der Sophos einwählen, bekommen doch von der Sophos eine IP-Adresse zugewiesen - und der Pool ändert sich ja nicht, egal aus welchem Netz der Client sich einwählt. Wichtig ist nur, daß es keine Überschneidung des Pools mit deinen anderen Netzen gibt, denn sonst passiert genau das:
Da solltest du wohl eher dein Netz aufräumen, statt zu hoffen, daß ein Hairpin-NAT für IPSec funktioniert...172.20.70.129 -> 10.0.203.8 WAN (SFW) LAN 10.0.100.8 -> 172.20.70.129 IDS! Ende!
BTW: "funktioniert" es denn, wenn du das IDS abschaltest (also als IDS-Aktion "Übertragen" einstellst)? Wenn ja, dann könntest du das IDS mit einer Dummy-Route "überlisten", die das Netz 172.20.70.x in einem ansonsten ungenutzten Routing-Tag über ein imaginäres Gateway im Netz 10.0.100.x (z.B. die von dir genannte 10.0.100.8 ) erreichbar macht...
Aber du könntest natürlich mit der ganz großen Kelle "draufschlagen" und die Pakete für die 78.x.x.x durchs Internet schicken... Denn laut deiner FIB hat du ja zwei WAN-Leitungen - eine zur Telekom und eine über die Fritzbox (VF1)... Du mußt nur dafür sorgen, daß die Route zum 78.x.x.x Netz im "Gast"-Kontext (Rtg-Tag 70) nicht auf VF1 zeigt, sondern auch auf die TELEKOM... Und natürlich muß dem Kontext der Sophos die Default-Route auf VF1 zeigen und es darf keine Route auf die TELEKOM-Geegnstelle geben. Dann machen die Pakete die Große Runde...
Gruß
Backslash
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
backslash hat geschrieben: 11 Apr 2023, 16:59 Hi Henri,
da ich deine Routing-Tabellen nicht kenne und auch nicht weiss, wie du die Geräte angeschlossen hast, ist das wie ein Blick in die Kristallkugel... (und wie man die Sophos richtrig konfiguriert kann ich dir auch nicht sagen)
Backslash
Die Sophos SG Serie (XG weiß ich nicht) bindet IPSec tatsächlich immer nur an ein AKTIVES Interface. Man kann zwar mehreren Interfaces zuweisen, aber es wird immer das primäre Interface benutzt bis zu dem Zeitpunkt wo das ausfällt, dann wird IPSec an das nächste Interface gebunden. Man kann die Reihenfolge festlegen. Relevant ist natürlich, dass die Sophos auch merkt, dass ihm ein Interface "weggeflogen" ist. Leitungsüberwachung ist also zwingend aktiv zu benutzen.
Gruß
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Re: IPSEC GastLAN -> Sophos Firewall in DMZ
Die XG(s) bindet IPSEC nur an das WAN Interface, da ich aber vom der LAN Seite komme, funktioniert das so nicht. Diese Geräte haben alle eine Trusted Side(LAN) und eine Non-Trusted-Side(WAN), dazwischen läuft dann IDS, WAF/Reverse Proxy etc. Das Geräte NATted mit dem entsprechenden Interface. Daher müssen die Pakets aus dem LAN zum LAN Interfaces der XG(s) gerouted werden und die WAN Pakete von/zum WAN Interface.
Aus dem LAN Pakete ans WAN zu senden ist nun einmal nicht vorgesehen.
Ich habe also versucht, die Pakets über das Telekom Interface die große Runde herum zu schicken. Allerdings ist das Guest LAN auf einen WLC-30 beheimatet, der hat eine Defaultroute zum ISG-5000 und eine Rückroute wieder zum WLC. Das funktioniert auch grundsätzlich und lt. Trace gehen die Pakete über die gewünschte (Telekom) Strecke hin und kommen auch wieder zurück.
Ich bekomme allerdings auf dem WLC "ICMP Host unreachable", habe gerade den ISG-5000 mit einen ICMP Trace abgeschlossen, nicht so toll.
Leider ein gewaltiger Aufwand, für eine ganz einfache Aufgabenstellung.
Mit vielen Grüßen
Henri
Aus dem LAN Pakete ans WAN zu senden ist nun einmal nicht vorgesehen.
Ich habe also versucht, die Pakets über das Telekom Interface die große Runde herum zu schicken. Allerdings ist das Guest LAN auf einen WLC-30 beheimatet, der hat eine Defaultroute zum ISG-5000 und eine Rückroute wieder zum WLC. Das funktioniert auch grundsätzlich und lt. Trace gehen die Pakete über die gewünschte (Telekom) Strecke hin und kommen auch wieder zurück.
Ich bekomme allerdings auf dem WLC "ICMP Host unreachable", habe gerade den ISG-5000 mit einen ICMP Trace abgeschlossen, nicht so toll.
Leider ein gewaltiger Aufwand, für eine ganz einfache Aufgabenstellung.
Mit vielen Grüßen
Henri