the-buccaneer
Goto Top

Sophos UTM 105 VPN steht aber kein RDP oder HTTP

Moinsen!

Habe eine VPN-Verbindung (IPSec) zwischen der Sophos und einem Shrewclient eingerichtet. VPN steht. Hosts sind alle pingbar.
Was nicht geht ist RDP und auch http(s) auf das Webinterface der Sophos.
Ich sehe im Shew VPN-Trace, dass der Traffic rausgeht, aber keine Pakete von der Gegenseite kommen.

Was habe ich da übersehen? Muss ich meinen IP-Range oder die Protokolle irgendwo noch erlauben, obwohl das ganze in einem virtuellen VPN-Adresspool stattfindet?

Da ich so ja auch nicht remote auf das Webinterface komme, ist die Fehlersuche mühsam...
Jemand nen Tip? Kann ja nix grosses sein, eigentlich. face-wink

VG
Buc

Content-Key: 515165

Url: https://administrator.de/contentid/515165

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 14.11.2019 um 21:42:27 Uhr
Goto Top
Was habe ich da übersehen? Muss ich meinen IP-Range oder die Protokolle irgendwo noch erlauben, obwohl das ganze in einem virtuellen VPN-Adresspool stattfindet?

Natürlich, ist doch kein Billig-router?

Aber wenn du nicht remote auf das Web-IF kommst, scheinst du mehr kaputt gemacht zu haben...

Wie kommst denn an die Sophos, so wie du hier die Fragen stellst?

VG
Mitglied: 141861
Lösung 141861 14.11.2019 aktualisiert um 21:45:45 Uhr
Goto Top
Moin,

standardgemäß darf nur das LAN Netz auf das Admin Webinterface der Sophos zugreifen.
Das heißt du musst das VPN Netz noch dort hinzufügen.

VG
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.11.2019 um 21:49:53 Uhr
Goto Top
Womit du absolut keine Ahnung beweist. Aber natürlich kann man das einschränken und hier ist ganz anderes das Problem
Mitglied: 141861
141861 14.11.2019 aktualisiert um 21:54:31 Uhr
Goto Top
Womit du absolut keine Ahnung beweist. Aber natürlich kann man das einschränken und hier ist ganz anderes das Problem

Das mit RDP habe ich übersehen, stimmt! Aber er hat leider auch sehr wenig Angaben gemacht.
Daher kann man hier leider auch nur raten!

Aber scheinbar kennst du ja die Lösung. Wieso postet du diese dann nicht? hm...
Oder geht es dir nur um Kundenfang und versuchst deshalb andere schlecht zu reden?!

Unterlass bitte daher dein Spam, wenn du nichts nützliches beizutragen hast. face-wink
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.11.2019 um 23:41:06 Uhr
Goto Top
Oder geht es dir nur um Kundenfang und versuchst deshalb andere schlecht zu reden?!

nö, ich kenne die Lösung nicht direkt, die Idee oben wurde ja schon eingebracht, aber ich bin hier auch nicht um andere Leute Arbeit für Lau zu machen, womit verdienst du dein Geld? face-wink Mit Sophos kann es ja nicht sein, sonst würdest du nicht im Subsystem empfehlen herum zu frickeln (was später einen kompletten Systemabbruch zur Folge haben kann - super bei einer Sicherheitsgerätschaft...)
Mitglied: 141861
141861 14.11.2019, aktualisiert am 15.11.2019 um 00:30:35 Uhr
Goto Top
Mit Sophos kann es ja nicht sein, sonst würdest du nicht im Subsystem empfehlen herum zu frickeln (was später einen kompletten Systemabbruch zur Folge haben kann - super bei einer Sicherheitsgerätschaft...)

So ganz kann ich dir nicht folgen. Die Einstellung unter Management > WebAdmin Settings > General | WebAdmin Access Configuration macht eigentlich nur eins: sie setzt eine iptable Regel. Mehr nicht. Und Standardgemäß ist da nur das LAN Netz drin. Das ist bei jeder Firewall so, die mir bekannt ist z.B. pfSense. Wäre ja auch sicherheitstechnisch blöd, wenn standardgemäß von jeden Interfaces das WebAdmin einer Firewall erreicht werden könnte. face-wink

Wenn nun also für das Remote Netz keine Firewall Regel gibt, dann kann logischerweise auch der Zugriff auf das Webinterface nicht klappen.

Wo ist da nun was von System frickelei? Und wie man mit dieser Option einen "Systemabbruch" herbeiführen kann ist mir auch ein Rätsel....Man kann sich mit dieser Option höchstens aussperren. Wäre ja auch wirklich fatal für ein Sicherheitsgerät, wenn durch eine Regel ein "Systemabbruch" herbeigeführt werden könnte.
Mitglied: the-buccaneer
the-buccaneer 15.11.2019 um 10:05:57 Uhr
Goto Top
Zitat von @141861:
Management > WebAdmin Settings > General | WebAdmin Access Configuration

Danke! Klingt vernünftig. face-wink Evtl. habe ich da was übersehen.

Lustig ist halt, dass die ICMP-Pakete durchgehen und auch die Antworten zurückkommen, andere Protokolle aber nicht. Mal sehen, was da für Regeln aktiv sind. Muss ich halt nochmal hinfahren.

@certifiedit.net: @141861: Nun hört auf zu streiten. Ja, hier war "qualifiziertes Raten" gefragt, denn wer mit der Sophos arbeitet, rät zielgerichteter. face-wink

@certifiedit.net: Wenn du den Eindruck hast, hier im Forum "andere(r) Leute Arbeit für Lau zu machen", solltest du evtl. mal ne Pause machen? Wenn solche Fragen hier nicht gestellt werden dürfen ist mir der Sinn des Forums nicht mehr klar. Ich sehe das hier eher als "Stammtisch" unter Kollegen. Ist doch alles freiwillig. Hilfe, die man nicht leisten mag, muss man ja nicht geben. face-wink Aber auch deine erste flapsige Antwort war schon nicht ganz unhilfreich, denn da wird es liegen... An die Sophos bin ich gekommen, wie die Jungfrau zum Kinde. Einmal im falschen Moment "Ja" gesagt. face-wink Wie du weisst, installiere ich PfSense, denn da finde ich die Einstellungen. face-wink

VG
Buc
Mitglied: 141861
Lösung 141861 15.11.2019 aktualisiert um 12:57:02 Uhr
Goto Top
Lustig ist halt, dass die ICMP-Pakete durchgehen und auch die Antworten zurückkommen, andere Protokolle aber nicht. Mal sehen, was da für Regeln aktiv sind. Muss ich halt nochmal hinfahren.

Beachte auch die folgenden Einstellungen:
https://community.sophos.com/kb/en-us/121415

Im WebAdmin gibt es bei den Firewall Regelwerk Einstellungen auch ein Live Log mit der man das ganz schnell testen kann, ob was geblockt wird oder nicht.

@certifiedit.net: @141861: Nun hört auf zu streiten. Ja, hier war "qualifiziertes Raten" gefragt, denn wer mit der Sophos arbeitet, rät zielgerichteter.

Als Streit würde ich das nicht bezeichnen. Wenn mich jemand unbegründet als Ahnungslos bezeichnet, dann würde ich gerne den Grund erfahren. Bin ja schließlich auch nicht perfekt und möchte gerne auch was dazulernen. Das ist ja schließlich der Sinn und Zweck des Forums. Schön wärs gewesen, hätte er direkt bei seiner Behauptung auch die Begründung geliefert, weil man hätte direkt sehen können, dass wir wohl beide aneinander vorbeigeredet haben. Dann hätte man die sinnlosen Beiträge mit den Sticheleien sparen können. Auch entsteht dadurch nur ein falscher Eindruck.
Mitglied: the-buccaneer
the-buccaneer 16.11.2019 um 01:11:19 Uhr
Goto Top
Lüppt nun. Habe mich halt vor Ort nochmal mit etwas mehr Ruhe hingesetzt und die Settings nochmal gecheckt.
WebAdmin für den VPN-Range freigegeben und das VPN-Netz (nochmal? Speichern vergessen???) freigegeben und dann lief das auch wie es soll.
Die Sophos ist ja ganz aufgeräumt und das Drag'n'Drop mit den usern und Netzwerken ist schon praktisch.

Aber dass der Ping etc. nochmal extra gesteuert wird... Hat ja was nützliches...

Aber was ich kaputt machen könnte, wenn ich den VPN-Range zur verwaltung hinzufüge ist mir auch nicht klar geworden...
Bei der PfSense ist's halt etwas anders, denn wenn man vergessen hat, den Traffic zu erlauben, gehen halt auch keine Pings durch. Das ist eindeutiger. Und in dem Moment, in dem ich Traffic aus dem VPN-Netz ins LAN erlaube, komme ich auch auf die Admin-Seite, wenn die Regel weit genug gefasst ist. face-wink

So long und:
"e mare libertas!"
Buc