Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sophos XG - Open VPN (SSL) Remote für mehrere User bzw. Gruppen

Mitglied: yamaha0815

yamaha0815 (Level 1) - Jetzt verbinden

22.05.2020 um 09:10 Uhr, 217 Aufrufe, 3 Kommentare

Ich habe folgende Frage, auf die ich bisher keine Antwort gefunden habe, auch nach dem Suchen bei Tante Google und hier im Forum. Vielleicht bin ich auch zu doof. Egal...

Ich habe folgendes Szenario
Es gibt in meinem Szenario mehrere Netze, welche über VLANs ausgeführt sind.
VLAN 1 default 192.168.x.0/24
VLAN 10 Work 10.0.x1.0/24
VLAN 20 Guest 10.0.x2.0/24
VLAN 30 VoIP 10.0.x3.0/24

VLAN 101 Kundennetz A 10.0.y1.0/24
Die Kundennetze gehen nun von VLAN 101 - 114

SSL VPN auf der Sophos ist eingerichtet und funktioniert. Ich komme ohne Probleme auf das Hauptnetz VLAN 1 und von dort dann in alle anderen Netze. So soll das auch sein.

Jetzt die eigentliche Frage.
Wie baue ich einen VPN Tunnel, welcher sich dediziert für jedes Netz nur in dieses sich einklinkt. Ich denke das funktioniert über eine NAT Regel, nur wie?
Auf der pfSense kann ich ja mehrere VPN Server bauen und damit jedem VPN Server auch ein Zielnetz mitgeben.
Bei der Sophos XG geht das anscheinend nicht und ich bin habe eben dann auch nur ein und dasselbe Tunnelnetz, z.B. 10.0.z.t mit den Adressen T = 1 - 9.
Für den Tunnel gilt also Einwahl auf 10.0.z... und der DHCP dort vergibt eine Adresse von 2 bis 9. 1 wäre ja durch das Interface belegt. Soweit korrekt?

Da ich nun nicht weiß welche IP aus dem Tunnelpool der jeweilige Client bekommt steh ich nun ein wenig auf dem Schlauch.

Also wie bekomme ich es hin, dass Peter Müller am Ende nur auf sein VLAN 108 zugreifen kann und Hans Dampf nur auf sein VLAN 102.

Bin echt auf die Lösung gespannt. Wird sicher nichts wildes sein. Danke im voraus.
Mitglied: ukulele-7
22.05.2020 um 13:40 Uhr
Ich nutze VPN auf einer SG, keine XG. Dort kann man sowohl die Gruppe aller VPN-User, einen einzelnen VPN-User als auch VPN-Pool-Netzwerke als Objekte in der Firewall nutzen. Also würde ich mit der Firewall unabhängig vom Routing den Zugriff eines Users auf ein VLAN erlauben.

Mit NAT hat das ganze erstmal nichts zu tun. Jeder User kann über seinen VPN in alle an der Sophos angeschlossenen Netze geroutet werden sofern er den darf.
Bitte warten ..
Mitglied: aqui
22.05.2020, aktualisiert um 13:44 Uhr
Ich denke das funktioniert über eine NAT Regel, nur wie?
Nein, das ist völliger Quatsch, denn du machst ja kein NAT innerhalb des VPNs. Damit killst du dir auch dein Routing über die Netze. Vergiss das.
Auch mehrere OVPN Prozesse zu starten ist aus Performance Sicht kontraproduktiv. Es gibt 2 sinnvolle Ansätze das zu lösen:
1.)
Alle IP Netze mit Push und Routing zu propagieren und zentral auf der Firewall mit Firewall Regeln abzublocken. Das wäre das Einfachste und ist schnell umzusetzen.
2.)
Du nimmst Client spezifische Konfigs auf dem Server anhand des Common Names des Clients
Hier konfigurierst du dann nur die spezifischen Push und Route Kommandos die nur für den entsprechenden Client gelten. Etwas aufwendiger von der Konfig erspart dir aber ein dediziertes Regelwerk.
Diese Konfig kannst du hier sehen:
https://administrator.de/content/detail.php?id=530283&token=984#comm ...

Beide Konfigs sind gleich sicher und führen zum Ziel.
Bitte warten ..
Mitglied: yamaha0815
26.05.2020, aktualisiert um 17:45 Uhr
OK... bei einer pfSense geht das über das NAT. Bei der Sophos geht es ein weniger anders, wenn man es weiß ist es aber nicht schwer. Wie immer. ;)

Ich habe das nun wie folgt gelöst... dennoch danke an die Antwortenden.

Dreh und Angelpunkt ist die VPN Policy, welche man unter configure/vpn -> SSL VPN anlegt. Hier gibt man quasi mit, welche Nutzergruppe auf welches interne Netzwerk zugreifen darf.
Ist im Prinzip das was @ukulele-7 beschrieben hat.

Wenn man nun entsprechende Nutzergruppen anlegt und dort seine zugehörigen Nutzer zuweist und unter hosts and services/IP host die entsprechende (Sub)Netzwerke definiert hat man schon gewonnen. Es fehlt dann nur noch die entsprechende Regel unter protect/firewall und gut ist. Der Eintrag in der Firewall stellt quasi die Weiche in das richtige Netz und blockiert alles andere, sofern man die Regel richtig gesetzt hat und das restliche Regelwerk stimmt.

Hat mich zwar jetzt 3 Tage Recherche gekostet, allerdings bin ich wieder um einen Wissensknoten reicher.

Achso... hier die Anleitung mit deren Hilfe ich darauf gekommen bin. Wenn man sich den Gang ansieht, dann versteht man hoffentlich was ich geschrieben habe.
https://community.sophos.com/kb/en-us/122769

Danke nochmals für gedankliche Anstöße.
Bitte warten ..
Ähnliche Inhalte
Windows Tools
Suche Sophos Open VPN SSL Client
Frage von 131455Windows Tools7 Kommentare

Hallo , suche wie verrückt den Sophos VPN SSL Client. Ueberall ur Anleitung , In die Sophos Firewall anmelden ...

Router & Routing
VPN mit Fritzbox und Sophos XG 105
gelöst Frage von Gawo89Router & Routing15 Kommentare

Hallo zusammen, ich hätte da eine Frage bezüglich der richtigen Konfiguration der Routen in der Fritzbox bzw. in der ...

Router & Routing
Sophos XG Lancom Site to Site VPN
Frage von webser85Router & Routing16 Kommentare

Hallo zusammen, ich habe seit geraumer Zeit eine Sophos XG im Einsatz. an drei Außenenstandorten befinden sich Lancom 1783 ...

Firewall
Verwaltung von mehren Sophos XG
Frage von chnie123Firewall

Hallo Zusammen, es gibt ja mehrere Möglichkeiten eine Sophos XG zentral zu verwalten. Ich bin zur Zeit auf der ...

Neue Wissensbeiträge
Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 8 StundenDatenschutz

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 2 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 3 TagenOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 4 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Heiß diskutierte Inhalte
Netzwerke
Erfahrungen mit Huawei-Switchen
Frage von Der-PhilNetzwerke27 Kommentare

Hallo! Einer meiner Partner hat mir gerade wärmstens die Campus-Access-Switche von Huawei ans Herz gelegt - im Speziellen die ...

LAN, WAN, Wireless
AVM WLan Mesh und,mit Powerline von Fremdanbieter
gelöst Frage von AximandLAN, WAN, Wireless22 Kommentare

Moin zusammen, hat jemand Erfahrung damit ein existierendes Mesh-WLAN mit Hilfe eines fremden Powerline-Adapters zu vergrößern indem der AccessPoint ...

Windows 10
Bekannter hat auf Mal folgende Windows Meldung beim hochfahren.Wir müssen das Kennwort für ihr Microsoft Konto bestätigen
Frage von martink1Windows 1021 Kommentare

Siehe anhängendes Bild. Egal was eingegeben wird , es geht irgendwie nicht weiter . Man kommt auch aus diesen ...

Windows Userverwaltung
Firmenrechner Datensicherheit im Homeoffice
gelöst Frage von iago111Windows Userverwaltung16 Kommentare

Hallo, ich arbeite derzeit vom Homeoffice aus mit einem DELL AllinOne Computer (windows10) von der Arbeit. Zwar muss ich ...