opc123
Goto Top

Sophos per VPN auf Fritzbox ?

Hallo,

irgendwie hab ich grad ein Denkfehler oder was funktioniert nicht.

Ich will gerade auf meine Fritzbox kommen aus der Ferne.

Ich bin per VPN mit meiner sophos verbunden, welcje hinter der Fritzbox sitzt.

Ich habe auch eine Firewallregel hinterlegt, dass ich mit dem VPN Pool auf die IP der Fritzbox darf, zum test als Any.

Ich denke hier hat er ein Routing Problem.
Die Sophos kennt die IP als Wan unf somit als Nat.
Daher kommen Geräte aus dem Heimnetz auch auf die Fritzbox.
Aber so kann die woh nichts mit anfangen??
Muas da ne Anfrageroute rein?

Content-ID: 599717

Url: https://administrator.de/contentid/599717

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

aqui
aqui 27.08.2020 aktualisiert um 19:24:13 Uhr
Goto Top
Ich denke hier hat er ein Routing Problem.
Ja ! Dein internes VPN IP Netz muss in der FritzBox als statische Route definieren mit der WAN IP der Sophos als next Hop. Anders kann die FB doch niemals die VPN Pakete richtig routen und nutzt ohne diese Route die Default Route zum Provider und dann ins Nirwana.
Kommt man aber auch mit etwas Nachdenken von selber drauf wenn man so ein Kaskaden Setup mit doppeltem NAT betreibt wie du ! face-wink
Ggf. musst du noch den Traffic freigeben dafür sofern du auch NAT machst an der FW. Mit doppeltem NAT ist das nicht ganz trivial.
Guckst du auch HIER.
Es hätte hier auch geholfen wenn du zumindest mal mitgeteilt hättest welches der zahllosen VPN Protokolle du benutzt. face-sad
Dilbert-MD
Dilbert-MD 27.08.2020 um 20:44:42 Uhr
Goto Top
Hallo,

wenn Du eine richtig konfigurierte Sophos hinter der Fritzbox betreibst, die auch Dein DHCP-Server in Deinem Netz zu hause ist, dann kannst Du an der Fritzbox einen LAN-Port als "Expoded Host" konfigurieren und an diesen LAN-Port werden alle "Anfragen" aus dem Internet durchgeleitet, auch Deine VPN-Verbindung zur Sophos.

Die Fritzbox nimmt aber weiterhin Deine Anrufe entgegen und arbeitet als Telefonanlage und DECT-Basisstation.
Das IP-Netz der FB darf nicht mit dem IP-netz der Sophos übereinstimmen.

An der Fritzbox kannst Du auch Deine "Gäste" anbinden, wenn Du das "Gastnetz" auf der Fritzbox eingerichtet hast. Dann geht Gast-LAN und Gast-WLAN. Die Gäste sind dann auch außerhalb Deiner Firewall und wer in Dein Netz rein will, muss nicht nur das Gastnetz der Fritte überwinden, sondern auch Deine Firewall.

Welchen VPN Zugang nutzt Du zur Sophos? Den SSL-VPN-Client?
Dann musst Du auch für die Gruppe der SSL-VPN-User eine Route zur Fritzbox (zur LAN-Adresse des exposed Host) eintragen.
Achte darauf, dass das LAN-Netz der Fritzbox nicht mit dem LAN-Netz der Sophos übereinstimmt und dass auch das Netz des entfernten Gerätes, dass sich mit VPN der Sophos verbindet, abweichend ist von der Fritzbox und von der Sophos.

Gruß
opc123
opc123 27.08.2020 aktualisiert um 21:02:24 Uhr
Goto Top
Äh deine antwort ist weit vorbei...
Ich will im vpn netz der sophos suf die fritzbox!!

Da brauch die fritzbox sicher keine route...

Ja die fritze ist exos...eingerichtet hat hiermit 0 zu tun.

Ssl sophs vpn

@ dibert

Als foch ne Route ok.
Die anderrn hosts hinter der firewall findem wohl durch die maskierung?
Normal kennt ja die sophos die fritzbox.
Daher wunderts mich
aqui
aqui 28.08.2020 aktualisiert um 09:09:28 Uhr
Goto Top
Die Route entfällt nur wenn die Sophos NAT (Address Translation) in dieser Kaskade macht. Durch das NAT der Sophos tauchen dann alle IP Pakete die irgendwie aus der Sophos kommen mit einer Absender IP aus dem FritzBox LAN Netz auf. Logisch, denn der WAN Port der Sophos hat ja eine FB IP. Idealerweise eine statische oder eine per Mac Adress Reservierung im DHCP der FB.
Im Falle von NAT entfällt dann jegliche Route. Klar, denn die FritzBox "sieht" ja durch das NAT und der übersetzten IP Adresse jeglichen internen Traffic aus der Sophos dann rein als "lokalen" FB LAN Traffic.

Anders sieht es aus wenn du die Sophos ohne NAT am WAN Port konfiguriert hast. Normal müsste sie in einer solchen Kaskade ja kein NAT machen und kann normal, transparent routen wie es HIER beschrieben ist.
In so einem Setup ohne NAT ist dann eine statische Route auf der FritzBox zwingend erforderlich.

Da du es bist dato leider nicht geschafft hast uns zu sagen ob du mit oder ohne NAT an der Sophos arbeitest ist eine zielführende Hilfe natürlich nicht ganz einfach ohne Gefahr zu laufen ins freie Raten abzugleiten...
Dilbert-MD
Dilbert-MD 28.08.2020 um 11:42:58 Uhr
Goto Top
Zitat von @opc123:

Ich will im vpn netz der sophos suf die fritzbox!!
Da brauch die fritzbox sicher keine route...

Richtig, ich schrieb ja auch "Route zur Fritzbox".

Du musst in der Sophos dem VPN User erlauben, dass er wieder zurück durch den WAN-Port auf die Fritzbox kommt.
route

Sollte das nicht klappen, weil ggf. ein Transfernetz dazwischenfunkt, dann muss sich der VPN-user per RDP auf einem PC im Netz der Sophos anmelden und darüber auf die Fritzbox zugreifen.
opc123
opc123 28.08.2020 um 16:04:35 Uhr
Goto Top
Die Maskierung, wie es bei Sophos heist ist ein Nat.
Ein Normales SNat aber das Nat selbst ist erst mal egal.

Ich habe einen eth Port, dieser hat eine Feste IP im Bereich der FB, deshalb müsste er es normal als hop finden.

Ich wollte aber aus der ferne nicht weiter testen.
opc123
opc123 28.08.2020 um 16:06:13 Uhr
Goto Top
So ähnlich habe ich es gemacht.
Halt nur mit eignen firewallregeln.
Eventuell müsste ich wirklich mal testen dort das wan rein zu machen.
Mom
opc123
opc123 28.08.2020 um 16:15:18 Uhr
Goto Top
Geht so auch nicht.

Aber nochmach, weshalb soll oder muss hier eine Route nötig sein?

Normal kennt die Sophos ja das Netzwerk.

Ich kann mir nur vorstellen, sobald das snat bzw maskierung draufnliegt macht aie im hintergrundbein transfer draus.
Das bedeutet route testen oder auch für vpn ein Nat?
aqui
Lösung aqui 28.08.2020 aktualisiert um 16:46:38 Uhr
Goto Top
Hätte man auch übersichtlich in einem statt in 3 Einzelthreads zusammenfassen können... face-sad
Aber nochmach, weshalb soll oder muss hier eine Route nötig sein?
Ist wie schon mehrfach gesagt nicht nötig wenn die Sophos NAT (IP Adress Translation) macht, was wir aber weiterhin nur raten können da du dazu keine Aussage machst.
Im VPN Tunnel sollte man niemals NAT machen, wäre ja auch sinnfrei.
opc123
opc123 28.08.2020 um 16:59:47 Uhr
Goto Top
Es gibt nur das Snat automatisch angelegt durch die sophos durch maskierung.

Dnat ist dort nicht angelegt.