Sophos UTM als VPN Gateway in einer Microsoft Domänenumgebung
Hallo,
nach langem Suchen habe ich mich nun entschlossen hier ein Thread aufzumachen, mit der Hoffnung evtl ein paar Tipps zu einer möglichen Lösung zu bekommen.
Es geht um folgendes Problem:
- Es soll eine Sophos UTM 9.3 als ein VPN Gateway eingerichtet werden (IPSec). Die Sophos Appliance soll in eine Microsoft Domänenumgebung (AD als Backend zur Benutzerauthentifizierung und Gruppenverwaltung) eingebunden werden. - Das konnte ich nach dem Durchlesen von entsprechenden Sophos Tutorials, bereits soweit einrichten.
- Die Aufgabe eines VPN Gateways wurde bisher durch eine Microsoft TMG Firewall übernommen, diese hat im vorhandenen DHCP Server - RAS IP Adressen reserviert und diese dann an die VPN-Clients vergeben. - An dem Punkt bin ich jetzt stehengeblieben.
Ich möchte die Sophos UTM so konfigurieren, dass die VPN Clients die IP Adressen vom DHCP Server zugewiesen bekommen, der in der aktuellen Testumgebung auf dem Windows Server 2012 installiert ist (DC). - Leider finde in der Sophos UTM keine Einstellung die es möglich machen würde. - Habe auch an verschiedenen Stellen gelesen, dass es gar nicht möglich sei einen "externen" DHCP Server festzulegen (zumindest bei IPSec nicht) - die Aussagen waren mir aber zu wage um das komplett auszuschließen.
Evtl. gehe ich bei diesem Punkt (mit meinem Halbwissen) auch den falschen Weg - d.h, soll hier vielleicht die Adressvergabe komplett durch die Sophos UTM übernommen werden? Würde mich an dieser Stelle auf jeden Fall auch um andere Lösungsvorschläge / Tipps freuen, evtl. mit Verweis auf "Best Practice" Lösungen zu diesem Thema.
Mit PPTP (was in diesem Fall aber keine Option ist) klappt es dagegen einwandfrei, dort erscheinen die Clients im DHCP Server. Auch bei L2TP over IPSec hätte man theoretisch einen externen DHCP Server definieren können (was bei reinem IPSec nicht machbar ist) dafür braucht man allerdings einen Radius Server bei dessen Einrichtung ich zwar Erfolg hatte, jedoch lassen sich dort die Gruppen nicht mehr so fein definieren wie es bei der AD Backend Authentifizierung der Fall wäre.
Nützliche Anleitungen / Tutorials zum Thema würden mir da schon weiterhelfen
Danke schon mal für jede Hilfe
nach langem Suchen habe ich mich nun entschlossen hier ein Thread aufzumachen, mit der Hoffnung evtl ein paar Tipps zu einer möglichen Lösung zu bekommen.
Es geht um folgendes Problem:
- Es soll eine Sophos UTM 9.3 als ein VPN Gateway eingerichtet werden (IPSec). Die Sophos Appliance soll in eine Microsoft Domänenumgebung (AD als Backend zur Benutzerauthentifizierung und Gruppenverwaltung) eingebunden werden. - Das konnte ich nach dem Durchlesen von entsprechenden Sophos Tutorials, bereits soweit einrichten.
- Die Aufgabe eines VPN Gateways wurde bisher durch eine Microsoft TMG Firewall übernommen, diese hat im vorhandenen DHCP Server - RAS IP Adressen reserviert und diese dann an die VPN-Clients vergeben. - An dem Punkt bin ich jetzt stehengeblieben.
Ich möchte die Sophos UTM so konfigurieren, dass die VPN Clients die IP Adressen vom DHCP Server zugewiesen bekommen, der in der aktuellen Testumgebung auf dem Windows Server 2012 installiert ist (DC). - Leider finde in der Sophos UTM keine Einstellung die es möglich machen würde. - Habe auch an verschiedenen Stellen gelesen, dass es gar nicht möglich sei einen "externen" DHCP Server festzulegen (zumindest bei IPSec nicht) - die Aussagen waren mir aber zu wage um das komplett auszuschließen.
Evtl. gehe ich bei diesem Punkt (mit meinem Halbwissen) auch den falschen Weg - d.h, soll hier vielleicht die Adressvergabe komplett durch die Sophos UTM übernommen werden? Würde mich an dieser Stelle auf jeden Fall auch um andere Lösungsvorschläge / Tipps freuen, evtl. mit Verweis auf "Best Practice" Lösungen zu diesem Thema.
Mit PPTP (was in diesem Fall aber keine Option ist) klappt es dagegen einwandfrei, dort erscheinen die Clients im DHCP Server. Auch bei L2TP over IPSec hätte man theoretisch einen externen DHCP Server definieren können (was bei reinem IPSec nicht machbar ist) dafür braucht man allerdings einen Radius Server bei dessen Einrichtung ich zwar Erfolg hatte, jedoch lassen sich dort die Gruppen nicht mehr so fein definieren wie es bei der AD Backend Authentifizierung der Fall wäre.
Nützliche Anleitungen / Tutorials zum Thema würden mir da schon weiterhelfen
Danke schon mal für jede Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296212
Url: https://administrator.de/forum/sophos-utm-als-vpn-gateway-in-einer-microsoft-domaenenumgebung-296212.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
6 Kommentare
Neuester Kommentar
Hi,
ich würde das dann einfach nicht den DHCP machen lassen, sondern die Sophos. Mache ich auch mit unserer Firewall so (ist keine Sophos).
Dazu nimmst du einfach ein bisher ungenutztes Netz und lässt es entsprechen in der Sophos routen bzw. mit den entsprechenden Regeln versehen.
Damit bleiben die Rechner von außen "draußen" vor und bekommen auch nicht den ganzen Broadcast des internen Netzes ab.
Und ich finde es sicherer.
Hoffe du kommst damit etwas weiter.
VG,
Deepsys
ich würde das dann einfach nicht den DHCP machen lassen, sondern die Sophos. Mache ich auch mit unserer Firewall so (ist keine Sophos).
Dazu nimmst du einfach ein bisher ungenutztes Netz und lässt es entsprechen in der Sophos routen bzw. mit den entsprechenden Regeln versehen.
Damit bleiben die Rechner von außen "draußen" vor und bekommen auch nicht den ganzen Broadcast des internen Netzes ab.
Und ich finde es sicherer.
Hoffe du kommst damit etwas weiter.
VG,
Deepsys
Hallo,
du hast die UTM schon ans AD angebunden? Wenn nicht, auch egal, da nicht wichtig für VPN-Verbindungen. Man muss dann halt nicht jeden Benutzer von Hand reinhämmern, sondern man hat sich eine Gruppe im AD gemacht und nutzt diese für die VPN-User.
Die Anleitung schon mal getestet? 1
Da steht alles drin, damit es relativ einfach geht. Kurz gesagt, UTM konfigurieren, im Benutzerportal die VPN-Software runterladen, auf den Clients installieren und der Drops ist gelutscht
Gruß
du hast die UTM schon ans AD angebunden? Wenn nicht, auch egal, da nicht wichtig für VPN-Verbindungen. Man muss dann halt nicht jeden Benutzer von Hand reinhämmern, sondern man hat sich eine Gruppe im AD gemacht und nutzt diese für die VPN-User.
Die Anleitung schon mal getestet? 1
Da steht alles drin, damit es relativ einfach geht. Kurz gesagt, UTM konfigurieren, im Benutzerportal die VPN-Software runterladen, auf den Clients installieren und der Drops ist gelutscht
Gruß
Zitat von @Mustermann1:
@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Ach so, das habe ich so nicht verstanden.@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Dann ist entweder das Routing schief, oder es gibt keine Regel die den Traffic erlaubt oder sogar blockt.
Probiere doch mal die Einwahl und schaue direkt in den Log, oder wenn es nicht direkt geht, was in der Zeit geloggt wird.