mustermann1
Goto Top

Sophos UTM als VPN Gateway in einer Microsoft Domänenumgebung

Hallo,

nach langem Suchen habe ich mich nun entschlossen hier ein Thread aufzumachen, mit der Hoffnung evtl ein paar Tipps zu einer möglichen Lösung zu bekommen.

Es geht um folgendes Problem:

- Es soll eine Sophos UTM 9.3 als ein VPN Gateway eingerichtet werden (IPSec). Die Sophos Appliance soll in eine Microsoft Domänenumgebung (AD als Backend zur Benutzerauthentifizierung und Gruppenverwaltung) eingebunden werden. - Das konnte ich nach dem Durchlesen von entsprechenden Sophos Tutorials, bereits soweit einrichten.

- Die Aufgabe eines VPN Gateways wurde bisher durch eine Microsoft TMG Firewall übernommen, diese hat im vorhandenen DHCP Server - RAS IP Adressen reserviert und diese dann an die VPN-Clients vergeben. - An dem Punkt bin ich jetzt stehengeblieben.

Ich möchte die Sophos UTM so konfigurieren, dass die VPN Clients die IP Adressen vom DHCP Server zugewiesen bekommen, der in der aktuellen Testumgebung auf dem Windows Server 2012 installiert ist (DC). - Leider finde in der Sophos UTM keine Einstellung die es möglich machen würde. - Habe auch an verschiedenen Stellen gelesen, dass es gar nicht möglich sei einen "externen" DHCP Server festzulegen (zumindest bei IPSec nicht) - die Aussagen waren mir aber zu wage um das komplett auszuschließen.

Evtl. gehe ich bei diesem Punkt (mit meinem Halbwissen) auch den falschen Weg - d.h, soll hier vielleicht die Adressvergabe komplett durch die Sophos UTM übernommen werden? Würde mich an dieser Stelle auf jeden Fall auch um andere Lösungsvorschläge / Tipps freuen, evtl. mit Verweis auf "Best Practice" Lösungen zu diesem Thema.

Mit PPTP (was in diesem Fall aber keine Option ist) klappt es dagegen einwandfrei, dort erscheinen die Clients im DHCP Server. Auch bei L2TP over IPSec hätte man theoretisch einen externen DHCP Server definieren können (was bei reinem IPSec nicht machbar ist) dafür braucht man allerdings einen Radius Server bei dessen Einrichtung ich zwar Erfolg hatte, jedoch lassen sich dort die Gruppen nicht mehr so fein definieren wie es bei der AD Backend Authentifizierung der Fall wäre.

Nützliche Anleitungen / Tutorials zum Thema würden mir da schon weiterhelfen

Danke schon mal für jede Hilfe

Content-ID: 296212

Url: https://administrator.de/contentid/296212

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

Deepsys
Deepsys 14.02.2016 um 19:09:52 Uhr
Goto Top
Hi,

ich würde das dann einfach nicht den DHCP machen lassen, sondern die Sophos. Mache ich auch mit unserer Firewall so (ist keine Sophos).
Dazu nimmst du einfach ein bisher ungenutztes Netz und lässt es entsprechen in der Sophos routen bzw. mit den entsprechenden Regeln versehen.
Damit bleiben die Rechner von außen "draußen" vor und bekommen auch nicht den ganzen Broadcast des internen Netzes ab.
Und ich finde es sicherer.

Hoffe du kommst damit etwas weiter.

VG,
Deepsys
easyfisi
easyfisi 14.02.2016 um 21:08:10 Uhr
Goto Top
Hallo,

du hast die UTM schon ans AD angebunden? Wenn nicht, auch egal, da nicht wichtig für VPN-Verbindungen. face-smile Man muss dann halt nicht jeden Benutzer von Hand reinhämmern, sondern man hat sich eine Gruppe im AD gemacht und nutzt diese für die VPN-User.
Die Anleitung schon mal getestet? 1
Da steht alles drin, damit es relativ einfach geht. Kurz gesagt, UTM konfigurieren, im Benutzerportal die VPN-Software runterladen, auf den Clients installieren und der Drops ist gelutscht face-wink

Gruß
Mustermann1
Mustermann1 15.02.2016 aktualisiert um 23:30:59 Uhr
Goto Top
@Deepsys
Intern wird mit VLANs gearbeitet, von daher würde es natürlich ein bestimmtes VLAN geben wo die VPN Clients reingehen. Aber ich kann es mal so probieren.
Evtl liegt es tatsächlich an der Routeneinstellung?

@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Deepsys
Deepsys 16.02.2016 um 11:38:44 Uhr
Goto Top
Zitat von @Mustermann1:
@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Ach so, das habe ich so nicht verstanden.
Dann ist entweder das Routing schief, oder es gibt keine Regel die den Traffic erlaubt oder sogar blockt.

Probiere doch mal die Einwahl und schaue direkt in den Log, oder wenn es nicht direkt geht, was in der Zeit geloggt wird.
Mustermann1
Mustermann1 17.02.2016 aktualisiert um 17:15:30 Uhr
Goto Top
Ist es normal dass man die virtuellen Tunnel Interfaces nicht sieht?

Ich sehe dort halt nur eth0 und eth1

eth0 stellt das interne Netz dar und über eth1 wird die VPN Verbindung aufgebaut.

Somit weiss ich nichtmal wie ich dort entsprechende Routen setzen soll.
Habe für IPSec nun den vordefinierten IP Pool gesetzt und auch gesagt die Clients sollen Zugriff auf eben dieses Netz haben

Die Clients bekommen zwar eine IP Adresse aus dem Netz aber das wars auch. Welche IP Adresse hat in dem Falle dann die UTM aus der Sicht des VPN Clients? (Kann nichtmal ein Ping Test machen) Auch ein Ping von der UTM aus auf den Client schlägt fehl.

Irgendwie komm ich da nicht weiter.
Mustermann1
Mustermann1 21.02.2016 um 15:01:04 Uhr
Goto Top
@Deepsys
@easyfisi

Ich habe jetzt alles nochmal auf rein IPSec eingestellt.
Alle Clients beziehen nun eine IP aus dem Default IPSec Pool.

d.h. 10.242.4.0 - Habe zusätzlich IP Masquerading von dem IPSec Pool in das Interne 192.168.0.0 Netz eingestellt.

Nun kann ich Hosts im Internen Netz aus dem IPSec Netz anpingen. - Bin mir aber nicht so sicher ob das der richtige Weg ist. - Es funktioniert zwar irgendwie aber ist es auch die "saubere" Lösung?

Weiterhin habe ich das Problem, dass die VPN Clients zwar die richtigen DNS Einstellungen gepusht bekommen aber kein Standardgateway. Die DNS Einstellungen habe ich in der UTM hinterlegen können