6
Sophos UTM als VPN Gateway in einer Microsoft Domänenumgebung
Hallo,
nach langem Suchen habe ich mich nun entschlossen hier ein Thread aufzumachen, mit der Hoffnung evtl ein paar Tipps zu einer möglichen Lösung zu bekommen.
Es geht um folgendes Problem:
- Es soll eine Sophos UTM 9.3 als ein VPN Gateway eingerichtet werden (IPSec). Die Sophos Appliance soll in eine Microsoft Domänenumgebung (AD als Backend zur Benutzerauthentifizierung und Gruppenverwaltung) eingebunden werden. - Das konnte ich nach dem Durchlesen von entsprechenden Sophos Tutorials, bereits soweit einrichten.
- Die Aufgabe eines VPN Gateways wurde bisher durch eine Microsoft TMG Firewall übernommen, diese hat im vorhandenen DHCP Server - RAS IP Adressen reserviert und diese dann an die VPN-Clients vergeben. - An dem Punkt bin ich jetzt stehengeblieben.
Ich möchte die Sophos UTM so konfigurieren, dass die VPN Clients die IP Adressen vom DHCP Server zugewiesen bekommen, der in der aktuellen Testumgebung auf dem Windows Server 2012 installiert ist (DC). - Leider finde in der Sophos UTM keine Einstellung die es möglich machen würde. - Habe auch an verschiedenen Stellen gelesen, dass es gar nicht möglich sei einen "externen" DHCP Server festzulegen (zumindest bei IPSec nicht) - die Aussagen waren mir aber zu wage um das komplett auszuschließen.
Evtl. gehe ich bei diesem Punkt (mit meinem Halbwissen) auch den falschen Weg - d.h, soll hier vielleicht die Adressvergabe komplett durch die Sophos UTM übernommen werden? Würde mich an dieser Stelle auf jeden Fall auch um andere Lösungsvorschläge / Tipps freuen, evtl. mit Verweis auf "Best Practice" Lösungen zu diesem Thema.
Mit PPTP (was in diesem Fall aber keine Option ist) klappt es dagegen einwandfrei, dort erscheinen die Clients im DHCP Server. Auch bei L2TP over IPSec hätte man theoretisch einen externen DHCP Server definieren können (was bei reinem IPSec nicht machbar ist) dafür braucht man allerdings einen Radius Server bei dessen Einrichtung ich zwar Erfolg hatte, jedoch lassen sich dort die Gruppen nicht mehr so fein definieren wie es bei der AD Backend Authentifizierung der Fall wäre.
Nützliche Anleitungen / Tutorials zum Thema würden mir da schon weiterhelfen
Danke schon mal für jede Hilfe
nach langem Suchen habe ich mich nun entschlossen hier ein Thread aufzumachen, mit der Hoffnung evtl ein paar Tipps zu einer möglichen Lösung zu bekommen.
Es geht um folgendes Problem:
- Es soll eine Sophos UTM 9.3 als ein VPN Gateway eingerichtet werden (IPSec). Die Sophos Appliance soll in eine Microsoft Domänenumgebung (AD als Backend zur Benutzerauthentifizierung und Gruppenverwaltung) eingebunden werden. - Das konnte ich nach dem Durchlesen von entsprechenden Sophos Tutorials, bereits soweit einrichten.
- Die Aufgabe eines VPN Gateways wurde bisher durch eine Microsoft TMG Firewall übernommen, diese hat im vorhandenen DHCP Server - RAS IP Adressen reserviert und diese dann an die VPN-Clients vergeben. - An dem Punkt bin ich jetzt stehengeblieben.
Ich möchte die Sophos UTM so konfigurieren, dass die VPN Clients die IP Adressen vom DHCP Server zugewiesen bekommen, der in der aktuellen Testumgebung auf dem Windows Server 2012 installiert ist (DC). - Leider finde in der Sophos UTM keine Einstellung die es möglich machen würde. - Habe auch an verschiedenen Stellen gelesen, dass es gar nicht möglich sei einen "externen" DHCP Server festzulegen (zumindest bei IPSec nicht) - die Aussagen waren mir aber zu wage um das komplett auszuschließen.
Evtl. gehe ich bei diesem Punkt (mit meinem Halbwissen) auch den falschen Weg - d.h, soll hier vielleicht die Adressvergabe komplett durch die Sophos UTM übernommen werden? Würde mich an dieser Stelle auf jeden Fall auch um andere Lösungsvorschläge / Tipps freuen, evtl. mit Verweis auf "Best Practice" Lösungen zu diesem Thema.
Mit PPTP (was in diesem Fall aber keine Option ist) klappt es dagegen einwandfrei, dort erscheinen die Clients im DHCP Server. Auch bei L2TP over IPSec hätte man theoretisch einen externen DHCP Server definieren können (was bei reinem IPSec nicht machbar ist) dafür braucht man allerdings einen Radius Server bei dessen Einrichtung ich zwar Erfolg hatte, jedoch lassen sich dort die Gruppen nicht mehr so fein definieren wie es bei der AD Backend Authentifizierung der Fall wäre.
Nützliche Anleitungen / Tutorials zum Thema würden mir da schon weiterhelfen
Danke schon mal für jede Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296212
Url: https://administrator.de/contentid/296212
Printed on: April 23, 2024 at 21:04 o'clock
6 Comments
Latest comment
Hi,
ich würde das dann einfach nicht den DHCP machen lassen, sondern die Sophos. Mache ich auch mit unserer Firewall so (ist keine Sophos).
Dazu nimmst du einfach ein bisher ungenutztes Netz und lässt es entsprechen in der Sophos routen bzw. mit den entsprechenden Regeln versehen.
Damit bleiben die Rechner von außen "draußen" vor und bekommen auch nicht den ganzen Broadcast des internen Netzes ab.
Und ich finde es sicherer.
Hoffe du kommst damit etwas weiter.
VG,
Deepsys
ich würde das dann einfach nicht den DHCP machen lassen, sondern die Sophos. Mache ich auch mit unserer Firewall so (ist keine Sophos).
Dazu nimmst du einfach ein bisher ungenutztes Netz und lässt es entsprechen in der Sophos routen bzw. mit den entsprechenden Regeln versehen.
Damit bleiben die Rechner von außen "draußen" vor und bekommen auch nicht den ganzen Broadcast des internen Netzes ab.
Und ich finde es sicherer.
Hoffe du kommst damit etwas weiter.
VG,
Deepsys
Hallo,
du hast die UTM schon ans AD angebunden? Wenn nicht, auch egal, da nicht wichtig für VPN-Verbindungen.
Man muss dann halt nicht jeden Benutzer von Hand reinhämmern, sondern man hat sich eine Gruppe im AD gemacht und nutzt diese für die VPN-User.
Die Anleitung schon mal getestet? 1
Da steht alles drin, damit es relativ einfach geht. Kurz gesagt, UTM konfigurieren, im Benutzerportal die VPN-Software runterladen, auf den Clients installieren und der Drops ist gelutscht
Gruß
du hast die UTM schon ans AD angebunden? Wenn nicht, auch egal, da nicht wichtig für VPN-Verbindungen.
Man muss dann halt nicht jeden Benutzer von Hand reinhämmern, sondern man hat sich eine Gruppe im AD gemacht und nutzt diese für die VPN-User.Die Anleitung schon mal getestet? 1
Da steht alles drin, damit es relativ einfach geht. Kurz gesagt, UTM konfigurieren, im Benutzerportal die VPN-Software runterladen, auf den Clients installieren und der Drops ist gelutscht
Gruß
@Deepsys
Intern wird mit VLANs gearbeitet, von daher würde es natürlich ein bestimmtes VLAN geben wo die VPN Clients reingehen. Aber ich kann es mal so probieren.
Evtl liegt es tatsächlich an der Routeneinstellung?
@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Intern wird mit VLANs gearbeitet, von daher würde es natürlich ein bestimmtes VLAN geben wo die VPN Clients reingehen. Aber ich kann es mal so probieren.
Evtl liegt es tatsächlich an der Routeneinstellung?
@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Zitat von @Mustermann1:
@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Ach so, das habe ich so nicht verstanden.@easyfisi
Genau so gemacht, das Problem ist eben dass ich nicht in das Interne Netz (Im Testsystem halt 192.168.0.0 / VPN Pool auf Sophos 10.x.x.x...) reinkomme wenn die einstellungen von Sophos verwaltet werden.
Dann ist entweder das Routing schief, oder es gibt keine Regel die den Traffic erlaubt oder sogar blockt.
Probiere doch mal die Einwahl und schaue direkt in den Log, oder wenn es nicht direkt geht, was in der Zeit geloggt wird.
Ist es normal dass man die virtuellen Tunnel Interfaces nicht sieht?
Ich sehe dort halt nur eth0 und eth1
eth0 stellt das interne Netz dar und über eth1 wird die VPN Verbindung aufgebaut.
Somit weiss ich nichtmal wie ich dort entsprechende Routen setzen soll.
Habe für IPSec nun den vordefinierten IP Pool gesetzt und auch gesagt die Clients sollen Zugriff auf eben dieses Netz haben
Die Clients bekommen zwar eine IP Adresse aus dem Netz aber das wars auch. Welche IP Adresse hat in dem Falle dann die UTM aus der Sicht des VPN Clients? (Kann nichtmal ein Ping Test machen) Auch ein Ping von der UTM aus auf den Client schlägt fehl.
Irgendwie komm ich da nicht weiter.
Ich sehe dort halt nur eth0 und eth1
eth0 stellt das interne Netz dar und über eth1 wird die VPN Verbindung aufgebaut.
Somit weiss ich nichtmal wie ich dort entsprechende Routen setzen soll.
Habe für IPSec nun den vordefinierten IP Pool gesetzt und auch gesagt die Clients sollen Zugriff auf eben dieses Netz haben
Die Clients bekommen zwar eine IP Adresse aus dem Netz aber das wars auch. Welche IP Adresse hat in dem Falle dann die UTM aus der Sicht des VPN Clients? (Kann nichtmal ein Ping Test machen) Auch ein Ping von der UTM aus auf den Client schlägt fehl.
Irgendwie komm ich da nicht weiter.
@Deepsys
@easyfisi
Ich habe jetzt alles nochmal auf rein IPSec eingestellt.
Alle Clients beziehen nun eine IP aus dem Default IPSec Pool.
d.h. 10.242.4.0 - Habe zusätzlich IP Masquerading von dem IPSec Pool in das Interne 192.168.0.0 Netz eingestellt.
Nun kann ich Hosts im Internen Netz aus dem IPSec Netz anpingen. - Bin mir aber nicht so sicher ob das der richtige Weg ist. - Es funktioniert zwar irgendwie aber ist es auch die "saubere" Lösung?
Weiterhin habe ich das Problem, dass die VPN Clients zwar die richtigen DNS Einstellungen gepusht bekommen aber kein Standardgateway. Die DNS Einstellungen habe ich in der UTM hinterlegen können
@easyfisi
Ich habe jetzt alles nochmal auf rein IPSec eingestellt.
Alle Clients beziehen nun eine IP aus dem Default IPSec Pool.
d.h. 10.242.4.0 - Habe zusätzlich IP Masquerading von dem IPSec Pool in das Interne 192.168.0.0 Netz eingestellt.
Nun kann ich Hosts im Internen Netz aus dem IPSec Netz anpingen. - Bin mir aber nicht so sicher ob das der richtige Weg ist. - Es funktioniert zwar irgendwie aber ist es auch die "saubere" Lösung?
Weiterhin habe ich das Problem, dass die VPN Clients zwar die richtigen DNS Einstellungen gepusht bekommen aber kein Standardgateway. Die DNS Einstellungen habe ich in der UTM hinterlegen können
