10
Sophos per VPN auf Fritzbox ?
Hallo,
irgendwie hab ich grad ein Denkfehler oder was funktioniert nicht.
Ich will gerade auf meine Fritzbox kommen aus der Ferne.
Ich bin per VPN mit meiner sophos verbunden, welcje hinter der Fritzbox sitzt.
Ich habe auch eine Firewallregel hinterlegt, dass ich mit dem VPN Pool auf die IP der Fritzbox darf, zum test als Any.
Ich denke hier hat er ein Routing Problem.
Die Sophos kennt die IP als Wan unf somit als Nat.
Daher kommen Geräte aus dem Heimnetz auch auf die Fritzbox.
Aber so kann die woh nichts mit anfangen??
Muas da ne Anfrageroute rein?
irgendwie hab ich grad ein Denkfehler oder was funktioniert nicht.
Ich will gerade auf meine Fritzbox kommen aus der Ferne.
Ich bin per VPN mit meiner sophos verbunden, welcje hinter der Fritzbox sitzt.
Ich habe auch eine Firewallregel hinterlegt, dass ich mit dem VPN Pool auf die IP der Fritzbox darf, zum test als Any.
Ich denke hier hat er ein Routing Problem.
Die Sophos kennt die IP als Wan unf somit als Nat.
Daher kommen Geräte aus dem Heimnetz auch auf die Fritzbox.
Aber so kann die woh nichts mit anfangen??
Muas da ne Anfrageroute rein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 599717
Url: https://administrator.de/contentid/599717
Printed on: April 26, 2024 at 14:04 o'clock
10 Comments
Latest comment
Ich denke hier hat er ein Routing Problem.
Ja ! Dein internes VPN IP Netz muss in der FritzBox als statische Route definieren mit der WAN IP der Sophos als next Hop. Anders kann die FB doch niemals die VPN Pakete richtig routen und nutzt ohne diese Route die Default Route zum Provider und dann ins Nirwana.Kommt man aber auch mit etwas Nachdenken von selber drauf wenn man so ein Kaskaden Setup mit doppeltem NAT betreibt wie du !
Ggf. musst du noch den Traffic freigeben dafür sofern du auch NAT machst an der FW. Mit doppeltem NAT ist das nicht ganz trivial.
Guckst du auch HIER.
Es hätte hier auch geholfen wenn du zumindest mal mitgeteilt hättest welches der zahllosen VPN Protokolle du benutzt.
Hallo,
wenn Du eine richtig konfigurierte Sophos hinter der Fritzbox betreibst, die auch Dein DHCP-Server in Deinem Netz zu hause ist, dann kannst Du an der Fritzbox einen LAN-Port als "Expoded Host" konfigurieren und an diesen LAN-Port werden alle "Anfragen" aus dem Internet durchgeleitet, auch Deine VPN-Verbindung zur Sophos.
Die Fritzbox nimmt aber weiterhin Deine Anrufe entgegen und arbeitet als Telefonanlage und DECT-Basisstation.
Das IP-Netz der FB darf nicht mit dem IP-netz der Sophos übereinstimmen.
An der Fritzbox kannst Du auch Deine "Gäste" anbinden, wenn Du das "Gastnetz" auf der Fritzbox eingerichtet hast. Dann geht Gast-LAN und Gast-WLAN. Die Gäste sind dann auch außerhalb Deiner Firewall und wer in Dein Netz rein will, muss nicht nur das Gastnetz der Fritte überwinden, sondern auch Deine Firewall.
Welchen VPN Zugang nutzt Du zur Sophos? Den SSL-VPN-Client?
Dann musst Du auch für die Gruppe der SSL-VPN-User eine Route zur Fritzbox (zur LAN-Adresse des exposed Host) eintragen.
Achte darauf, dass das LAN-Netz der Fritzbox nicht mit dem LAN-Netz der Sophos übereinstimmt und dass auch das Netz des entfernten Gerätes, dass sich mit VPN der Sophos verbindet, abweichend ist von der Fritzbox und von der Sophos.
Gruß
wenn Du eine richtig konfigurierte Sophos hinter der Fritzbox betreibst, die auch Dein DHCP-Server in Deinem Netz zu hause ist, dann kannst Du an der Fritzbox einen LAN-Port als "Expoded Host" konfigurieren und an diesen LAN-Port werden alle "Anfragen" aus dem Internet durchgeleitet, auch Deine VPN-Verbindung zur Sophos.
Die Fritzbox nimmt aber weiterhin Deine Anrufe entgegen und arbeitet als Telefonanlage und DECT-Basisstation.
Das IP-Netz der FB darf nicht mit dem IP-netz der Sophos übereinstimmen.
An der Fritzbox kannst Du auch Deine "Gäste" anbinden, wenn Du das "Gastnetz" auf der Fritzbox eingerichtet hast. Dann geht Gast-LAN und Gast-WLAN. Die Gäste sind dann auch außerhalb Deiner Firewall und wer in Dein Netz rein will, muss nicht nur das Gastnetz der Fritte überwinden, sondern auch Deine Firewall.
Welchen VPN Zugang nutzt Du zur Sophos? Den SSL-VPN-Client?
Dann musst Du auch für die Gruppe der SSL-VPN-User eine Route zur Fritzbox (zur LAN-Adresse des exposed Host) eintragen.
Achte darauf, dass das LAN-Netz der Fritzbox nicht mit dem LAN-Netz der Sophos übereinstimmt und dass auch das Netz des entfernten Gerätes, dass sich mit VPN der Sophos verbindet, abweichend ist von der Fritzbox und von der Sophos.
Gruß
Äh deine antwort ist weit vorbei...
Ich will im vpn netz der sophos suf die fritzbox!!
Da brauch die fritzbox sicher keine route...
Ja die fritze ist exos...eingerichtet hat hiermit 0 zu tun.
Ssl sophs vpn
@ dibert
Als foch ne Route ok.
Die anderrn hosts hinter der firewall findem wohl durch die maskierung?
Normal kennt ja die sophos die fritzbox.
Daher wunderts mich
Ich will im vpn netz der sophos suf die fritzbox!!
Da brauch die fritzbox sicher keine route...
Ja die fritze ist exos...eingerichtet hat hiermit 0 zu tun.
Ssl sophs vpn
@ dibert
Als foch ne Route ok.
Die anderrn hosts hinter der firewall findem wohl durch die maskierung?
Normal kennt ja die sophos die fritzbox.
Daher wunderts mich
Die Route entfällt nur wenn die Sophos NAT (Address Translation) in dieser Kaskade macht. Durch das NAT der Sophos tauchen dann alle IP Pakete die irgendwie aus der Sophos kommen mit einer Absender IP aus dem FritzBox LAN Netz auf. Logisch, denn der WAN Port der Sophos hat ja eine FB IP. Idealerweise eine statische oder eine per Mac Adress Reservierung im DHCP der FB.
Im Falle von NAT entfällt dann jegliche Route. Klar, denn die FritzBox "sieht" ja durch das NAT und der übersetzten IP Adresse jeglichen internen Traffic aus der Sophos dann rein als "lokalen" FB LAN Traffic.
Anders sieht es aus wenn du die Sophos ohne NAT am WAN Port konfiguriert hast. Normal müsste sie in einer solchen Kaskade ja kein NAT machen und kann normal, transparent routen wie es HIER beschrieben ist.
In so einem Setup ohne NAT ist dann eine statische Route auf der FritzBox zwingend erforderlich.
Da du es bist dato leider nicht geschafft hast uns zu sagen ob du mit oder ohne NAT an der Sophos arbeitest ist eine zielführende Hilfe natürlich nicht ganz einfach ohne Gefahr zu laufen ins freie Raten abzugleiten...
Im Falle von NAT entfällt dann jegliche Route. Klar, denn die FritzBox "sieht" ja durch das NAT und der übersetzten IP Adresse jeglichen internen Traffic aus der Sophos dann rein als "lokalen" FB LAN Traffic.
Anders sieht es aus wenn du die Sophos ohne NAT am WAN Port konfiguriert hast. Normal müsste sie in einer solchen Kaskade ja kein NAT machen und kann normal, transparent routen wie es HIER beschrieben ist.
In so einem Setup ohne NAT ist dann eine statische Route auf der FritzBox zwingend erforderlich.
Da du es bist dato leider nicht geschafft hast uns zu sagen ob du mit oder ohne NAT an der Sophos arbeitest ist eine zielführende Hilfe natürlich nicht ganz einfach ohne Gefahr zu laufen ins freie Raten abzugleiten...
Zitat von @opc123:
Ich will im vpn netz der sophos suf die fritzbox!!
Da brauch die fritzbox sicher keine route...
Ich will im vpn netz der sophos suf die fritzbox!!
Da brauch die fritzbox sicher keine route...
Richtig, ich schrieb ja auch "Route zur Fritzbox".
Du musst in der Sophos dem VPN User erlauben, dass er wieder zurück durch den WAN-Port auf die Fritzbox kommt.
Sollte das nicht klappen, weil ggf. ein Transfernetz dazwischenfunkt, dann muss sich der VPN-user per RDP auf einem PC im Netz der Sophos anmelden und darüber auf die Fritzbox zugreifen.
Die Maskierung, wie es bei Sophos heist ist ein Nat.
Ein Normales SNat aber das Nat selbst ist erst mal egal.
Ich habe einen eth Port, dieser hat eine Feste IP im Bereich der FB, deshalb müsste er es normal als hop finden.
Ich wollte aber aus der ferne nicht weiter testen.
Ein Normales SNat aber das Nat selbst ist erst mal egal.
Ich habe einen eth Port, dieser hat eine Feste IP im Bereich der FB, deshalb müsste er es normal als hop finden.
Ich wollte aber aus der ferne nicht weiter testen.
So ähnlich habe ich es gemacht.
Halt nur mit eignen firewallregeln.
Eventuell müsste ich wirklich mal testen dort das wan rein zu machen.
Mom
Halt nur mit eignen firewallregeln.
Eventuell müsste ich wirklich mal testen dort das wan rein zu machen.
Mom
Geht so auch nicht.
Aber nochmach, weshalb soll oder muss hier eine Route nötig sein?
Normal kennt die Sophos ja das Netzwerk.
Ich kann mir nur vorstellen, sobald das snat bzw maskierung draufnliegt macht aie im hintergrundbein transfer draus.
Das bedeutet route testen oder auch für vpn ein Nat?
Aber nochmach, weshalb soll oder muss hier eine Route nötig sein?
Normal kennt die Sophos ja das Netzwerk.
Ich kann mir nur vorstellen, sobald das snat bzw maskierung draufnliegt macht aie im hintergrundbein transfer draus.
Das bedeutet route testen oder auch für vpn ein Nat?
Hätte man auch übersichtlich in einem statt in 3 Einzelthreads zusammenfassen können...
Im VPN Tunnel sollte man niemals NAT machen, wäre ja auch sinnfrei.
Aber nochmach, weshalb soll oder muss hier eine Route nötig sein?
Ist wie schon mehrfach gesagt nicht nötig wenn die Sophos NAT (IP Adress Translation) macht, was wir aber weiterhin nur raten können da du dazu keine Aussage machst.Im VPN Tunnel sollte man niemals NAT machen, wäre ja auch sinnfrei.
Es gibt nur das Snat automatisch angelegt durch die sophos durch maskierung.
Dnat ist dort nicht angelegt.
Dnat ist dort nicht angelegt.