4
Sophos VPN kein "Routing"
Hallo zusammen,
ich habe ein komisches Verhalten bei manchen VPN-Verbindungen über einen NCP-VPN Client zu einer Sophos SG UTM. Ich habe noch nicht mit Sophos "gesprochen", will erstmal sehen, ob hier jemand eine Idee dazu hat.
Folgendes Problem stellt sich mir.
Ein Benutzer (sind immer wieder unterschiedliche) wählt sich per VPN (IPsec) mit einem NCP-Client in unser Netzwerk ein. Der Windows Client erhält von der Sophos eine IP-Adresse und ist auch in der Verwaltungskonsole innerhalb der UTM zu sehen. Das Problem ist aber, dass der Windows Client auf keine Ressourcen innerhalb des Netzwerks zugreifen kann. Es funktioniert kein PING, DNS, nichts geht. Es scheint so, als ob das Routing nicht funktioniert.
Mit ipconfig sieht man das kein GW eingetragen ist, das ist aber auch bei Maschinen so bei denen alles geht.
Das Phänomen haben immer mal wieder unterschiedliche Mitarbeiter.
Hat vielleicht jemand schon mal eine Idee, bevor ich Sophos kontaktiere?
ich habe ein komisches Verhalten bei manchen VPN-Verbindungen über einen NCP-VPN Client zu einer Sophos SG UTM. Ich habe noch nicht mit Sophos "gesprochen", will erstmal sehen, ob hier jemand eine Idee dazu hat.
Folgendes Problem stellt sich mir.
Ein Benutzer (sind immer wieder unterschiedliche) wählt sich per VPN (IPsec) mit einem NCP-Client in unser Netzwerk ein. Der Windows Client erhält von der Sophos eine IP-Adresse und ist auch in der Verwaltungskonsole innerhalb der UTM zu sehen. Das Problem ist aber, dass der Windows Client auf keine Ressourcen innerhalb des Netzwerks zugreifen kann. Es funktioniert kein PING, DNS, nichts geht. Es scheint so, als ob das Routing nicht funktioniert.
Mit ipconfig sieht man das kein GW eingetragen ist, das ist aber auch bei Maschinen so bei denen alles geht.
Das Phänomen haben immer mal wieder unterschiedliche Mitarbeiter.
Hat vielleicht jemand schon mal eine Idee, bevor ich Sophos kontaktiere?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7603335410
Url: https://administrator.de/contentid/7603335410
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
und alle User benutzen die gleiche IPSec Richtlinie auf der UTM? Dann wären noch gesonderte, benutzerbezogene Firewallregeln denkbar.
Gruß
Thomas
€: Mir ist noch etwas eingefallen. Ich musste den alten Sophos Client auch mal mit Adminrechten starten, damit der Zugriff dann funktionierte. Ohne die Adminrechte kam es zu deinem genannten Verhalten.
und alle User benutzen die gleiche IPSec Richtlinie auf der UTM? Dann wären noch gesonderte, benutzerbezogene Firewallregeln denkbar.
Gruß
Thomas
€: Mir ist noch etwas eingefallen. Ich musste den alten Sophos Client auch mal mit Adminrechten starten, damit der Zugriff dann funktionierte. Ohne die Adminrechte kam es zu deinem genannten Verhalten.
Hi
im Normalfall ändert sich das Gateway des Clients auch nicht, da die Standardeinstellung bei Sophos "Split-Tunneling" ist, du musst schauen, ob der passende Routen gesetzt hat (cmd -> route print) nachdem die Verbindung aufgebaut wurde.
Tendenziell würde ich mit der Sophos eher auf SSL VPN gehen und dann OpenVPN als Client verwenden, macht das ganze deutlich einfacher zu administrieren.
Bzgl. IPSec: prüfe mal, ob der User eine FritzBox daheim hat, die machen bei uns immer wieder Probleme wenn der Kollege/die Kollegin sich mitten am Tag reconnecten muss, dann hilft nur ein Neustart der FritzBox - das verhalten tritt bei den Usern mit SSL-VPN nicht auf.
im Normalfall ändert sich das Gateway des Clients auch nicht, da die Standardeinstellung bei Sophos "Split-Tunneling" ist, du musst schauen, ob der passende Routen gesetzt hat (cmd -> route print) nachdem die Verbindung aufgebaut wurde.
Tendenziell würde ich mit der Sophos eher auf SSL VPN gehen und dann OpenVPN als Client verwenden, macht das ganze deutlich einfacher zu administrieren.
Bzgl. IPSec: prüfe mal, ob der User eine FritzBox daheim hat, die machen bei uns immer wieder Probleme wenn der Kollege/die Kollegin sich mitten am Tag reconnecten muss, dann hilft nur ein Neustart der FritzBox - das verhalten tritt bei den Usern mit SSL-VPN nicht auf.
Die Route ist eingetragen 
Das mit der Fritzbox werde ich mal nachfragen.
Danke für die Tipps
Das mit der Fritzbox werde ich mal nachfragen.
Danke für die Tipps
Wenn der User eine Fritzbox hat und selber eine VPN-Verbindung zu ihr eingerichtet hat (z.B. fürs Smartphone) blockt die Fritte evtl. Port 500/4500 für sich weg.
