peterz
Goto Top

Sophos VPN kein "Routing"

Hallo zusammen,

ich habe ein komisches Verhalten bei manchen VPN-Verbindungen über einen NCP-VPN Client zu einer Sophos SG UTM. Ich habe noch nicht mit Sophos "gesprochen", will erstmal sehen, ob hier jemand eine Idee dazu hat.
Folgendes Problem stellt sich mir.
Ein Benutzer (sind immer wieder unterschiedliche) wählt sich per VPN (IPsec) mit einem NCP-Client in unser Netzwerk ein. Der Windows Client erhält von der Sophos eine IP-Adresse und ist auch in der Verwaltungskonsole innerhalb der UTM zu sehen. Das Problem ist aber, dass der Windows Client auf keine Ressourcen innerhalb des Netzwerks zugreifen kann. Es funktioniert kein PING, DNS, nichts geht. Es scheint so, als ob das Routing nicht funktioniert.
Mit ipconfig sieht man das kein GW eingetragen ist, das ist aber auch bei Maschinen so bei denen alles geht.
Das Phänomen haben immer mal wieder unterschiedliche Mitarbeiter.
Hat vielleicht jemand schon mal eine Idee, bevor ich Sophos kontaktiere?

Content-ID: 7603335410

Url: https://administrator.de/contentid/7603335410

Ausgedruckt am: 04.11.2024 um 18:11 Uhr

Thomas2
Thomas2 21.06.2023 aktualisiert um 11:51:12 Uhr
Goto Top
Hi,

und alle User benutzen die gleiche IPSec Richtlinie auf der UTM? Dann wären noch gesonderte, benutzerbezogene Firewallregeln denkbar.

Gruß
Thomas

€: Mir ist noch etwas eingefallen. Ich musste den alten Sophos Client auch mal mit Adminrechten starten, damit der Zugriff dann funktionierte. Ohne die Adminrechte kam es zu deinem genannten Verhalten.
clSchak
clSchak 21.06.2023 um 14:16:28 Uhr
Goto Top
Hi

im Normalfall ändert sich das Gateway des Clients auch nicht, da die Standardeinstellung bei Sophos "Split-Tunneling" ist, du musst schauen, ob der passende Routen gesetzt hat (cmd -> route print) nachdem die Verbindung aufgebaut wurde.

Tendenziell würde ich mit der Sophos eher auf SSL VPN gehen und dann OpenVPN als Client verwenden, macht das ganze deutlich einfacher zu administrieren.

Bzgl. IPSec: prüfe mal, ob der User eine FritzBox daheim hat, die machen bei uns immer wieder Probleme wenn der Kollege/die Kollegin sich mitten am Tag reconnecten muss, dann hilft nur ein Neustart der FritzBox - das verhalten tritt bei den Usern mit SSL-VPN nicht auf.
Peterz
Peterz 21.06.2023 um 14:41:11 Uhr
Goto Top
Die Route ist eingetragen face-sad
Das mit der Fritzbox werde ich mal nachfragen.
Danke für die Tipps
ni.sch
ni.sch 23.06.2023 um 00:26:35 Uhr
Goto Top
Wenn der User eine Fritzbox hat und selber eine VPN-Verbindung zu ihr eingerichtet hat (z.B. fürs Smartphone) blockt die Fritte evtl. Port 500/4500 für sich weg.