yamaha0815
Goto Top

Sophos XG - Open VPN (SSL) Remote für mehrere User bzw. Gruppen

Ich habe folgende Frage, auf die ich bisher keine Antwort gefunden habe, auch nach dem Suchen bei Tante Google und hier im Forum. Vielleicht bin ich auch zu doof. Egal...

Ich habe folgendes Szenario
Es gibt in meinem Szenario mehrere Netze, welche über VLANs ausgeführt sind.
VLAN 1 default 192.168.x.0/24
VLAN 10 Work 10.0.x1.0/24
VLAN 20 Guest 10.0.x2.0/24
VLAN 30 VoIP 10.0.x3.0/24

VLAN 101 Kundennetz A 10.0.y1.0/24
Die Kundennetze gehen nun von VLAN 101 - 114

SSL VPN auf der Sophos ist eingerichtet und funktioniert. Ich komme ohne Probleme auf das Hauptnetz VLAN 1 und von dort dann in alle anderen Netze. So soll das auch sein.

Jetzt die eigentliche Frage.
Wie baue ich einen VPN Tunnel, welcher sich dediziert für jedes Netz nur in dieses sich einklinkt. Ich denke das funktioniert über eine NAT Regel, nur wie?
Auf der pfSense kann ich ja mehrere VPN Server bauen und damit jedem VPN Server auch ein Zielnetz mitgeben.
Bei der Sophos XG geht das anscheinend nicht und ich bin habe eben dann auch nur ein und dasselbe Tunnelnetz, z.B. 10.0.z.t mit den Adressen T = 1 - 9.
Für den Tunnel gilt also Einwahl auf 10.0.z... und der DHCP dort vergibt eine Adresse von 2 bis 9. 1 wäre ja durch das Interface belegt. Soweit korrekt?

Da ich nun nicht weiß welche IP aus dem Tunnelpool der jeweilige Client bekommt steh ich nun ein wenig auf dem Schlauch.

Also wie bekomme ich es hin, dass Peter Müller am Ende nur auf sein VLAN 108 zugreifen kann und Hans Dampf nur auf sein VLAN 102.

Bin echt auf die Lösung gespannt. Wird sicher nichts wildes sein. Danke im voraus.

Content-ID: 574117

Url: https://administrator.de/contentid/574117

Ausgedruckt am: 07.11.2024 um 12:11 Uhr

ukulele-7
ukulele-7 22.05.2020 um 13:40:52 Uhr
Goto Top
Ich nutze VPN auf einer SG, keine XG. Dort kann man sowohl die Gruppe aller VPN-User, einen einzelnen VPN-User als auch VPN-Pool-Netzwerke als Objekte in der Firewall nutzen. Also würde ich mit der Firewall unabhängig vom Routing den Zugriff eines Users auf ein VLAN erlauben.

Mit NAT hat das ganze erstmal nichts zu tun. Jeder User kann über seinen VPN in alle an der Sophos angeschlossenen Netze geroutet werden sofern er den darf.
aqui
aqui 22.05.2020 aktualisiert um 13:44:14 Uhr
Goto Top
Ich denke das funktioniert über eine NAT Regel, nur wie?
Nein, das ist völliger Quatsch, denn du machst ja kein NAT innerhalb des VPNs. Damit killst du dir auch dein Routing über die Netze. Vergiss das.
Auch mehrere OVPN Prozesse zu starten ist aus Performance Sicht kontraproduktiv. Es gibt 2 sinnvolle Ansätze das zu lösen:
1.)
Alle IP Netze mit Push und Routing zu propagieren und zentral auf der Firewall mit Firewall Regeln abzublocken. Das wäre das Einfachste und ist schnell umzusetzen.
2.)
Du nimmst Client spezifische Konfigs auf dem Server anhand des Common Names des Clients
Hier konfigurierst du dann nur die spezifischen Push und Route Kommandos die nur für den entsprechenden Client gelten. Etwas aufwendiger von der Konfig erspart dir aber ein dediziertes Regelwerk.
Diese Konfig kannst du hier sehen:
OpenVPN - Erreiche Netzwerk hinter Client nicht

Beide Konfigs sind gleich sicher und führen zum Ziel.
yamaha0815
yamaha0815 26.05.2020 aktualisiert um 17:45:08 Uhr
Goto Top
OK... bei einer pfSense geht das über das NAT. Bei der Sophos geht es ein weniger anders, wenn man es weiß ist es aber nicht schwer. Wie immer. ;)

Ich habe das nun wie folgt gelöst... dennoch danke an die Antwortenden.

Dreh und Angelpunkt ist die VPN Policy, welche man unter configure/vpn -> SSL VPN anlegt. Hier gibt man quasi mit, welche Nutzergruppe auf welches interne Netzwerk zugreifen darf.
Ist im Prinzip das was @ukulele-7 beschrieben hat.

Wenn man nun entsprechende Nutzergruppen anlegt und dort seine zugehörigen Nutzer zuweist und unter hosts and services/IP host die entsprechende (Sub)Netzwerke definiert hat man schon gewonnen. Es fehlt dann nur noch die entsprechende Regel unter protect/firewall und gut ist. Der Eintrag in der Firewall stellt quasi die Weiche in das richtige Netz und blockiert alles andere, sofern man die Regel richtig gesetzt hat und das restliche Regelwerk stimmt.

Hat mich zwar jetzt 3 Tage Recherche gekostet, allerdings bin ich wieder um einen Wissensknoten reicher.

Achso... hier die Anleitung mit deren Hilfe ich darauf gekommen bin. Wenn man sich den Gang ansieht, dann versteht man hoffentlich was ich geschrieben habe.
https://community.sophos.com/kb/en-us/122769

Danke nochmals für gedankliche Anstöße.