banane31
Goto Top

Sophos XG Routing WLAN zu WAN

Guten Morgen zusammen,

ich stehe hier bei einer XG310 Konfiguration gerade auf dem Schlauch und benötige einmal Rat.

Der Aufbau ist wie folgt:


WAN1 - LWL Direktverbindung
WAN2 - SVDSL Leitung

Auf der Sophos XG310 wird die Leitung "WAN1" für den Internetverkehr der Clients, Server etc. benutzt.
Alles was aus dem VLAN "Gäste / Mitarbeiter WLAN" raus will geht über die Leitung "WAN2".

Nun habe ich folgenden Fall:

Mitarbeiter will über sein Handy (WLAN Mitarbeiter) eine Webseite aus unserem Hause aufrufen.
Die Webseite wird intern gehostet und über eine IP von der Leitung "WAN1" bereitgestellt.

Per DHCP wird dem Gäste und Mitarbeiter WLAN der DNS Server 1.1.1.1 / 1.0.0.0.1 mitgegeben.

Das Gerät des Mitarbeiters hat also eine IP aus dem VLAN "Gäste / Mitarbeiter" und ruft die Seite "subdomain.firma.tld" auf.
Die XG310 sollte nun via WAN2 raus gehen und via WAN1 wieder reinkommen. Leider versucht die XG hier irgend einen anderen Weg, da es sich bei der Aufgerufenen URL ja um einen Ihrbekannten Host handelt.....

Sobald ich dem WLAN "Mitarbeiter und Gäste" unsere internen Windows DC's als DNS Server mitgebe, wird der Traffic geblockt, da von einem Gast- Mitarbeitergerät nicht auf die interne IP zugegriffen werden soll. (Passe ich dafür eine Firewallregel an, haut das hin. Das ist aber nicht mein Ziel)

Der Weg sollte ja folgender sein:

Smartphone vom Mitarbeiter (172.10.39.11/22) -> Webaufruf (https://subdomain.firma.tld) [WAN2]-> DNS Server 1.1.1.1 -> Löst auf ext. IP auf (81.XX.XX.XXX) [WAN1] -> Firewall Regel greift und Zugriff wird erlaubt.

Was ist dafür der passende Suchbegriff ?
Bei PFSense schimpft sich das glaube ich DNS Rebind Schutz, o.ä?

Vielen Dank für Anregungen.

Content-ID: 537440

Url: https://administrator.de/forum/sophos-xg-routing-wlan-zu-wan-537440.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 20.01.2020 aktualisiert um 11:22:56 Uhr
Goto Top
Moin,

entweder nutzt du SplitDNS und löst die Adresse intern direkt auf deinen Webserver auf.
Oder du verwendest weiterhin die externe Adresse mittels HairPinNAT. Der Traffic läuft in beiden Fällen nicht über das WAN Interfaces hinaus, da dies nicht nötig ist.

Gruß
Spirit
banane31
banane31 20.01.2020 um 12:23:29 Uhr
Goto Top
Moin,

SplitDNS läuft im internen Netz ja (WLAN intern). Das Funktioniert einwandfrei.
Nur möchte ich nicht, dass externe Geräte (Mitarbeiter Handys) unseren internen DNS Server verwenden.
Deswegen erhalten diese via DHCP den CloudFlare DNS.

Habe nun mal nach einer HairPinNat Anleitung für die XG ausschau gehalten und folgenden Artikel gefunden:
https://community.sophos.com/products/xg-firewall/f/network-and-routing/ ...

Leider ist die Anleitung schon etwas älter und die genannten Konfig Punkte, weichen von der in unserer XG verfügbaren ab.

Eine Application Rule habe ich angelegt, als Template "DNAT/FULL NAT/ Load Balancing" gewählt.

Dann habe ich noch folgende Punkte:

Source
Source Zone: Any
Allowed Clients Networks : Any
Blocked Clients Networks : None

Destination & Service
Destination Host / network: #Port6 - WAN2
Services: Any

Forward to
Protected Server: Was muss hier rein? Muss ich da direkt den Exchange bzw. Netscaler angeben?
Protected Zone: LAN
Mapped Port : Leer lassen

Advanced
Rewrite Source Address (masquerading): MASQ

So sieht meine Regel aus und der Zugriff funktioniert dennoch nicht.