Sophos XG VPN IPSec und Site 2 Site

Mitglied: ITAllrounder

ITAllrounder (Level 2) - Jetzt verbinden

03.12.2019, aktualisiert 12:02 Uhr, 786 Aufrufe, 3 Kommentare

Guten Morgen zusammen,

ich bin mit meinem Netzwerk Latein aktuell leider am Ende und kann vor lauter IP Subnetzen nicht mehr klar denken.
Unser aktueller Sophos Dienstleister ist derzeit verhindert und kann leider nicht unterstützen.


Mal eine kleine Zeichnungs des Konstruktes. (Leider sehr unübersichtlich bei uns)
s2s-vpn - Klicke auf das Bild, um es zu vergrößern

Wir haben derzeit 5 Außenstandorte und einen Hauptstandort.
Die Subnetze sind entsprechend beschrieben und es handelt sich jeweils um das große /16 Netz, welches in viele kleine /22 und /24 Netze geteilt ist.


Am Freitag den 29.11.19 haben wir unsere bisherige MPLS Standortvernetzung mit einem Dienstleister aufgelöst und die Vernetzung nun selber übernommen.
Grundlegend ist an jedem Standort eine Telekom 250/100 MBit Leitung vorhanden, wo ein DrayTek Vigor 165 das Modem bereitstellt und die Sophos XG115w die Netzeinwahl macht.
Am Hauptstandort steht eine Sophos XG310 (2. soll als passiv HA konfiguriert werden) mit einer LWL Standeitung mit 250/250 MBit.

Unsere Telefonie läuft derzeit in der Cloud (Avaya Aura) und muss daher via VPN angesprochen werden.
Die alten 10.0.108/22 etc. Netze wurden vom MPLS Betreiber übernommen, da weniger Konfig Anpassung bei unserem TK Dienstleister.

Soweit so gut.
Der IPSec VPN Tunnel zur TK Anlage steht und die Telefone können telefonieren.
Nun aber zu den Problemen.....

- teilweise kein Freizeichen
- Telefonbuch am Endgerät funktioniert nicht
- Außenstandort 5/6 können sich nicht gegenseitig intern anrufen
- Routing Probleme im Hauptstandort und Außenstandort

Ich vermute mal dass das Anliegen hier im Forum den Rahmen sprengen wird.
Daher nehme ggf. auch gerne Untersützung eines DL an. (PLZ: 30916)


Der TK Dienstleister teilte mir folgendes mit:

Damit die "Browser Funktion" im Avaya Telefon funktioniert, müssen die Telefone das 10.100er Netz (16er Maske) von "Hauptstandort" aus erreichen.
Das müssen sie bei sich im Routing einstellen (freigeben).

Jetzt komme ich und denke mir....hm der IPSec Tunnel steht und die Telefone kommunizieren alle mit den IP-Adressen:
10.100.101.33 & 10.100.101.115
(Callserver)
Warum sollte dann also nur die "Browser Funktion" gestört sein?!
Am Routing selbst an der XG310 kann ich nichts machen, da die Routen ja automatisch mit dem iPSec Tunnel kommen.

Ein Route Lookup von der XG310 zeigt folgendes auf:

10.100.101.33 is located on the ipsec0
10.100.101.33 is not behind a router.

Von einer XG115w (Außenstelle):
10.100.101.33 is located on the tun1
10.100.101.33 is reached through the router 10.10.190.1 [XG 310 S2S VPN]

Ein Ping auf die Adressen: 10.100.101.33 & 10.100.101.115 ist nicht möglich.
Ein Traceroute der Firewall landet im timeout.
Sobald ich nun versuche von einem Client im VLAN 12 am Hauptstandort (XG 310) einen Tracert zu fahren kommen ich wie folgt raus:

PS C:\WINDOWS\system32> tracert 10.100.101.33

Routenverfolgung zu 10.100.101.33 über maximal 30 Hops

1 3 ms 3 ms 2 ms 10.10.23.253 [Gateway für VLAN12 / Core Switche]
2 8 ms 2 ms 3 ms 10.10.250.1 [Transfer VLAN 250 zwischen Core Switchen und XG310]
3 21 ms 17 ms 19 ms 81.XX.XXX.145 [Unsere WAN IP-Adresse?????]
4 *


Was kann hier der Fehler sein?
Ich weiß ich hole sehr weit aus und das ist leider nichtmal das gesamte Netzwerk. (Wie oben erwähnt haben wir auch noch 4 Core Switche, welche div. Netze am Hauptstandort routen)
Unter anderen Routen die Core Switche auch das VLAN 50 (10.0.108.0/22) am Hauptstandort.


Ich bin für jeden Gedankenanstoß DANKBAR!!!

Liebe Grüße
Mitglied: aqui
03.12.2019, aktualisiert um 11:48 Uhr
Bitte bei den embeddeten Bildern das "+" zeichen an die richtige Stelle setzen, dann erscheinen sie auch im richtigen Kontext des Threads hier !
(Kann man mit dem "Bearbeiten" Button auch noch nachträglich korrigieren !)
Zurück zum Thema...
und kann vor lauter IP Subnetzen nicht mehr klar denken.
Dann solltest du erstmal tief durchatmen an der frischen Luft und dir dann einen Kaffee holen !
Ich vermute mal dass das Anliegen hier im Forum den Rahmen sprengen wird.
Kommt drauf an....
Die Fehler des Telefons und die 5 und 6er Erreichbarkeit zeigen sehr wahrscheinlich auf ein Firewall Regel Problem. Da all diese Infos fehlen von dir kann man erstmal nur im freien Fall raten.
Das schon ein Anruf scheitert zeigt entweder das SIP (TCP/UDP Port 5060) nicht durchkommt oder die Regeln dafür fehlen. Fehlt das Audio ein- oder beidseitig stimmt was mit der RTP Regel nicht. RTP transportiert die reinen Telefonie Audio Daten.
Normal sollte man in den Tunnel Interfaces erstmal Schrotschussregeln implementieren die alles erlauben und dann später wenn alles rennt dann langsam dichtziehen um sich nicht beim Aufbau vorab selber Fallen zu stellen. Also immer strategisch vorgehen ist hier die Devise.
Das Ping und Traceroute Timeout hat vermutlich ähnliche Ursachen.
Ping und Traceroute basieren, wie du als Netzwerker ja weisst, auf dem ICMP Protokoll. So gut wie immer ist das in Firewalls immer deaktiviert im Regelwerk ! Hier solltest du also mal genau hinsehen das ICMP erstmal erlaubt ist um das Troubleshooting zu vereinfachen.
Der zweite Grund könnte ein fehlerhaftes Routing sein !!!
Da ihr noch L3 Core Switches betreibt die routen müssen hier natürlich logischerweise statische Routen auf alle Firewall Netze eingetragen sein. Ebenso natürlich die Routen auf den Firewalls selber.
Heisser Tip:
Mit deinen vielen Außenstellen, einen Core Switch/Router vermutlich in HA oder Stack und einem redundanten Firewall Cluster ist es vollkommen kontraproduktiv wenn du statisch routest. Das ist in so einem Design eigentlich ein völliges NoGo, denn all deine Redundanz Bemühungen mit Core und FW Cluster werden damit konterkariert, da in einem Failover ggf. manuelle Route Anpassungen zwingend sind. Wie gesagt ein NoGo in einem Firmennetz, denn keiner will in so einem Redundanz Design händisch frickeln im Failover logischerweise.
Dort sollte die Routing Konvergenz immer dynamisch sein.
Sprich du solltest hier immer auf ein dynamisches Routing Konzept mit RIPv2 oder OSPF setzen was dir auch das Troubleshooting erheblich erleichtert.
Wie so ein Konzept aussehen kann kannst du hier nachlesen !
Das ist aber nur mal ein Denkanstoß für die Zukunft und hier jetzt erstmal nicht das Thema !
Am Routing selbst an der XG310 kann ich nichts machen, da die Routen ja automatisch mit dem iPSec Tunnel kommen.
Das ist richtig aber dennoch solltest du die Routen am Layer 3 Switch Core wasserdicht checken, denn der Switch Core ist das Default Gateway für alle lokalen VLAN Endgeräte ! (Hoffentlich ?!)
Ein weiteres gravierendes IP Adressproblem hast du ebenso nach deiner Zeichnung !
Das VoIP Netz an Standort 3 hat die 10.0.148.0 /16 was dann sämtliche 10.0.x.y IP Netze inkludiert !
Damit sind alle anderen VoIP Netze nicht mehr routebar, was dann auch Ping und Connectivity Probleme bei den VoIP Netzen erklärt.
Um dich nicht zu verzetteln solltest du vom Hauptstandort immer Standort für Standort vorgehen. Also immer einen Standort vollständig und getestet zum laufen bringen, dann den nächsten. So kannst du auch sukzessive Fehler vermeiden, denn sowie es Problem gibt weisst du ja dann sicher das nur der neu zugeschaltete Standort der Verursacher sein kann !
Jede Standort Konfig ist ja immer ein Klon der anderen mit Ausnahme ihrer individuellen IP.
Das nur mal als erster Schrotschuss ohne detailierte Infos von deiner Seite....
Bitte warten ..
Mitglied: ITAllrounder
03.12.2019, aktualisiert um 12:06 Uhr
Moin,

danke für deinen Input.

Das Bild habe ich nochmal neu eingefügt.


Das Netzwerk am Standort 3 soll auch ein /22 sein, da habe ich mich in der Zeichnung verzettelt.


Folgende Routen sind auf dem VDX Core (4x Brocade VDX 6740 (2x2 Fabric) eingerichtet.

Der Punkt mit den Firewall Regeln....klar die habe ich komplett vergessen.
Auch wenn es sich blöd anhört aber aktuell sind die Standorte via VPN und der IPSec Tunnel via "Any to Any" Regel offen für alles.
Somit existieren keine expliziten Regeln für SIP oder ICMP etc.
Bitte warten ..
Mitglied: certifiedit.net
03.12.2019 um 13:51 Uhr
Hallo,

vermute, dass die Routingeinträge nicht passen,

Der Block spricht dafür. Aber wie du schon sagst, das sprengt das Forum, wenn man sich da rein verkopfen soll, klopf mal an, soweit Remote gewünscht wird bzw OK ist.

VG,

Christian
Bitte warten ..
Ähnliche Inhalte
Router & Routing

IPSEC Site2Site VPN zwischen 2 Sophos UTMs

gelöst Frage von Leo-leRouter & Routing11 Kommentare

Hallo zusammen, Testweise habe ich mich daran versucht, 2 Sophos UTMs per IPsec miteinander zu verbinden. Die Hürde dabei ...

Router & Routing

Sophos XG Lancom Site to Site VPN

Frage von webser85Router & Routing16 Kommentare

Hallo zusammen, ich habe seit geraumer Zeit eine Sophos XG im Einsatz. an drei Außenenstandorten befinden sich Lancom 1783 ...

Router & Routing

VPN mit Fritzbox und Sophos XG 105

gelöst Frage von Gawo89Router & Routing15 Kommentare

Hallo zusammen, ich hätte da eine Frage bezüglich der richtigen Konfiguration der Routen in der Fritzbox bzw. in der ...

Firewall

Verwaltung von mehren Sophos XG

Frage von chnie123Firewall

Hallo Zusammen, es gibt ja mehrere Möglichkeiten eine Sophos XG zentral zu verwalten. Ich bin zur Zeit auf der ...

Firewall

Sophos XG - VPN (Site-to-Site) Ping zur Firewall

gelöst Frage von icepietFirewall6 Kommentare

Hallo Zusammen, ich habe mehrere VPN Tunnel auf einer Sophos XG gebaut. Leider habe ich bei jedem Tunnel das ...

Router & Routing

IPSEC FritzBox zu Sophos XG - Ping nur in eine Richtung möglich

gelöst Frage von cptkrabbeRouter & Routing10 Kommentare

Guten Tag und einen schönen ersten Advent euch allen. Ich stehe gerade mächtig auf dem Schlauch, ich habe eine ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs25 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)20 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server19 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Frage von Hanspeter82Drucker und Scanner13 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Windows 10
FritzBox 7590 VPN
Frage von christian295Windows 1013 Kommentare

Hallo Zusammen, wir haben seit einigen Tagen eine neue FritzBox 7590 und wollen mit ShrewSoft 2.2.2 auf Win 10 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT