Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sophos XG VPN IPSec und Site 2 Site

Mitglied: m.reeger

m.reeger (Level 2) - Jetzt verbinden

03.12.2019, aktualisiert 12:02 Uhr, 172 Aufrufe, 3 Kommentare

Guten Morgen zusammen,

ich bin mit meinem Netzwerk Latein aktuell leider am Ende und kann vor lauter IP Subnetzen nicht mehr klar denken.
Unser aktueller Sophos Dienstleister ist derzeit verhindert und kann leider nicht unterstützen.


Mal eine kleine Zeichnungs des Konstruktes. (Leider sehr unübersichtlich bei uns)
s2s-vpn - Klicke auf das Bild, um es zu vergrößern

Wir haben derzeit 5 Außenstandorte und einen Hauptstandort.
Die Subnetze sind entsprechend beschrieben und es handelt sich jeweils um das große /16 Netz, welches in viele kleine /22 und /24 Netze geteilt ist.


Am Freitag den 29.11.19 haben wir unsere bisherige MPLS Standortvernetzung mit einem Dienstleister aufgelöst und die Vernetzung nun selber übernommen.
Grundlegend ist an jedem Standort eine Telekom 250/100 MBit Leitung vorhanden, wo ein DrayTek Vigor 165 das Modem bereitstellt und die Sophos XG115w die Netzeinwahl macht.
Am Hauptstandort steht eine Sophos XG310 (2. soll als passiv HA konfiguriert werden) mit einer LWL Standeitung mit 250/250 MBit.

Unsere Telefonie läuft derzeit in der Cloud (Avaya Aura) und muss daher via VPN angesprochen werden.
Die alten 10.0.108/22 etc. Netze wurden vom MPLS Betreiber übernommen, da weniger Konfig Anpassung bei unserem TK Dienstleister.

Soweit so gut.
Der IPSec VPN Tunnel zur TK Anlage steht und die Telefone können telefonieren.
Nun aber zu den Problemen.....

- teilweise kein Freizeichen
- Telefonbuch am Endgerät funktioniert nicht
- Außenstandort 5/6 können sich nicht gegenseitig intern anrufen
- Routing Probleme im Hauptstandort und Außenstandort

Ich vermute mal dass das Anliegen hier im Forum den Rahmen sprengen wird.
Daher nehme ggf. auch gerne Untersützung eines DL an. (PLZ: 30916)


Der TK Dienstleister teilte mir folgendes mit:

Damit die "Browser Funktion" im Avaya Telefon funktioniert, müssen die Telefone das 10.100er Netz (16er Maske) von "Hauptstandort" aus erreichen.
Das müssen sie bei sich im Routing einstellen (freigeben).

Jetzt komme ich und denke mir....hm der IPSec Tunnel steht und die Telefone kommunizieren alle mit den IP-Adressen:
10.100.101.33 & 10.100.101.115
(Callserver)
Warum sollte dann also nur die "Browser Funktion" gestört sein?!
Am Routing selbst an der XG310 kann ich nichts machen, da die Routen ja automatisch mit dem iPSec Tunnel kommen.

Ein Route Lookup von der XG310 zeigt folgendes auf:

10.100.101.33 is located on the ipsec0
10.100.101.33 is not behind a router.

Von einer XG115w (Außenstelle):
10.100.101.33 is located on the tun1
10.100.101.33 is reached through the router 10.10.190.1 [XG 310 S2S VPN]

Ein Ping auf die Adressen: 10.100.101.33 & 10.100.101.115 ist nicht möglich.
Ein Traceroute der Firewall landet im timeout.
Sobald ich nun versuche von einem Client im VLAN 12 am Hauptstandort (XG 310) einen Tracert zu fahren kommen ich wie folgt raus:

PS C:\WINDOWS\system32> tracert 10.100.101.33

Routenverfolgung zu 10.100.101.33 über maximal 30 Hops

1 3 ms 3 ms 2 ms 10.10.23.253 [Gateway für VLAN12 / Core Switche]
2 8 ms 2 ms 3 ms 10.10.250.1 [Transfer VLAN 250 zwischen Core Switchen und XG310]
3 21 ms 17 ms 19 ms 81.XX.XXX.145 [Unsere WAN IP-Adresse?????]
4 *


Was kann hier der Fehler sein?
Ich weiß ich hole sehr weit aus und das ist leider nichtmal das gesamte Netzwerk. (Wie oben erwähnt haben wir auch noch 4 Core Switche, welche div. Netze am Hauptstandort routen)
Unter anderen Routen die Core Switche auch das VLAN 50 (10.0.108.0/22) am Hauptstandort.


Ich bin für jeden Gedankenanstoß DANKBAR!!!

Liebe Grüße
Mitglied: aqui
03.12.2019, aktualisiert um 11:48 Uhr
Bitte bei den embeddeten Bildern das "+" zeichen an die richtige Stelle setzen, dann erscheinen sie auch im richtigen Kontext des Threads hier !
(Kann man mit dem "Bearbeiten" Button auch noch nachträglich korrigieren !)
Zurück zum Thema...
und kann vor lauter IP Subnetzen nicht mehr klar denken.
Dann solltest du erstmal tief durchatmen an der frischen Luft und dir dann einen Kaffee holen !
Ich vermute mal dass das Anliegen hier im Forum den Rahmen sprengen wird.
Kommt drauf an....
Die Fehler des Telefons und die 5 und 6er Erreichbarkeit zeigen sehr wahrscheinlich auf ein Firewall Regel Problem. Da all diese Infos fehlen von dir kann man erstmal nur im freien Fall raten.
Das schon ein Anruf scheitert zeigt entweder das SIP (TCP/UDP Port 5060) nicht durchkommt oder die Regeln dafür fehlen. Fehlt das Audio ein- oder beidseitig stimmt was mit der RTP Regel nicht. RTP transportiert die reinen Telefonie Audio Daten.
Normal sollte man in den Tunnel Interfaces erstmal Schrotschussregeln implementieren die alles erlauben und dann später wenn alles rennt dann langsam dichtziehen um sich nicht beim Aufbau vorab selber Fallen zu stellen. Also immer strategisch vorgehen ist hier die Devise.
Das Ping und Traceroute Timeout hat vermutlich ähnliche Ursachen.
Ping und Traceroute basieren, wie du als Netzwerker ja weisst, auf dem ICMP Protokoll. So gut wie immer ist das in Firewalls immer deaktiviert im Regelwerk ! Hier solltest du also mal genau hinsehen das ICMP erstmal erlaubt ist um das Troubleshooting zu vereinfachen.
Der zweite Grund könnte ein fehlerhaftes Routing sein !!!
Da ihr noch L3 Core Switches betreibt die routen müssen hier natürlich logischerweise statische Routen auf alle Firewall Netze eingetragen sein. Ebenso natürlich die Routen auf den Firewalls selber.
Heisser Tip:
Mit deinen vielen Außenstellen, einen Core Switch/Router vermutlich in HA oder Stack und einem redundanten Firewall Cluster ist es vollkommen kontraproduktiv wenn du statisch routest. Das ist in so einem Design eigentlich ein völliges NoGo, denn all deine Redundanz Bemühungen mit Core und FW Cluster werden damit konterkariert, da in einem Failover ggf. manuelle Route Anpassungen zwingend sind. Wie gesagt ein NoGo in einem Firmennetz, denn keiner will in so einem Redundanz Design händisch frickeln im Failover logischerweise.
Dort sollte die Routing Konvergenz immer dynamisch sein.
Sprich du solltest hier immer auf ein dynamisches Routing Konzept mit RIPv2 oder OSPF setzen was dir auch das Troubleshooting erheblich erleichtert.
Wie so ein Konzept aussehen kann kannst du hier nachlesen !
Das ist aber nur mal ein Denkanstoß für die Zukunft und hier jetzt erstmal nicht das Thema !
Am Routing selbst an der XG310 kann ich nichts machen, da die Routen ja automatisch mit dem iPSec Tunnel kommen.
Das ist richtig aber dennoch solltest du die Routen am Layer 3 Switch Core wasserdicht checken, denn der Switch Core ist das Default Gateway für alle lokalen VLAN Endgeräte ! (Hoffentlich ?!)
Ein weiteres gravierendes IP Adressproblem hast du ebenso nach deiner Zeichnung !
Das VoIP Netz an Standort 3 hat die 10.0.148.0 /16 was dann sämtliche 10.0.x.y IP Netze inkludiert !
Damit sind alle anderen VoIP Netze nicht mehr routebar, was dann auch Ping und Connectivity Probleme bei den VoIP Netzen erklärt.
Um dich nicht zu verzetteln solltest du vom Hauptstandort immer Standort für Standort vorgehen. Also immer einen Standort vollständig und getestet zum laufen bringen, dann den nächsten. So kannst du auch sukzessive Fehler vermeiden, denn sowie es Problem gibt weisst du ja dann sicher das nur der neu zugeschaltete Standort der Verursacher sein kann !
Jede Standort Konfig ist ja immer ein Klon der anderen mit Ausnahme ihrer individuellen IP.
Das nur mal als erster Schrotschuss ohne detailierte Infos von deiner Seite....
Bitte warten ..
Mitglied: m.reeger
03.12.2019, aktualisiert um 12:06 Uhr
Moin,

danke für deinen Input.

Das Bild habe ich nochmal neu eingefügt.


Das Netzwerk am Standort 3 soll auch ein /22 sein, da habe ich mich in der Zeichnung verzettelt.


Folgende Routen sind auf dem VDX Core (4x Brocade VDX 6740 (2x2 Fabric) eingerichtet.

01.
 Destination        Gateway         Port           Cost          Type Uptime
02.
        0.0.0.0/0          10.10.250.1     Ve 250         1/1           S    3d17h 
03.
        10.0.108.0/22      DIRECT          Ve 50          0/0           D    3d18h 
04.
        10.0.108.1/32      DIRECT          Ve 50          0/0           D    3d17h 
05.
        10.0.111.251/32    DIRECT          Ve 50          0/0           D    3d18h 
06.
        10.10.0.0/22       DIRECT          Ve 2           0/0           D    61d14h
07.
        10.10.3.250/32     DIRECT          Ve 2           0/0           D    61d14h
08.
        10.10.3.251/32     DIRECT          Ve 2           0/0           D    61d14h
09.
        10.10.8.0/22       DIRECT          Ve 8           0/0           D    61d14h
10.
        10.10.11.250/32    DIRECT          Ve 8           0/0           D    61d14h
11.
        10.10.11.251/32    DIRECT          Ve 8           0/0           D    61d14h
12.
        10.10.12.0/22      DIRECT          Ve 12          0/0           D    61d14h
13.
        10.10.15.250/32    DIRECT          Ve 12          0/0           D    61d14h
14.
        10.10.15.251/32    DIRECT          Ve 12          0/0           D    61d14h
15.
        10.10.16.0/22      DIRECT          Ve 16          0/0           D    61d14h
16.
        10.10.19.250/32    DIRECT          Ve 16          0/0           D    61d14h
17.
        10.10.19.251/32    DIRECT          Ve 16          0/0           D    61d14h
18.
        10.10.20.0/22      DIRECT          Ve 20          0/0           D    61d14h
19.
        10.10.23.250/32    DIRECT          Ve 20          0/0           D    61d14h
20.
        10.10.23.251/32    DIRECT          Ve 20          0/0           D    61d14h
21.
        10.10.24.0/22      DIRECT          Ve 24          0/0           D    61d14h
22.
        10.10.27.250/32    DIRECT          Ve 24          0/0           D    61d14h
23.
        10.10.27.251/32    DIRECT          Ve 24          0/0           D    61d14h
24.
        10.10.42.0/24      DIRECT          Ve 42          0/0           D    61d14h
25.
        10.10.42.250/32    DIRECT          Ve 42          0/0           D    61d14h
26.
        10.10.42.251/32    DIRECT          Ve 42          0/0           D    61d14h
27.
        10.10.82.0/24      DIRECT          Ve 82          0/0           D    61d14h
28.
        10.10.82.250/32    DIRECT          Ve 82          0/0           D    61d14h
29.
        10.10.82.251/32    DIRECT          Ve 82          0/0           D    61d14h
30.
        10.10.101.0/24     DIRECT          Ve 101         0/0           D    61d14h
31.
        10.10.101.250/32   DIRECT          Ve 101         0/0           D    61d14h
32.
        10.10.101.251/32   DIRECT          Ve 101         0/0           D    61d14h
33.
        10.10.250.0/24     DIRECT          Ve 250         0/0           D    61d14h
34.
        10.10.250.250/32   DIRECT          Ve 250         0/0           D    61d14h
35.
        10.10.250.251/32   DIRECT          Ve 250         0/0           D    61d14h
36.
        10.10.254.0/24     DIRECT          Ve 254         0/0           D    61d14h
37.
        10.10.254.250/32   DIRECT          Ve 254         0/0           D    61d14h
38.
        10.10.254.251/32   DIRECT          Ve 254         0/0           D    61d14h
39.
Der Punkt mit den Firewall Regeln....klar die habe ich komplett vergessen.
Auch wenn es sich blöd anhört aber aktuell sind die Standorte via VPN und der IPSec Tunnel via "Any to Any" Regel offen für alles.
Somit existieren keine expliziten Regeln für SIP oder ICMP etc.
Bitte warten ..
Mitglied: certifiedit.net
03.12.2019 um 13:51 Uhr
Hallo,

vermute, dass die Routingeinträge nicht passen,

01.
Die alten 10.0.108/22 etc. Netze wurden vom MPLS Betreiber übernommen, da weniger Konfig Anpassung bei unserem TK Dienstleister.
02.

03.
Soweit so gut.
04.
Der IPSec VPN Tunnel zur TK Anlage steht und die Telefone können telefonieren.
05.
Nun aber zu den Problemen.....
06.

07.
- teilweise kein Freizeichen - tw. falsches Routing
08.
- Telefonbuch am Endgerät funktioniert nicht - dito oder FW
09.
- Außenstandort 5/6 können sich nicht gegenseitig intern anrufen - Routing oder TK?
10.
- Routing Probleme im Hauptstandort und Außenstandort - ganz klar...
Der Block spricht dafür. Aber wie du schon sagst, das sprengt das Forum, wenn man sich da rein verkopfen soll, klopf mal an, soweit Remote gewünscht wird bzw OK ist.

VG,

Christian
Bitte warten ..
Ähnliche Inhalte
Router & Routing

IPSEC Site2Site VPN zwischen 2 Sophos UTMs

gelöst Frage von Leo-leRouter & Routing11 Kommentare

Hallo zusammen, Testweise habe ich mich daran versucht, 2 Sophos UTMs per IPsec miteinander zu verbinden. Die Hürde dabei ...

Router & Routing

VPN mit Fritzbox und Sophos XG 105

gelöst Frage von Gawo89Router & Routing15 Kommentare

Hallo zusammen, ich hätte da eine Frage bezüglich der richtigen Konfiguration der Routen in der Fritzbox bzw. in der ...

Router & Routing

Sophos XG Lancom Site to Site VPN

Frage von webser85Router & Routing16 Kommentare

Hallo zusammen, ich habe seit geraumer Zeit eine Sophos XG im Einsatz. an drei Außenenstandorten befinden sich Lancom 1783 ...

Firewall

Sophos XG - VPN (Site-to-Site) Ping zur Firewall

gelöst Frage von icepietFirewall6 Kommentare

Hallo Zusammen, ich habe mehrere VPN Tunnel auf einer Sophos XG gebaut. Leider habe ich bei jedem Tunnel das ...

Neue Wissensbeiträge
Windows Tools
7-Zip v19.0 MSI silent uninstall
Tipp von Dirmhirn vor 17 StundenWindows Tools5 Kommentare

Hi, ich versuchte grade 7-Zip v19.0 MSI silent zu deinstallieren. mit msiexec /x stürzt mir immer der Explorer ab. ...

Windows 10

Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)

Tipp von beidermachtvongreyscull vor 22 StundenWindows 101 Kommentar

Moin Kollegen, ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf ...

Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 6 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 6 TagenDatenschutz

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless20 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...

Windows 10
Win10 Build Nummer auslesen
Frage von MotoMicWindows 1017 Kommentare

Hallo, ich habe hier einen Windows 10 Pro installierten Rechner. Leider ist mir nicht bekannt, welche Build Nummer installiert ...

Server-Hardware
Anschaffung neuer Server
Frage von tschip1801Server-Hardware14 Kommentare

unsere Firma bekommt einen neuen Server, ich bin schon sehr lange nicht mehr so tief im geschehen um hier ...