mrxlenn
Goto Top

Unifi Cloud Gateway Ultra hinter Sophos XG135

Hallo Zusammen,

ich würde gerne das VPN über meine Sophos Firewall nutzen, um damit auf das Netzwerk von meiner Unifi zu kommen. Die Verbindung zur Firewall klappt, allerdings komme ich nicht in das Netzwerk meiner Unifi.

Ich habe bereits diverse NAT und Firewallregeln getestet, klappt nur leider nicht.

Hat jemand eine Idee und kann mir bitte hier helfen? face-smile

Content-ID: 82308543116

Url: https://administrator.de/forum/unifi-cloud-gateway-ultra-hinter-sophos-xg135-82308543116.html

Ausgedruckt am: 21.12.2024 um 15:12 Uhr

aqui
aqui 17.07.2024 aktualisiert um 11:08:26 Uhr
Goto Top
Hier steht was in solchen Router Kaskaden Umfeldern beim VPN Zugriff für die unterschiedlichen VPN Protokolle (die du leider nicht nennst face-sad ) zu beachten ist.
Zielführend wäre auch zu wissen WAS genau du schon probiert hast!
VPN Port Forwarding in Router Kaskaden
mrxlenn
mrxlenn 17.07.2024 um 16:17:36 Uhr
Goto Top
Hallo,

danke für deinen Tipp.

Mein Aufbau: Speeport Smart 3 (Modemfunktion aktiv) -> Sophos XG135 PPPOE -> Unifi Cloud Gateway Ultra -> Unifi 6 Light AP (WLAN) -> Clients

Ich möchte nun ein funktionierendes VPN haben.
Ob es jetzt von der Sophos kommt (was ich bevorzuge) oder von der Unifi direkt.

Ich hatte bereits probiert eine DNAT Regel (Ziel: Unifi) + Portforwarding (1194 für Ovpn Server auf Unifi) einzustellen, leider ohne Erfolg. (Dynamischer DNS ist natürlich aktiv und entsprechend in der Konfi. immer berücksichtigt).

Ebenso hatte ich SSL VPN auf der Sophos eingerichtet mit entsprechender Firewall Regel (Zugriff auf LAN).
Auf der Unifi habe ich entsprechend eine Firewall Regel gesetzt. Leider auch hier ohne Erfolg.

Gibt es hier evtl. ein Best Practice?
aqui
aqui 18.07.2024 aktualisiert um 09:02:53 Uhr
Goto Top
OK, gehen wir jetzt mal davon aus das du das antike und wenig performance OpenVPN als VPN Protokoll verwendest dann musst du schlicht und einfach NUR ein Port Forwarding von UDP 1194 in der Sophos auf die UniFy Gurke machen genau wie es im dir oben geposteten Tutorial steht was du hoffentlich gelesen hast?! 🤔

Eingehende OpenVPN Sessions mit UDP 1194 als Zielport landen doch zuerst am WAN Port der Sophos XG, folglich muss auch dort das Port Forwarding auf die WAN IP der dahinter kaskadierten Unify Gurke zeigen.
Logisch, denn die Sophos WAN IP oder FQDN ist ja auf der OpenVPN Initiator Seite (Client) imm die VPN Zieladresse. Folglich muss die Sophos bei ihr am WAN eingehende OpenVPN Pakete an den Unify weiterleiten, weil dort ja der OpenVPN Server (Responder) liegt auf dem diese Session terminiert werden.
Eigentlich doch eine simple und banale Logik die ein einziger Port Forwarding Eintrag in der Sophos erledigt. So einen Unsinn wie Destination NAT usw. ist nicht erforderlich.
Da beides Firewalls sind muss es natürlich auf beiden Maschinen auch eine entsprechende Regel geben die UDP 1194 Zugriff auf die jeweilige WAN Port IP Adresse erlaubt.
Normalerweise ne Sache von 5 Minuten um das zum Fliegen zu bringen...
mrxlenn
mrxlenn 18.07.2024 um 09:31:02 Uhr
Goto Top
Danke, ich konnte es bereits lösen!
aqui
aqui 18.07.2024 aktualisiert um 09:34:39 Uhr
Goto Top
Wäre ja nett und zielführend wenn du auch andere an der Lösung teilhaben lassen könntest was ja der tiefere Sinn eines Forums ist. So können auch andere mit gleichen Problemen von deinem Lösungsweg profitieren...?!
mrxlenn
Lösung mrxlenn 18.07.2024 um 09:49:00 Uhr
Goto Top
Ich hatte zunächst den OpenVPN Server auf der Unifi eingerichtet. Danach habe ich das NAT auf der Unifi deaktiviert per SSH (wegen doppel NAT) und habe im Anschluss ein Portforwarding auf der Sophos eingerichtet. Ohne das deaktivieren des NAT auf der Unifi funktioniert das Portforwarding von der Sophos nicht! Hier noch ein hilfreicher Artikel dazu: [https://ubiquiti-networks-forum.de/wiki/entry-pdf-export/38-usg-doppeltes-nat-abschalten-usg-only/. Das Portforwarding habe ich natürlich beschränkt (Quellnetze usw.).