6
Unifi Cloud Gateway Ultra hinter Sophos XG135
Hallo Zusammen,
ich würde gerne das VPN über meine Sophos Firewall nutzen, um damit auf das Netzwerk von meiner Unifi zu kommen. Die Verbindung zur Firewall klappt, allerdings komme ich nicht in das Netzwerk meiner Unifi.
Ich habe bereits diverse NAT und Firewallregeln getestet, klappt nur leider nicht.
Hat jemand eine Idee und kann mir bitte hier helfen?
ich würde gerne das VPN über meine Sophos Firewall nutzen, um damit auf das Netzwerk von meiner Unifi zu kommen. Die Verbindung zur Firewall klappt, allerdings komme ich nicht in das Netzwerk meiner Unifi.
Ich habe bereits diverse NAT und Firewallregeln getestet, klappt nur leider nicht.
Hat jemand eine Idee und kann mir bitte hier helfen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82308543116
Url: https://administrator.de/contentid/82308543116
Ausgedruckt am: 21.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Hier steht was in solchen Router Kaskaden Umfeldern beim VPN Zugriff für die unterschiedlichen VPN Protokolle (die du leider nicht nennst 
) zu beachten ist.
Zielführend wäre auch zu wissen WAS genau du schon probiert hast!
VPN Port Forwarding in Router Kaskaden
) zu beachten ist.Zielführend wäre auch zu wissen WAS genau du schon probiert hast!
VPN Port Forwarding in Router Kaskaden
Hallo,
danke für deinen Tipp.
Mein Aufbau: Speeport Smart 3 (Modemfunktion aktiv) -> Sophos XG135 PPPOE -> Unifi Cloud Gateway Ultra -> Unifi 6 Light AP (WLAN) -> Clients
Ich möchte nun ein funktionierendes VPN haben.
Ob es jetzt von der Sophos kommt (was ich bevorzuge) oder von der Unifi direkt.
Ich hatte bereits probiert eine DNAT Regel (Ziel: Unifi) + Portforwarding (1194 für Ovpn Server auf Unifi) einzustellen, leider ohne Erfolg. (Dynamischer DNS ist natürlich aktiv und entsprechend in der Konfi. immer berücksichtigt).
Ebenso hatte ich SSL VPN auf der Sophos eingerichtet mit entsprechender Firewall Regel (Zugriff auf LAN).
Auf der Unifi habe ich entsprechend eine Firewall Regel gesetzt. Leider auch hier ohne Erfolg.
Gibt es hier evtl. ein Best Practice?
danke für deinen Tipp.
Mein Aufbau: Speeport Smart 3 (Modemfunktion aktiv) -> Sophos XG135 PPPOE -> Unifi Cloud Gateway Ultra -> Unifi 6 Light AP (WLAN) -> Clients
Ich möchte nun ein funktionierendes VPN haben.
Ob es jetzt von der Sophos kommt (was ich bevorzuge) oder von der Unifi direkt.
Ich hatte bereits probiert eine DNAT Regel (Ziel: Unifi) + Portforwarding (1194 für Ovpn Server auf Unifi) einzustellen, leider ohne Erfolg. (Dynamischer DNS ist natürlich aktiv und entsprechend in der Konfi. immer berücksichtigt).
Ebenso hatte ich SSL VPN auf der Sophos eingerichtet mit entsprechender Firewall Regel (Zugriff auf LAN).
Auf der Unifi habe ich entsprechend eine Firewall Regel gesetzt. Leider auch hier ohne Erfolg.
Gibt es hier evtl. ein Best Practice?
OK, gehen wir jetzt mal davon aus das du das antike und wenig performance OpenVPN als VPN Protokoll verwendest dann musst du schlicht und einfach NUR ein Port Forwarding von UDP 1194 in der Sophos auf die UniFy Gurke machen genau wie es im dir oben geposteten Tutorial steht was du hoffentlich gelesen hast?! 🤔
Eingehende OpenVPN Sessions mit UDP 1194 als Zielport landen doch zuerst am WAN Port der Sophos XG, folglich muss auch dort das Port Forwarding auf die WAN IP der dahinter kaskadierten Unify Gurke zeigen.
Logisch, denn die Sophos WAN IP oder FQDN ist ja auf der OpenVPN Initiator Seite (Client) imm die VPN Zieladresse. Folglich muss die Sophos bei ihr am WAN eingehende OpenVPN Pakete an den Unify weiterleiten, weil dort ja der OpenVPN Server (Responder) liegt auf dem diese Session terminiert werden.
Eigentlich doch eine simple und banale Logik die ein einziger Port Forwarding Eintrag in der Sophos erledigt. So einen Unsinn wie Destination NAT usw. ist nicht erforderlich.
Da beides Firewalls sind muss es natürlich auf beiden Maschinen auch eine entsprechende Regel geben die UDP 1194 Zugriff auf die jeweilige WAN Port IP Adresse erlaubt.
Normalerweise ne Sache von 5 Minuten um das zum Fliegen zu bringen...
Eingehende OpenVPN Sessions mit UDP 1194 als Zielport landen doch zuerst am WAN Port der Sophos XG, folglich muss auch dort das Port Forwarding auf die WAN IP der dahinter kaskadierten Unify Gurke zeigen.
Logisch, denn die Sophos WAN IP oder FQDN ist ja auf der OpenVPN Initiator Seite (Client) imm die VPN Zieladresse. Folglich muss die Sophos bei ihr am WAN eingehende OpenVPN Pakete an den Unify weiterleiten, weil dort ja der OpenVPN Server (Responder) liegt auf dem diese Session terminiert werden.
Eigentlich doch eine simple und banale Logik die ein einziger Port Forwarding Eintrag in der Sophos erledigt. So einen Unsinn wie Destination NAT usw. ist nicht erforderlich.
Da beides Firewalls sind muss es natürlich auf beiden Maschinen auch eine entsprechende Regel geben die UDP 1194 Zugriff auf die jeweilige WAN Port IP Adresse erlaubt.
Normalerweise ne Sache von 5 Minuten um das zum Fliegen zu bringen...
Danke, ich konnte es bereits lösen!
Wäre ja nett und zielführend wenn du auch andere an der Lösung teilhaben lassen könntest was ja der tiefere Sinn eines Forums ist. So können auch andere mit gleichen Problemen von deinem Lösungsweg profitieren...?!
Ich hatte zunächst den OpenVPN Server auf der Unifi eingerichtet. Danach habe ich das NAT auf der Unifi deaktiviert per SSH (wegen doppel NAT) und habe im Anschluss ein Portforwarding auf der Sophos eingerichtet. Ohne das deaktivieren des NAT auf der Unifi funktioniert das Portforwarding von der Sophos nicht! Hier noch ein hilfreicher Artikel dazu: [https://ubiquiti-networks-forum.de/wiki/entry-pdf-export/38-usg-doppeltes-nat-abschalten-usg-only/. Das Portforwarding habe ich natürlich beschränkt (Quellnetze usw.).
