26
Verständnisfrage Routing VPN - Zwei Gateways
Hi Community,
ich habe ein Szenario welches soweit funktioniert, ich allerdings noch eine Frage zum Verständnis hätte.
Anbei ein Foto um alles deutlicher zu machen.
Im Szenario liegen zwei Public IPs am Anschluss an. Es werden zwei Firewalls (Lancom und die neue Sophos ) eingesetzt. Vorerst läuft alles default noch über die Lancom und soll zum Zeitpunkt X durch die Sophos Appliance ersetzt werden.
Es handelt sich um eine Sophos XG Firewall.
Jede Firewall besitzt eine Public IP am WAN Port und eine IP vom internen LAN.
Wie bereits erwähnt ist bei den Clients im Netzwerk das Default Gateway auf den Lancom gesetzt (192.168.100.1/24).
Nun habe ich die Sophos Firewall in das interne Netzwerk eingebunden ( 192.168.100.31 / 24) und mit der Public IP 1 am WAN Port angeschlossen.
Über die Sophos wird ein SSL VPN bereitgestellt (10.81.230.0(24)).
Nun zur Frage:
Die VPN Verbindung wird zur Sophos Firewall sauber aufgebaut und die Pakete treffen im Log auf der Sophos Firewall ein. Wenn nun z.B. ein RDP Sitzung zum Terminalserver im internen Netzwerk aufgebaut wird (192.168.100.4) dann fehlt natürlich die Rückantwort vom Terminalserver, da dieser das Default Gateway anspricht und der Lancom nicht weiß was er mit den Paketen machen soll.
Soweit so gut.
Als nächsten Schritt habe ich auf dem Lancom eine Route ins VPN Netzwerk konfiguriert. Netz: 10.81.230.0 /24 mit der Peer IP: 192.168.100.31 der Sophos.
Leider kommt auch hier keine Rückmeldung vom Client nur die Pakete vom VPN Client ins LAN kommen an.
Nach dem ich auf der Firewall Rule auf der Sophos "VPN -> LAN" die Maskierung mit der IP ( 192.168.100.31) aktiviert habe funktioniert die Rückantwort und der VPN Client kann sauber von Extern auf das interne Netzwerk über die zweite Firewall zugreifen.
Jetzt stehe ich gerade etwas auf dem Schlauch:
1.) Warum funktioniert es wenn ich die Maskierung von VPN to LAN mit der internen IP der Sophos einschalte?
2.) Es sollte doch genügen, wenn ich auf dem Default Gateway (LANCOM) die Route zur Sophos Appliance und dem dahinterliegenden VPN Netzwerk erstelle?
Oder habe ich an dieser Stelle irgendwo einen Denkfehler?
Danke im Voraus.
Grüße Phil
ich habe ein Szenario welches soweit funktioniert, ich allerdings noch eine Frage zum Verständnis hätte.
Anbei ein Foto um alles deutlicher zu machen.
Im Szenario liegen zwei Public IPs am Anschluss an. Es werden zwei Firewalls (Lancom und die neue Sophos ) eingesetzt. Vorerst läuft alles default noch über die Lancom und soll zum Zeitpunkt X durch die Sophos Appliance ersetzt werden.
Es handelt sich um eine Sophos XG Firewall.
Jede Firewall besitzt eine Public IP am WAN Port und eine IP vom internen LAN.
Wie bereits erwähnt ist bei den Clients im Netzwerk das Default Gateway auf den Lancom gesetzt (192.168.100.1/24).
Nun habe ich die Sophos Firewall in das interne Netzwerk eingebunden ( 192.168.100.31 / 24) und mit der Public IP 1 am WAN Port angeschlossen.
Über die Sophos wird ein SSL VPN bereitgestellt (10.81.230.0(24)).
Nun zur Frage:
Die VPN Verbindung wird zur Sophos Firewall sauber aufgebaut und die Pakete treffen im Log auf der Sophos Firewall ein. Wenn nun z.B. ein RDP Sitzung zum Terminalserver im internen Netzwerk aufgebaut wird (192.168.100.4) dann fehlt natürlich die Rückantwort vom Terminalserver, da dieser das Default Gateway anspricht und der Lancom nicht weiß was er mit den Paketen machen soll.
Soweit so gut.
Als nächsten Schritt habe ich auf dem Lancom eine Route ins VPN Netzwerk konfiguriert. Netz: 10.81.230.0 /24 mit der Peer IP: 192.168.100.31 der Sophos.
Leider kommt auch hier keine Rückmeldung vom Client nur die Pakete vom VPN Client ins LAN kommen an.
Nach dem ich auf der Firewall Rule auf der Sophos "VPN -> LAN" die Maskierung mit der IP ( 192.168.100.31) aktiviert habe funktioniert die Rückantwort und der VPN Client kann sauber von Extern auf das interne Netzwerk über die zweite Firewall zugreifen.
Jetzt stehe ich gerade etwas auf dem Schlauch:
1.) Warum funktioniert es wenn ich die Maskierung von VPN to LAN mit der internen IP der Sophos einschalte?
2.) Es sollte doch genügen, wenn ich auf dem Default Gateway (LANCOM) die Route zur Sophos Appliance und dem dahinterliegenden VPN Netzwerk erstelle?
Oder habe ich an dieser Stelle irgendwo einen Denkfehler?
Danke im Voraus.
Grüße Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 553729
Url: https://administrator.de/contentid/553729
Printed on: April 30, 2024 at 11:04 o'clock
26 Comments
Latest comment
Ohne Maskierung kommt ein TCP Paket von einem Absender mit der IP 10.81.230.x am Terminal Server an. Beim Antworten verwendet der Terminalserver sein reguläres Gateway, also den LANCOM, der davon nichts weiss.
Mit Maskierung verändert Sophos im TCP Paket den Absender und am Terminal Server kommt ein Paket mit dem Absender 192.168.100.31 an. Der Terminal Server kann dem 192.168.100.31 natürlich direkt antworten. Sophos hat sich gemerkt woher das Paket stammte bzw wohin es wirklich gehen soll und leitet es weiter zum Client 10.81.230.x
Eigentlich ist die Maskierung ganz OK, wenn es sich um einzelne Clients am VPN Endpunkt handelt. Wenn Du ein Site2Site VPN aufbauen möchtest, muss die Maskierung weg. Dann musst Du nur noch dem LANCOM Router die Route eingeben: 10.81.230.0/24 -> 192.168.100.31, dann leitet der LANCOM alles an den Sophos weiter, was er vom Terminal Server erhalten hat und zurück ins VPN soll.
Mit Maskierung verändert Sophos im TCP Paket den Absender und am Terminal Server kommt ein Paket mit dem Absender 192.168.100.31 an. Der Terminal Server kann dem 192.168.100.31 natürlich direkt antworten. Sophos hat sich gemerkt woher das Paket stammte bzw wohin es wirklich gehen soll und leitet es weiter zum Client 10.81.230.x
Eigentlich ist die Maskierung ganz OK, wenn es sich um einzelne Clients am VPN Endpunkt handelt. Wenn Du ein Site2Site VPN aufbauen möchtest, muss die Maskierung weg. Dann musst Du nur noch dem LANCOM Router die Route eingeben: 10.81.230.0/24 -> 192.168.100.31, dann leitet der LANCOM alles an den Sophos weiter, was er vom Terminal Server erhalten hat und zurück ins VPN soll.
1
Danke dir für die schnelle Antwort.
Genau dies habe ich verstanden und deswegen auch so konfiguriert.
Ich frage mich allerdings wieso der VPN nur mit der Maskierung läuft und nicht mit einer Route im Lancom Router?
Ich hatte ja oben geschrieben, dass ich im ersten Stepp die Maskierung nicht konfiguriert habe sondern eine Route im Lancom Router.
Somit müssten ja alle Pakete (wie du auch geschrieben hast) zurück an die Sophos und somit ins VPN Netz gehen, was allerdings nicht passiert.
Grüße
Genau dies habe ich verstanden und deswegen auch so konfiguriert.
Ich frage mich allerdings wieso der VPN nur mit der Maskierung läuft und nicht mit einer Route im Lancom Router?
Ich hatte ja oben geschrieben, dass ich im ersten Stepp die Maskierung nicht konfiguriert habe sondern eine Route im Lancom Router.
Somit müssten ja alle Pakete (wie du auch geschrieben hast) zurück an die Sophos und somit ins VPN Netz gehen, was allerdings nicht passiert.
Grüße
Ach so :c)
Wenn Du es ohne Maskierung zum laufen bekommen möchtest, mach ein Trace Route, das sagt Dir dann wo es hängt oder wer nicht mit spielt...
Wenn Du es ohne Maskierung zum laufen bekommen möchtest, mach ein Trace Route, das sagt Dir dann wo es hängt oder wer nicht mit spielt...
Werde ich bei Gelegenheit mal noch durchführen.
Danke dir für die Hilfe.
Danke dir für die Hilfe.
Anbei ein Foto um alles deutlicher zu machen.
Da dann bitte das "+" an der richtigen Stelle im Text klicken, damit das Foto auch im richtigen Kontext zum Text erscheint ! 
(Kann man auch noch nachträglich machen.)
Leider kommt auch hier keine Rückmeldung vom Client nur die Pakete vom VPN Client ins LAN kommen an.
Das ist vermutlich auch normal weil die Sophos, Firewall üblich, mit an Sicherheit grenzender Wahrscheinlichkeit den lokal, statisch gerouteten Verkehr auch durch ihr Regelwerk schickt und du dafür sicherlich dann keine Regel hast.Das ist etwas nervig und in der Regel auch sinnfrei statisch lokal gerouteten Traffic über das FW Regelwerk zu zwingen aber üblicherwiese Default.
Die meisten Firewalls haben dafür einen Haken im Setup den man entsprechend setzen kann wie hier z.B. bei der bekannten pfSense Firewall:
Damit hat der Spuk dann ein Ende und dein VPN sollte sauber geroutet werden !
Es ist zu bezweifeln das die Sophos im VPN Tunnel den Traffic NATet (Adress Translation) so wie oben vermutet. Das wäre für eine Firewall absolut unüblich und dürfte sehr wahrscheinlich auch nicht der Fall sein, so das diese Option (vermutlich) nicht helfen wird, da gar nicht vorhanden.
Eine "Maskierung" ala NAT ist generell der falsche Weg da was Performance kostet und oft eine Routing Einbahnstrasse ist weil so transparentes Routing verhindert wird.
Deine statische Route im Lancom und kein NAT im Tunnel zu verwenden ist also aus Netzwerk Sicht genau richtig ! Tücke ist eben nur das die Sophos diesen gerouteten Traffic auch durch ihr Regelwerk schickt und diese Regel dort vermutlich fehlt. Siehe oben...
Du solltest zusätzlich auch noch im Hinterkopf haben das die lokale Winblows Firewall alles per Default blockt was nicht aus dem lokalen Netzwerk kommt. Also auch alles was aus dem VPN IP Netz kommt.
Ist der RDP Terminalserver also eine Winblows Gurke, musst du in die "Firewall mit erweiterten Eigenschaften" Settings gehen und den RDP Dienst in den Absender IPs dort entweder auf "beliebig" klicken oder dediziert dein 10er Netz VPN Netz angeben.
Was auch geht ist 10.0.0.0 Maske 255.0.0.0 als Range dann lässt der RDP Dienst alles zu was von remote aus 10er Subnetzen kommt solltest du noch mehr davon haben...
Da dann bitte das "+" an der richtigen Stelle im Text klicken, damit das Foto auch im richtigen Kontext zum Text erscheint !
(Kann man auch noch nachträglich machen.)Extra für dich nachgeholt
.Das sollte bei deiner Sophos Gurke auch irgendwo im Setup zu finden sein.
Damit hat der Spuk dann ein Ende und dein VPN sollte sauber geroutet werden !Dann werde ich mich mal auf die Suche nach dieser Funktion machen.
Generell gibt es eine Firewall Regel für die Antwort -> LAN to VPN was allerdings nichts mit dem von dir beschriebenen zu tun hat.
Es ist zu bezweifeln das die Sophos im VPN Tunnel den Traffic NATet (Adress Translation) so wie oben vermutet. Das wäre für eine Firewall absolut unüblich und dürfte sehr wahrscheinlich auch nicht der Fall sein, so das diese Option (vermutlich) nicht helfen wird, da gar nicht vorhanden.
Wie beschrieben, sobald ich die MAskierung auf der Firewall Regel "VPN to LAN" aktiviere, kommt die Verbindung sauber zustande.
Bedeutet er wird dies vermutlich doch auf irgendeine weiße Naten.
Deine statische Route im Lancom und kein NAT im Tunnel zu verwenden ist also aus Netzwerk Sicht genau richtig ! Tücke ist eben nur das die Sophos diesen gerouteten Traffic auch durch ihr Regelwerk schickt und diese Regel dort vermutlich fehlt. Siehe oben...
Dann muss ich hier nochmals sehen ob ich eine Funktion finde, welche den lokalen Traffic routet.
Bisher ist mir ehrlich gesagt noch nichts bekannt.
Die Windows Firewall habe ich kontrolliert, diese passt.
Grüße Phil
Die Windows Firewall habe ich kontrolliert, diese passt
Poste doch mal hier einen Ausdruck vom Trace, dann musst Du nicht mehr raten.Poste doch mal hier einen Ausdruck vom Trace, dann musst Du nicht mehr raten.
Ich werde mich nacher gleich aufs System schalten.
Von welchem Cllient aus möchtest du den Trace haben?
Einmal vom VPN Client zum Terminal Server und einmal vom Terminal Server zum VPN Client.
Einer dieser zwei Wege funktioniert ja nicht :c)
Einer dieser zwei Wege funktioniert ja nicht :c)
Naja also wenn ich vom VPN Client ein Tracert auf z.B. den Terminalserver mache kommt folgendes:
1 115ms 200 ms 120 ms "public IP"
2 * * * Zeitüberschreitung der Anforderung
Wenn ich vom Terminalserver auf den VPN Client ein Tracert mache:
1 * * * Zeitüberschreitung der Anforderung
2 * * * Zeitüberschreitung der Anforderung
3 * * * Zeitüberschreitung der Anforderung
Bringt mich aber jetzt ehrlich gesagt wenig weiter :D.
Grüße
1 115ms 200 ms 120 ms "public IP"
2 * * * Zeitüberschreitung der Anforderung
Wenn ich vom Terminalserver auf den VPN Client ein Tracert mache:
1 * * * Zeitüberschreitung der Anforderung
2 * * * Zeitüberschreitung der Anforderung
3 * * * Zeitüberschreitung der Anforderung
Bringt mich aber jetzt ehrlich gesagt wenig weiter :D.
Grüße
Also ich habe jetzt nochmals die Einstellungen in der Sophos kontrolliert.
ICh wüsste nicht wo ich etwas speziell aktivieren könnte, dass der Traffic welcher lokal geroutet wird ebenfalls durch die Regeln läuft.
###
Vom SSL VPN Client kann ich die SChnittstelle der Sophos im internen Lan anpingen.
ICh wüsste nicht wo ich etwas speziell aktivieren könnte, dass der Traffic welcher lokal geroutet wird ebenfalls durch die Regeln läuft.
###
Vom SSL VPN Client kann ich die SChnittstelle der Sophos im internen Lan anpingen.
ICh wüsste nicht wo ich etwas speziell aktivieren könnte, dass der Traffic welcher lokal geroutet wird ebenfalls durch die Regeln läuft.
Dann hast du auch den obigen Thread auch nicht richtig gelesen oder verstanden !!!Es muss logischerweise deaktiviert werden, da jede Firewall auch lokal gerouteten Traffic immer durch ihr Regelwerk schickt !!!
Man will ja gerade NICHT das lokal gerouter Traffic durch die Firewall rennt ! Deshalb deaktivieren !
Genau das sagt ja oben auch das pfSense Setup ! "Bypass Firewall rules for local traffic" !
Lesen und verstehen...
Sofern deine Sophos Gurke so eine Einstellung nicht hat kannst du den Traffic dann nur mit zusätzlichen Regeln freigeben auf dem LAN Port.
So eine schlechte Firewall kann die Sophos aber nicht sein das sie dieses Allerwelts Feature nicht hat ! Oder etwa doch..?!?
Naja also ich denke mal vorweg, dass Sophos kein Gurke ist .
Aber da hat ja jeder andere Ansichten :D.
Also wie gesagt kann ich keine Einstellung finden um diese Einstellung zu DEAKTIVIEREN .
###
Kannst du mir sagen wie sowas aussehn soll?
Was mich stark wundert ist, dass der Traffic in den Logs nicht geblocket oder sonstiges wird.
Also wenn ich z.B. versuche von einem Client (Terminalserver) auf den VPN Client zuzugreifen muss doch mindestens der Traffic an der SOphos Firewall ankommen, wenn die Route im Lancom steht
.Aber da hat ja jeder andere Ansichten :D.
Also wie gesagt kann ich keine Einstellung finden um diese Einstellung zu DEAKTIVIEREN .
###
Sofern deine Sophos Gurke so eine Einstellung nicht hat kannst du den Traffic dann nur mit zusätzlichen Regeln freigeben auf dem LAN Port.
Kannst du mir sagen wie sowas aussehn soll?
Was mich stark wundert ist, dass der Traffic in den Logs nicht geblocket oder sonstiges wird.
Also wenn ich z.B. versuche von einem Client (Terminalserver) auf den VPN Client zuzugreifen muss doch mindestens der Traffic an der SOphos Firewall ankommen, wenn die Route im Lancom steht
Kurzes Edit:
Ich habe parallel noch dem Support von Sophos geschrieben und folgende Antwort erhalten:
Das von Ihnen beschriebene Verhalten ist den Ethernet geschuldet.
Wenn Sie die VPN IP Adresse maskieren, bewegen Sie sich im lokalen Netzwerk (192.168.100.0/24) und benötigen für die Kommunikation kein Gateway.
Wenn Sie aus Ihrem intern Netzwerk den SSL Pool anpingen wollen, haben Sie wieder ein asynchrones Routing
Support meinte auch, dass die beste Lösung wäre wenn ein Transfer Netz zwischen den beiden Firewalls vorhanden ist und Routing über dieses in beide Richtungen laufen bzw konfiguriert wird.
Grüße Phil
Ich habe parallel noch dem Support von Sophos geschrieben und folgende Antwort erhalten:
Das von Ihnen beschriebene Verhalten ist den Ethernet geschuldet.
Wenn Sie die VPN IP Adresse maskieren, bewegen Sie sich im lokalen Netzwerk (192.168.100.0/24) und benötigen für die Kommunikation kein Gateway.
Wenn Sie aus Ihrem intern Netzwerk den SSL Pool anpingen wollen, haben Sie wieder ein asynchrones Routing
Support meinte auch, dass die beste Lösung wäre wenn ein Transfer Netz zwischen den beiden Firewalls vorhanden ist und Routing über dieses in beide Richtungen laufen bzw konfiguriert wird.
Grüße Phil
wäre wenn ein Transfer Netz zwischen den beiden Firewalls vorhanden ist und Routing über dieses in beide Richtungen laufen
Nein, das ist Blödsinn ! Ist ja mehr oder minder das gleiche zu dem was du jetzt auch hast nur das du das eben auf dem lokalen LAN routest.Was auch immer die mit ihrem omniösen "maskieren" meinen ?!?
Hier rennt das mit 3 verschiedenen VPN Gateways im lokalen Netz (2x pfSense und 1x Cisco Router) vollkommen fehlerlos. Sollte es auch, denn es ist ja rein nur simpelstes IP Routing.
Es ist auch gut möglich das am Lancom eine Firewall am lokalen LAN Port werkelt. Der RDP Server Traffic kommt ja immer zuerst am Lancom an, denn der ist ja Default Gateway des RDP Servers.
Ist dort auch eine Firewall aktiv die Zieltraffic ins 10.81.230.0er Netz blockiert, dann kommt logischerweise keine Client Session zustande, klar.
Es ist also sehr wichtig das du das am Lancom kontrollierst ob das der Fall ist. Wireshark ist ggf. dein bester Freund hier.
Der Lancom würde normalerweise immer ein ICMP Redirect an den RDP Server schicken weil er ja "sieht" das der Server die Sophos Gurke im eigenen Netz besser direkt den Traffic schicken kann. Der Redirect bewirkt das der Server dann direkt nach der Sophos ARPen würde und den Traffic dann OHNE Umweg über den Lancom direkt zur Sophos sendet.
Im Default ist das ICMP Protokoll aber in der lokalen Winblows Firewall deaktiviert, so das diese den Redirect gar nicht mitbekommt und weiterhin fröhlich den Lancom als "Durchlauferhitzer" und Umwegschleife für den VPN Traffic benutzt.
Firewalls blockieren in der Regel auch ICMP Redirects und auch hier müsste man diese explizit freigeben am LAN Port.
In Konstellationen wie der deinen macht das also durchaus Sinn um denn Netztraffic effektiv zu redirecten !
Deine wichtigsten ToDos sind also
- den VPN Traffic Flow durch den Lancom zu checken und ggf. anzupassen
- Ggf. ICMP Redirects in RDP Server, Lancom und Sophos aktivieren.
Wenn die Sophos mit solch einfachsten Designs nicht umgehen kann stellt sich natürlich grundsätzlich dann auch die Frage warum du das Default Gateway des RDP Servers nicht sinnigerweise dann umstellst auf die 192.168.100.31 ?!
Wenn darüber eh alle remoten RDP Sessions via VPN reinkommen würde das ja Sinn machen. Dann auf der Sophos die statischen Routen zu den Lancom Netzen (sofern da überhaupt welche sind ?!) eintragen und gut iss.
Das wäre ja dann die intelligenteste Lösung wenn die Sophos Gurke nicht einmal simpelstes IP Routing im Netzwerk richtig kann. Ein Grund von sowas die Finger zu lassen.
1Naja also wenn ich vom VPN Client ein Tracert auf z.B. den Terminalserver mache kommt folgendes:
1 115ms 200 ms 120 ms "public IP"
2 * * * Zeitüberschreitung der Anforderung
1 115ms 200 ms 120 ms "public IP"
2 * * * Zeitüberschreitung der Anforderung
Das heißt doch schon, dass der VPN Client gar keine Route zum 192.168.100.x/24 erhalten hat. Er will direkt in sein Internet.
Nein, das ist Blödsinn ! Ist ja mehr oder minder das gleiche zu dem was du jetzt auch hast nur das du das eben auf dem lokalen LAN routest.
Was auch immer die mit ihrem omniösen "maskieren" meinen ?!?Hier rennt das mit 3 verschiedenen VPN Gateways im lokalen Netz (2x pfSense und 1x Cisco Router) vollkommen fehlerlos. Sollte es auch, denn es ist ja rein nur simpelstes IP Routing.
Ok.
Deine wichtigsten ToDos sind also
den VPN Traffic Flow durch den Lancom zu checken und ggf. anzupassenGgf. ICMP Redirects in RDP Server, Lancom und Sophos aktivieren.
Genau. Ich denke ich müsste nochmals genau in den Lancom schauen, ob dort etwas geblockt wird.
Allerdings muss ich zugeben, dass ich die Lancom Firewalls nicht kenne.
Wenn die Sophos mit solch einfachsten Designs nicht umgehen kann stellt sich natürlich grundsätzlich dann auch die Frage warum du das Default Gateway des RDP Servers nicht sinnigerweise dann umstellst auf die 192.168.100.31 ?!
Wenn darüber eh alle remoten RDP Sessions via VPN reinkommen würde das ja Sinn machen. Dann auf der Sophos die statischen Routen zu den Lancom Netzen (sofern da überhaupt welche sind ?!) eintragen und gut iss.Das wäre ja dann die intelligenteste Lösung wenn die Sophos Gurke nicht einmal simpelstes IP Routing im Netzwerk richtig kann. Ein Grund von sowas die Finger zu lassen.
Die Sophos Firewall soll die Lancom Firewall sowieso ablösen, weswegen früher oder später diese als Default Gateway eingetragen wird.
Ich hätte dies nur gerne zum Laufen gebracht, da es mich einfach Interessiert wo jetzt gerade der Haken ist.
Zum Thema Verbindung vom Internen Netzwerk zum SSL VPN meinte der Sophos MItarbeiter folgendes:
Die Problematik ist, dass der Client im internen Netzwerk über die Lancom Firewall (Route) zur Sophos Firewall geht und diese den Traffic ins VPN Netzwerk sendet. Allerdings ist der Rückweg fehlerhaft, das die Sophos Firewall versucht das Paket direkt an den terminalserver zuzustellen und nicht den Weg zurück über die Lancom Firewall geht.
Nun die Frage. Kannst du das so bestätigen?
Muss das Rückpaket über die Lancom und kann nicht direkt zugestellt werden?
Grüße Phil
der Mitarbeiter von Sophos legt den Finger in die richtige Wunde. Auch Aqui hatte das bereits indirekt angesprochen, die Problematik aber nicht näher erläutert, was vermuten lässt, dass er die tiefer liegende Ursache dann doch nicht auf dem Schirm hat.
Das Problem ist, dass Du eine Dreiecksroute gebaut hast. Rein bezogen aufs Routing ist das zunächst gar kein Problem, wenn der Lancom rein als klassischer Router fungieren würde. Er ist aber hier als SPI-Firewall im Einsatz, die offenkundig das Regelwerk auch auf Traffic anwendet, welcher über das eingehende Interface auch wieder rausgeroutet wird. Dies bedeutet zunächst einmal, dass Du auf dem Lancom zumindest eine entsprechende Allow-Regel benötigen würdest. Wenn Du diese einrichten würdest, solltest Du aber feststellen, dass dennoch nur ICMP und u.U. auch UDP funktionieren werden - nicht aber TCP-Traffic. Hintergrund ist, dass eine SPI-Firewall den TCP-Handshake vollständig mitlesen und die TCP-Sequenznummern der nachgelagerten Pakete überwachen muss, um den bidirektionalen Traffic einer TCP-Session zuordnen zu können. Nur dann kann die Firewall den Antworttraffic dynamisch zulassen. Im vorliegenden Fall sieht der Lancom aufgrund der Dreiecksroute aber immer nur einen Teil der bidirektionalen Kommunikation. Folglich dropt der Lancom den Verkehr, weil er für ihn unplausibel ist.
Lösen kann man dies auf zwei Wegen:
1) man gewöhnt dem Lancom ab, diesen Traffic durch das Firewallregelwerk zu jagen
2) man schafft das asymmetrische Routing ab.
Letztere Option wäre die bessere. Dies zu erreichen gibt es verschiedene Wege - einige wurden bereits angesprochen. Der simpelste Weg blieb bislang jedoch unerwähnt: sorge per statischer Route auf dem Terminalserver dafür, dass er VPN-Clients direkt über die Sophos anspricht. Das Standardgateway des TS kann dann vorerst weiterhin auf den Lancom zeigen.
Gruß
sk
Das Problem ist, dass Du eine Dreiecksroute gebaut hast. Rein bezogen aufs Routing ist das zunächst gar kein Problem, wenn der Lancom rein als klassischer Router fungieren würde. Er ist aber hier als SPI-Firewall im Einsatz, die offenkundig das Regelwerk auch auf Traffic anwendet, welcher über das eingehende Interface auch wieder rausgeroutet wird. Dies bedeutet zunächst einmal, dass Du auf dem Lancom zumindest eine entsprechende Allow-Regel benötigen würdest. Wenn Du diese einrichten würdest, solltest Du aber feststellen, dass dennoch nur ICMP und u.U. auch UDP funktionieren werden - nicht aber TCP-Traffic. Hintergrund ist, dass eine SPI-Firewall den TCP-Handshake vollständig mitlesen und die TCP-Sequenznummern der nachgelagerten Pakete überwachen muss, um den bidirektionalen Traffic einer TCP-Session zuordnen zu können. Nur dann kann die Firewall den Antworttraffic dynamisch zulassen. Im vorliegenden Fall sieht der Lancom aufgrund der Dreiecksroute aber immer nur einen Teil der bidirektionalen Kommunikation. Folglich dropt der Lancom den Verkehr, weil er für ihn unplausibel ist.
Lösen kann man dies auf zwei Wegen:
1) man gewöhnt dem Lancom ab, diesen Traffic durch das Firewallregelwerk zu jagen
2) man schafft das asymmetrische Routing ab.
Letztere Option wäre die bessere. Dies zu erreichen gibt es verschiedene Wege - einige wurden bereits angesprochen. Der simpelste Weg blieb bislang jedoch unerwähnt: sorge per statischer Route auf dem Terminalserver dafür, dass er VPN-Clients direkt über die Sophos anspricht. Das Standardgateway des TS kann dann vorerst weiterhin auf den Lancom zeigen.
Gruß
sk
1sorge per statischer Route auf dem Terminalserver dafür, dass er VPN-Clients direkt über die Sophos anspricht.
Richtig ! Manchmal übersieht man das Simpleste im Eifer des Gefechts...route add 10.81.230.0 mask 255.255.255.0 192.168.100.31 -p
auf dem RDP Server (Winblows) sollte das Problem dann auch lösen...
Jetzt könnte man noch diskutieren ob nicht besser immer die Router im Netz auch zentral routen sollten und nicht die Endgeräte was dann für ein Glattziehen der Lancom Regel spricht aber im Sinne einer unkomplizierten Lösung gewinnt dann das Obige.
1
Danke euch wie immer für die Klasse hilfe.
In dem Fall würde ich die Route auf dem Terminalserver hinzufügen, da die SOphos die Lancom Firewall ersetzt.
Allerdings gebe ich dir "aqui" vollkommen Recht.
Ich finde auch, dass im Normalfall alles über die Firewall geroutet werden sollte.
In dem Fall würde ich die Route auf dem Terminalserver hinzufügen, da die SOphos die Lancom Firewall ersetzt.
Allerdings gebe ich dir "aqui" vollkommen Recht.
Ich finde auch, dass im Normalfall alles über die Firewall geroutet werden sollte.
Kurzes Feedback:
Route zum Test hinzugefügt und es funktioniert sofort perfekt.
Route zum Test hinzugefügt und es funktioniert sofort perfekt.
👍
Da wir gerade genau das gleiche Problem haben, das du hattest, eine Frage dazu:
Wie? Wo genau hast du diese Funktion gefunden, wir suchen exakt das....
Zitat von @Gerber:
Nach dem ich auf der Firewall Rule auf der Sophos "VPN -> LAN" die Maskierung mit der IP ( > 192.168.100.31) aktiviert habe
Nach dem ich auf der Firewall Rule auf der Sophos "VPN -> LAN" die Maskierung mit der IP ( > 192.168.100.31) aktiviert habe
Wie? Wo genau hast du diese Funktion gefunden, wir suchen exakt das....
Hello,
vllt Erläuterst du nochmals etwas genauer dein Problem.
Grüße
Phil
vllt Erläuterst du nochmals etwas genauer dein Problem.
Grüße
Phil
Die Situation ist:
Es werden zwei Firewalls (große vom Rechenzentrum für quasi alles und die eine Sophos XG für VPN / RDP). Bei den Clients im Netzwerk das Default Gateway auf die große Nicht-Sophos gesetzt.
Ich mixe mal unsere Beschreibung mit dem Original, weil da schon so viel gepasst hat.
Das Problem ist:
Die VPN Verbindung wird zur Sophos Firewall sauber aufgebaut und die Pakete treffen im Log auf der Sophos Firewall ein. Wenn nun aber eine RDP Sitzung mit einem PC im internen Netzwerk aufgebaut wird, fehlt natürlich die Rückantwort des PCs, da dieser das Default Gateway anspricht und die große Nicht-Sophos-Firewall nicht weiß was sie mit den Paketen machen soll.
Die Frage also:
Wie können wir den Clients, die für die Vor-Ort-Arbeit den anderen Standard Gateway behalten müssen, während der VPN-RDP-Verbindung die Sophos XG als Gateway setzen?
Vielen Dank!
Es werden zwei Firewalls (große vom Rechenzentrum für quasi alles und die eine Sophos XG für VPN / RDP). Bei den Clients im Netzwerk das Default Gateway auf die große Nicht-Sophos gesetzt.
Ich mixe mal unsere Beschreibung mit dem Original, weil da schon so viel gepasst hat.
Das Problem ist:
Die VPN Verbindung wird zur Sophos Firewall sauber aufgebaut und die Pakete treffen im Log auf der Sophos Firewall ein. Wenn nun aber eine RDP Sitzung mit einem PC im internen Netzwerk aufgebaut wird, fehlt natürlich die Rückantwort des PCs, da dieser das Default Gateway anspricht und die große Nicht-Sophos-Firewall nicht weiß was sie mit den Paketen machen soll.
Die Frage also:
Wie können wir den Clients, die für die Vor-Ort-Arbeit den anderen Standard Gateway behalten müssen, während der VPN-RDP-Verbindung die Sophos XG als Gateway setzen?
Vielen Dank!
Hi,
entweder du setzt auf der großen nicht Sophos Firewall Routen, dass die Rückantwort zur Sophos gelangt und auch wieder über diese Verbindung geht oder du setzt die Route statisch auf dem RDP Client.
Wenn es sich jetzt natürlich um 100 RDP Clients handelt, ist es ziemlich aufwändig die Routen zu setzten und auch unübersichtlich.
Wenn es sich um ein zwei RDS Server handelt und du wenig Zugriff auf die "großen Firewalls" hast, ist dies die beste Lösung:
route add 10.81.230.0 mask 255.255.255.0 192.168.100.31 -p
Grüße
Phil
entweder du setzt auf der großen nicht Sophos Firewall Routen, dass die Rückantwort zur Sophos gelangt und auch wieder über diese Verbindung geht oder du setzt die Route statisch auf dem RDP Client.
Wenn es sich jetzt natürlich um 100 RDP Clients handelt, ist es ziemlich aufwändig die Routen zu setzten und auch unübersichtlich.
Wenn es sich um ein zwei RDS Server handelt und du wenig Zugriff auf die "großen Firewalls" hast, ist dies die beste Lösung:
route add 10.81.230.0 mask 255.255.255.0 192.168.100.31 -p
Grüße
Phil
