Erreichbarkeit Site-to-Site VPN (Sophos - Lancom)

[extensier]

Hallo zusammen,

ich stehe gerade vor einem Problem, wo ich hoffe dass mir jemand helfen kann, den Wald zwischen den Bäumen wiederzufinden.

Die Kundenumgebung sieht wie folgt aus:

Hauptstandort: Sophos XG Firewall, Server Subnetz 10.x.1.x (über 30 Server auf VMware ESX)
9 Niederlassungen via IPsec VPN zur Sophos, jeweils Lancom Router. In den Niederlassungen finden sich dann nur noch 1x Domaincontroller, 1x Terminal-Server.

Am Hauptstandort betreiben wir einen Terminalcontroller Server, der intern für eine RDS-Farm und extern als Remotedesktop Gateway genutzt wird.

Nun zum Problem:
Der TC erreicht die Subnetze der Niederlassungen nicht. Ein anderer Server im gleichen Subnetz 10.x.1.x erreicht die Niederlassungen.
Traceroute Befehle passieren die Sophos Firewall noch und bleiben dann stecken. Das log der Sophos protokolliert die Kommunikation als wäre sie erfolgreich.
Ping erhält keine Antwort und primär muss über den Gateway der RDP Zugriff von außen funktionieren

Vielen Dank fürs lesen, ich hoffe jemand wird daraus schlau.


Gruß Felix

 

[chr1zZo]

Da bräuchtes du mal die genaue Infrastruktur Bildlich bzw. alle Daten von Routing und Ports. Das PING nicht geht ist logisch Ist nämlich so gewollt. Da sollte doch der ran, der das gebaut hat!! Weil du jetzt davor stehst und den Wald vor lauter Bäumen nicht siehts. Du müsstest ja jetzt erst mal voll Deep rein, um alles zu verstehen. Zeitaufwand....

 

[lesmona]

Sorry, was ist ein "Terminalcontroller Server" ? Ich nehme an du meinst den Connnection Broker. Anscheinend bei euch gleichzeitig auch Gateway und Webaccess?! Das ist ansich schonmal nicht so gut. Nicht umsonst kannst du die Rollen aufteilen. Sinn macht ggf. Webaccess und RD Gateway auf einen Server zu legen aber das was ihr da habt eher nicht. Vor allen dingen das Konstrukt das die RDS Hosts in den Außenstandorten stehen ist interessant. Ich betreibe seit Jahren RDS Farmen. Sowas hatte ich noch nie

Ergänzung (1. Februar 2021)

Ps: Ich kenne auch Sophos UTM. Es ist eher genau andersrum wie mein Vorredner behauptet: PING geht meistens
Ich würde die Ports checken. Sind die alle in die richtige Richtung frei? Web Protection und SSL Scan im Einsatz? Ich denke dir wird in diesem Forum niemand "mal eben so" helfen könnnen

 

[snaxilian]

Subnetz 10.x.1.x

Was bist du? Der Admin oder der Mitarbeiter der irgendwie was mit Computern macht und das jetzt fixen soll? Falls Ersteres empfehle ich erneut einen Blick in deine Unterlagen von der Ausbildung oder Studium zu werfen.
Private IP-Adressen zu verschleiern ist vollkommen sinnfrei und bringt niemandem etwas. Ebenso gibst du da ja genau genommen nur eine IP an und kein Subnetz ohne Infos zur Subnetzmaske.

Traceroute Befehle passieren die Sophos Firewall noch und bleiben dann stecken

Ping/Traceroute != TCP/UDP Kommunikation. Ich kann technisch problemlos Pings unterbinden und trotzdem kann ein Server Dienste bereit stellen.
Wenn die Ping Pakete die Sophos verlassen (tcpdump überprüfen) aber es dann nicht weiter geht werden die Lancom Geräte dies wohl verwerfen.

Als ich noch aktiver im Bereich Netzwerke unterwegs war, hat es geholfen auf jedem beteiligten Netzwerkgerät mitzusniffen zur Fehlersuche. Bei Switchen kannst natürlich nur sehen ob Pakete an den jeweiligen Ports durch gehen sofern nicht noch ACLs auf den Switchen laufen aber bei Routern und Firewalls bei den eingehenden und ausgehenden Interfaces jeweils ein passend eingeschränktes tcpdump mitlaufen lassen, dann siehst zumindest ob die gewünschte Kommunikation korrekt ankommt und auch wieder raus geht.
Kommt sie nicht an: Fehler liegt "vor" dem Gerät.
Kommt sie an und geht weiter: Fehler liegt "hinter" dem Gerät.
Kommt sie an aber geht nicht weiter: Bingo, Fehler an dem Gerät.

 

[VDC]

@lesmona XG != UTM

@extensier Kommst du denn auf die administrativen Freigaben auf den Niederlassungsservern? Was funktioniert denn in der Kommunikation Hauptstandort <-> Niederlassungen?

PS: Wird SSL-Decrypt genutzt?

 

[extensier]

Vielen Dank schonmal für die Antworten.
Wer ich bin? Ich bin der "neue" bei einem Dienstleister, davor FiSi Ausbildung und 2 Jahre Angestellter bei einem nicht optimalen Ausbildungsbetrieb - anderes Thema.
Die IT-Anlage die hier das Problem beherbergt, ist auf Basis 2012R2 und müsste eigentlich schon aktualisiert werden - auch anderes Thema, hier dann Budget Fragen.

Zur Erklärung, die erwähnte RDS-Farm steht im Hauptstandort. 10.105.1.x ist das Serversubnetz. Die erwähnten Terminalserver in den Außenstellen stellen separat noch für eine Anwendung vor Ort bereit.
Der Server den ich als Terminalcontroller beschreibe, hat die 10.105.1.81, und hat die Rollen:
"Remotedesktopgateway"
"Remotedesktoplizenzierung"
"Remotedesktop-Verbindungsbroker" und
"Web Access für Remotedesktop"

Hierüber nutzt der Kunde intern die Verbindung zur RDS-Farm. Der Server ist wie erwähnt auch über eine Adresse extern erreichbar, Thema aktuell wie nie (Home Office etc.). Hierüber ist jetzt eben aufgefallen, dass ein Nutzer eines beliebigen Außenstandorts nicht über den Gateway an seinen Büro-PC kommt. - Zurückgeführt in 30 Sekunden darauf, dass der Gateway Server selbst nicht zu den Außenstellen kommt, sei es rdp, ping oder Freigaben etc.

Die Sophos hat keine speziellen Firewall Regel für diesen Host, nur ein allgemeines VPN-to-VPN any Services allow. - mit anderen Servern in 10.105.1.x laufen auch alle genannten Zugriffe zu den Außenstellen.

Das ist der Fakt, der mich verunsichert. Wenn ein Lancom schuld wäre, dürfte doch eigentlich gar kein Server durchkommen und nicht nur gerade eben der Gateway Server.

Gruß Felix

 

[Milchwagen]

Mach auf dem LANCOM doch einen IP-Router Trace gefiltert auf den Gateway Server. Dann kannst du zumindest sehen ob die Pakete bei LANCOM ankommen oder nicht. Und ob Sie bearbeitet werden und richtig geroutet werden.
Zufällig arbeite ich bei einer der beiden Firmen.