Sophos Site-to-Site SSL

[Camkom]

Hallo,

ich möchte mit Sophos eine Site-to-Site SSL Verbindung aufbauen.

Es gibt zwei Standorte A und B, an denen Sophos läuft. Ich möchte von Standort B auf die Netzwerke von A zugreifen können.

Standort A:

• 192.168.1.0 (Private1)
• 192.168.2.0 (Private1)

Standort B:

• 192.168.20.0 (Lan1)

Im Anhang ist meine Konfigurationen, die Verbindung steht, aber ich kann nicht auf die Netzwerke zugreifen? Was mache ich falsch?

Ist das "Remote Network" richtig gewählt?

 

[Masamune2]

Sieht erst mal gut aus, was heißt denn du kannst nicht auf die Netzwerke zugreifen? Was sagen Ping und tracert?

Stell falls nicht schon geschehen unter Settings noch den Transport auf UDP, Sophos sieht hier leider standardmäßig TCP vor. Den Port würde ich auch von 443 weg nehmen, den braucht man nach außen eh früher oder später für was anderes. Default sollte eigentlich UDP 1194 sein.
Und die Verschlüsselung könntest du noch stärken indem du SHA1 nicht mehr verwendest.

 

[Camkom]

Erst einmal vielen Dank für die Antwort. Auf UDP hatte ich noch nicht umgestellt. Kann diesen leider auch gerade nicht ändern. von TCP auf UDP kann ich momentan auch nicht ändern. Das muss ich nächste Woche machen.

Ping geht keiner durch Ich habe einfach mal Versuch einen Client unter 192.168.1.12 anzupingen... Aber nichts. Tracert sagt auch einfach nur Zeitüberschreitung... also nichts.


Kann das nur damit zusammenhängen, dass der Port auf TCP steht? Müsste das nicht auch so funktionieren? Und das remote network ist richtig konfiguriert?

 

[corvus]

Also die Verbindung wird von A nach B aufgebaut, aber Zugriff von B nach A geht nicht?
Geht denn Zugriff von A nach B? Die Autom. Firewallregel regelt ja nur den Zugriff von A ausgehend nach B, nicht andersrum. Also müsstest an der Sophos in A manuell noch ne Regel von LAN1 nach Private 1/2 setzen wenn ich mich nicht irre.

Ansonsten halt einfach in beiden Firewall-Logs schauen was genau passiert.

 

[Camkom]

@corvus Das könnte sein. Tracert geht von meinem PC 1 Schritt bis zur UTM von Standort B. Ab dort nichts mehr.
192.168.10.1 (=Sophos am Standort B)

Ergänzung (5. Januar 2019)

Andersherum, von A nach B genau das gleiche.

Ergänzung (5. Januar 2019)

Die Firewall zeigt nicht, dass etwas gedropped ist/wurde.

 

[bubu9]

Ping-Protection? Würde mir auch erstmal die Firewall-Regeln auf beiden Sophos-Systemen angucken.

 

[corvus]

Hast Du nur ICMP getestet? Gateway Forwards Pings ist aktiviert?

 

[Camkom]

Hab mir gerade nochmal die Firewall angeschaut. Die sagt nichts. Die automatisch erstellten Regeln passen so weit auch denke ich.

Wie @Masamune2 oben gesagt hat, an TCP kanns nicht liegen oder?


Auch habe ich auf den gleichen Port (443) auch noch den normalen Remote Access über SSL liegen, aber das macht doch nichts, oder?

Ergänzung (5. Januar 2019)

Ich dem Live-Log der Firewall taucht nichts auf. Habe mal nicht Ping genommen zum testen, sondern ganz einfach eine Remotedesktop-Verbindung. Aber nichts...

 

[t-6]

Das Gerät das du auf der "anderen Seite" versuchst per RDP/Ping zu erreichen - hat das auch ein Gateway eingetragen?

 

[Camkom]

Ja, hat den richtigen eingetragen.

 

[t-6]

Was heißt "das richtige"?

 

[Camkom]

Sry.... Das ist in diesem fall 192.168.1.1. Also Sophos vom Standort A.

 

[t-6]

Dann eine andere dumme Frage: Wenn du jetzt nur RDP getestet hast - hast du sichergestellt dass das Gerät unter .1.12 überhaupt RDP grundsätzlich zulässt? Also kommst du bspw. von einem anderen Client im selben Netz per RDP auf die Kiste drauf?

 

[Camkom]

Nein.. ist doch nicht schlimm. Solche trivialen Dinge gehen mir auch manchmal durch die Lappen.

Auf das Gerät kann ich mit PDP zugreifen. Ich kann mit hilfe einer OpenVPN-Verbindung in das entsprechende Netzwerk zugreifen und dann RDP nutzen.

Die Site-to-Site ist jetzt dafür gedacht, in meinem Heimnetzwerk ständig Zugriff auf diesen bzw. andere Dienste im entfernten Netzwerk zu haben.

 

[t-6]

Schalt sicherheitshalber noch mal das Logging für alle Firewallregeln an (auch die automatischen) damit man sehen kann, ob überhaupt eine FW-Regel greift.

Siehst du denn in denn in Paketfilter/Firewall-Logs entsprechende Verbindungsversuche für TCP 3389?

 

[Camkom]

WEnn ich den Live-Log der Firewall öffne, sehe ich, wenn ich eine RDP o.ä. starte keinen Drop, nichts.

 

[t-6]

Hast du das Logging für alle Regeln denn eingestellt? Wenn nicht, dann wird ein akzeptiertes Paket nicht als "grün" erscheinen.
Wenn doch und es ist trotzdem nichts zu sehen, stimmt hier mglw. was mit dem Routing der Sophos(es) nicht.
Zeig mal von beiden Sophoses die Einträge unter Support->Advanced->Routes Table (aus dem Kopf)

 

[Masamune2]

Mit der TCP Einstellung hat das nichts zu tun.

Poste doch mal unter Support -> Advanced die Routing Tabelle um zu sehen das die Netze da wirklich drin sind.
Den Haken bei automatic firewallrules hast du auf beiden Seiten drin?

 

[Camkom]

Hier die Route Tables:

Standort B:
default via 192.168.100.1 dev eth1 table 200 proto kernel onlink
local default dev lo table 252 scope host
default via 192.168.100.1 dev eth1 table default proto kernel metric 20 onlink
10.242.2.0/24 dev tun0 proto kernel scope link src 10.242.2.1
10.242.2.0/24 dev tun1 proto kernel scope link src 10.242.2.2
127.0.0.0/8 dev lo scope link
192.168.1.0/24 via 10.242.2.1 dev tun1
192.168.2.0/24 via 10.242.2.1 dev tun1
192.168.20.0/24 dev eth0 proto kernel scope link src 192.168.20.1
192.168.30.0/24 dev eth2 proto kernel scope link src 192.168.30.1
192.168.100.0/24 dev eth1 proto kernel scope link src 192.168.100.5
broadcast 10.242.2.0 dev tun0 table local proto kernel scope link src 10.242.2.1
broadcast 10.242.2.0 dev tun1 table local proto kernel scope link src 10.242.2.2
local 10.242.2.1 dev tun0 table local proto kernel scope host src 10.242.2.1
local 10.242.2.2 dev tun1 table local proto kernel scope host src 10.242.2.2
broadcast 10.242.2.255 dev tun0 table local proto kernel scope link src 10.242.2.1
broadcast 10.242.2.255 dev tun1 table local proto kernel scope link src 10.242.2.2
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1
broadcast 192.168.20.0 dev eth0 table local proto kernel scope link src 192.168.20.1
local 192.168.20.1 dev eth0 table local proto kernel scope host src 192.168.20.1
broadcast 192.168.20.255 dev eth0 table local proto kernel scope link src 192.168.20.1
broadcast 192.168.30.0 dev eth2 table local proto kernel scope link src 192.168.30.1
local 192.168.30.1 dev eth2 table local proto kernel scope host src 192.168.30.1
broadcast 192.168.30.255 dev eth2 table local proto kernel scope link src 192.168.30.1
broadcast 192.168.100.0 dev eth1 table local proto kernel scope link src 192.168.100.5
local 192.168.100.5 dev eth1 table local proto kernel scope host src 192.168.100.5
broadcast 192.168.100.255 dev eth1 table local proto kernel scope link src 192.168.100.5
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101
local ::1 dev lo table local proto none metric 0
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101



Standort A:
default via 172.27.188.1 dev eth0 table 200 proto kernel onlink
default via 172.27.188.1 dev eth0 table default proto kernel metric 20 onlink
10.242.2.0/24 dev tun0 proto kernel scope link src 10.242.2.1
127.0.0.0/8 dev lo scope link
172.27.188.0/24 dev eth0 proto kernel scope link src 172.27.188.5
172.27.188.0/24 dev eth2 proto kernel scope link src 172.27.188.6
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
192.168.2.0/24 dev eth3 proto kernel scope link src 192.168.2.1
192.168.20.0/24 via 10.242.2.1 dev tun0
broadcast 10.242.2.0 dev tun0 table local proto kernel scope link src 10.242.2.1
local 10.242.2.1 dev tun0 table local proto kernel scope host src 10.242.2.1
broadcast 10.242.2.255 dev tun0 table local proto kernel scope link src 10.242.2.1
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1
broadcast 172.27.188.0 dev eth0 table local proto kernel scope link src 172.27.188.5
broadcast 172.27.188.0 dev eth2 table local proto kernel scope link src 172.27.188.6
local 172.27.188.5 dev eth0 table local proto kernel scope host src 172.27.188.5
local 172.27.188.6 dev eth2 table local proto kernel scope host src 172.27.188.6
broadcast 172.27.188.255 dev eth0 table local proto kernel scope link src 172.27.188.5
broadcast 172.27.188.255 dev eth2 table local proto kernel scope link src 172.27.188.6
broadcast 192.168.1.0 dev eth1 table local proto kernel scope link src 192.168.1.1
local 192.168.1.1 dev eth1 table local proto kernel scope host src 192.168.1.1
broadcast 192.168.1.255 dev eth1 table local proto kernel scope link src 192.168.1.1
broadcast 192.168.2.0 dev eth3 table local proto kernel scope link src 192.168.2.1
local 192.168.2.1 dev eth3 table local proto kernel scope host src 192.168.2.1
broadcast 192.168.2.255 dev eth3 table local proto kernel scope link src 192.168.2.1
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101
local ::1 dev lo table local proto none metric 0
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101

 

[Masamune2]

Hm sieht eigentlich gut aus. Wie sieht ein Traceroute von der Sophos zur anderen Seite aus?