ComputerBase Menü
Aktuelles

Sophos XG135 SSL-VPN - kein Zugriff im Netzwerk

O

owl2010

Lt. Junior Grade
Registriert
Mai 2018
Beiträge
432
Guten Morgen und frohe Ostern!
Ich bin von der SG135 auf die XG135 umgestiegen und verzweifle am SSL-VPN-Zugang. Bei der SG war das alles kein Problem und lief immer super. Aber irgendwo mache ich wohl bei der Einrichtung des SSL-VPN_zugangs unter der XG einen Fehler.
Ich kann mich zwar mit dem Netzwerk bzw. über den Sophos-Client erfolgreich verbinden (LED auf grün), habe jedoch keinerlei Zugriffe im Netzwerk. Das einzige was ich machen kann, ist Clients anzupingen, von denen ich dann auch einen Ping zurückerhalte.
Eine Firewall-Regel habe ich auch erstellt:
2021-04-04 11_11_17-Sophos.jpg

2021-04-04 11_18_48-Sophocdddds.jpg
 
Du hast jetzt eine eingehende Regel verfasst.
Muss vielleicht auch eine ausgehende Regel verfasst werden?
 
Ähm ok,
wie genau muss denn die ausgehende Regel ausschauen?
 
Wie sieht denn bei dir die SSLVPN Config und die SSLVPN Policy unter VPN aus? Ist hier das Subnet hinterlegt, auf welches die Clients soweit Zugriff haben dürfen?

Die Firewall Regel hier ist soweit korrekt, eine ausgehende Regel braucht es nicht zwingend. Bei Zielzone würde ich allerdings anstatt "alle" die jeweilige(n) Zone(n) angeben. Ist aber für die Funktion nicht zwingend nötig.

Ach, und nutzt du den SSLVPN Client oder Sophos Connect (OpenVPN)? Und mit was für einer Konfig Datei?
 
Hi,
also ich nutze den Sophos SSLVPN Client. Log Datei habe ich angehangen.
Hier mal die weiteren Einstellungen:
1.jpg

2.jpg

3.jpg
 
Zuletzt bearbeitet:
Hier sind zumindest mal die DNS Einstellungen alle komplett leer. Wenn du sagst, du kannst Pingen, aber hast kein Zugriff aufs Netzwerk - versuchst du dann auch einen Server o.ä. per IP Adresse oder per Hostname aufzurufen? Wenn per Hostname, dann hier einen DNS Server und am besten noch WINS (kann nie schaden) und Domänenname eintragen.

Davon ab, würde ich dir raten, nicht alle Daten so zu veröffentlichen. Ich kenne jetzt den Firmennamen, einen Ansprechpartnernamen, eure öffentliche IP Adresse und den Ort. ;)
 
  • Gefällt mir
Reaktionen: Yesman9277
Ok, sorry, da war ich wohl zu schnell und unüberlegt ;)
Aber ich glaube ich weiß woran es liegt...ich habe noch gar keine IP Host definiert fürs interne Neztwerk. Das muss ja auf jeden Fall gemacht werden...oder?
 
Richtig, das ist das nächste. Und bei den "Zugelassenen Netzwerkressourcen (IPv4)" solltest du nicht die Ports angeben, sondern die Host Objekte der entsprechenden Server oder gleich ein Host Objekt des Subnets.

Sophos empfiehlt bei aktuellen XGs übrigens den Sophos Connect Client - sowohl für IPSec, als auch SSLVPN. Das nur am Rande, wird dein Problem nicht lösen.
 
Ok, dann werde ich das erstmal testen.
Ist der Sophos Connect Client noch ein anderer als der Sophos SSL VPN Client?

Kurz noch eine Frage:
Sollte man in der VPN Policy den Tunnel als Standard-Gateway verwenden?
 
Sophos Connect Client ist ein anderer, ja. Du kannst dann einfach im User Portal die SSLVPN Config für "other OS" herunterladen, die lässt sich im Connect importieren. Der SSLVPN Client wird (mWn) nicht mehr weiterentwickelt.

VPN Tunnel als Standardgateway - das kommt darauf an. Willst du nur auf Ressourcen im Netzwerk zugreifen und nur den Traffic zu diesen Ressourcen durch den Tunnel schicken? Sprich wenn du Google aufrufst, dann schickt das dein PC direkt ins Internet. Oder willst du alles durch den Tunnel schicken, dann würden auch Anfragen zB zu Google erstmal durchs VPN gejagt werden (meistens nicht nötig - außer man möchte hier den Traffic inspizieren).
 
Ah ok, danke! Dann brauche ich den Standardgateway.
Hm...ich habe eigentlich jetzt soweit alles geändert und angelegt, aber irgendwie erhalte ich immer noch keinen Zugriff auf mein Netzwerk. Bin nach dieser Anleitung vorgegangen:
https://docs.sophos.com/nsg/sophos-...ingContent/VPNCreateRemoteAccessSSLVPN_2.html
Muss noch irgendetwas bzgl. der Maskierungsregel und VPN-Pool eingestellt werden?
Und was ich mich generell frage, kann es etwas damit zu tun haben, dass Sophos meinen LAN-Port bei der Einrichtung automatisch auf Bridge gesetzt hat? Kenne das gar nicht von der UTM.
7.jpg
 
Muss nochmal fragen, du versuchst den Aufruf auf Netzwerkressourcen per IP Adresse oder mit Namen?
Oder wie machst du fest, dass du kein Zugriff aufs Netzwerk hast, wenn Ping geht und Antworten kommen?
 
Versuche z.B. auf Server bzw. Neztlauferke zuzugreifen per Name
z.B. \\srv01\Daten
 
Ja das kann natürlich erst gehen, wenn du auf dem 3. Screenshot auf Post #5 den IPv4 DNS (und WINS und Domäne) einträgst. Dort gehört die IP deines lokalen DNS Servers (i.d.R. Domaincontroller) rein.

Sonst kann dein VPN Client ja den Namen SRV01 nicht auflösen in eine IP und somit auch nicht aufrufen.
 
  • Gefällt mir
Reaktionen: snaxilian
Dann lerne doch erst einmal richtig krabbeln und gehen bevor du dich an einen Sprint-Wettkampf heran wagst...
Funktioniert mit verbundenem VPN denn eine korrekte DNS-Auflösung? Wenn du da ein korrektes Ergebnis zurück bekommst, dann wirf Wireshark an, filtere auf die Ziel-IP und die Ports 139 & 445 und versuche die Freigabe einzubinden. Parallel in die Logs der Firewall gucken wo dies ggf. geblockt wird.
 
  • Gefällt mir
Reaktionen: Raijin
Ich bin gerade unterwegs, aber ich denke, dass der Fehler wie richtig von benzley erkannt wurde, am fehlenden DNS-Eintrag liegen wird. Sobald ich es ausprobiert habe, gebe ich ein Feedback.
Noch eine kurze Frage zu dem LAN-Port:
Warum wird dieser standardmäßig von Sophos bei der Einrichtung als Bridge eingerichtet? Kann ich das so lassen? Ich Nutze an meiner Firewall nur den Port 1 (LAN) und Port 2(WAN).
 
Das wird bei der Ersteinrichtung sogar irgendwo abgefragt, ob man Bridge will oder nicht :D

Bridge bedeutet nur, dass Port1 und Port3-8 in die LAN Zone laufen, sprich sozusagen ein integrierter Switch für Arme. Man kann die Bridge auflösen, dann ist nur noch Port1 nach LAN und der Rest kann anderen Zonen zugewiesen werden.
Port2 ist immer WAN und von der Bridge ausgenommen.
 
Ok, aber ich kann es auch bedenkenlos so lassen-es hat keinerlei Einschränkungen?
Ergänzung ()

Super-jetzt läuft es! Vielen Dank an euch!!!
Eine kurze Sache noch:
Beim Versuch den Sophos Connect client herunterzuladen kommt der folgende Fehler:
Requested file could not be provided. Make sure Pattern Updates are working correctly.
You can find it under 'Backup & Firmware' -> 'Pattern Updates'
So sehen meine Einstellungen der Pattern Updates aus:
0000.jpg
 
Zuletzt bearbeitet:
Sieht korrekt aus. Da steht der Sophos Connect in 2.1, das ist der aktuellste.
Hast du auch die 18.0.4 MR4 drauf? Da gabs mal einen Bug vor ein paar Versionen.
 
Also folgende Firmware habe ich installiert und er findet auch keine Aktualisierung.
11111.jpg
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
Über Fritzbox VPN kein Internet und Zugriff aufs Netzwerk
Antworten
10
Aufrufe
4.308
neomuckel
N
cyberpirate
Win11 22H2 kein Zugriff auf LG G2 im Netzwerk
Antworten
10
Aufrufe
523
cyberpirate
cyberpirate
extensier
Erreichbarkeit Site-to-Site VPN (Sophos - Lancom)
Antworten
6
Aufrufe
4.958
Milchwagen
M
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
331
Mickey Mouse
Mickey Mouse
Jokeboy
Kein Zugriff auf Heimnetzwerk von außen (public IP vorhanden)
Antworten
13
Aufrufe
4.458
Jokeboy
Jokeboy
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz