Sophos XG - SSL VPN klient může přistupovat na vzdálená místa, ale ne na LAN

Ahoj všichni,

omlouvám se, jestli je tato otázka hloupá, ale nastavili jsme nový XG Home UTM, který má nahradit starší SonicWALL, a zatím vše funguje perfektně, ale mám problém s klientem SSL VPN.

Momentálně mám čtyři site-to-site VPN, ke kterým se klient SSL VPN může připojit bez problémů, stejně tak VLAN v mé domácí síti, ke které opět může přistupovat bez problémů.

Nicméně hlavní interní LAN nelze získat přístup přes klient VPN bez ohledu na to, jaká pravidla nebo nastavení aplikuji.

Zkoušel jsem vytvářet nové uživatele s pouze povolenými zónami LAN, znovu stahovat konfiguraci a dokonce vypnout site-to-site VPN, ale zatím bez úspěchu.

Jsem si jistý, že jde o jednoduché řešení, ale jsem trochu ztracený, takže pokud má někdo nějaké návrhy, bylo by to oceněno.

Zdá se, že potřebujete pravidlo FW, které umožní VPN zóně / síti přístup k LAN zóně / síti

Máte mezi vaší hlavní interní LAN a vaším XG firewall jiný zařízení vrstvy 3? Například vrstvy 3 switch, který provádí interní směrování?

Pokud ano, potřebujete na tomto zařízení mít trasu pro SSL VPN pool. Výchozí je 10.242.2.0/24, věřím.

Něco k zmínce - zkoušel jste si znovu stáhnout vaši SSL konfiguraci po provedení změn? Je možné, že jste ji již opravil, ale konfigurák je starý.

Takže věci k ověření.

- Ujistěte se, že vaše politika SSLVPN povoluje vaši interní LAN podsíť

- Ujistěte se, že neexistují žádné konfliktní podsítě. Výchozí je 10.81.234.5-55 pro SSLVPN

- Ujistěte se, že existuje pravidlo firewallu z VPN Zóny do LAN Zóny (například VPN 10.81.234.0/24 na LAN 192.168.1.0/24 - POVOLIT) a také se ujistěte, že je nezvoleno políčko poznat uživatele.

- Pokud provedete jakékoli změny v nastavení SSLVPN, znovu stáhněte konfiguraci.

Proveďte zachycení paketů a ověřte, zda pravidlo firewallu blokuje provoz, například když pingujete zařízení v interní LAN z SSLVPN.

Tohle, a pravděpodobně NAT pravidlo.

Mám pravidlo, které umožňuje VPN subnetu komunikovat s LAN a dokonce jsem se dostal tak daleko, že jsem přejmenoval VPN na LAN.

Divné je, že mohu pingovat vzdálené stránky přes VPN, ale ne LAN.

Po každé změně znovu stahuji konfiguraci, ale stále se to nedaří.

Znovu zkusím toto a zveřejním své výsledky, ale zvláštní je, že mohu pingovat vzdálené VPN stránky a jednu z mých VLAN, ale ne druhou.

Pokud nemají konfliktní sítě, OP by k NAT nepotřeboval. Ale pokud má vytvořené pravidlo podobné tomuto a NAT je povolen, mohlo by to způsobit stejné problémy.

Můžete zveřejnit obrázek svého pravidla?

Zní to, že vaše pravidla jsou rozbité nebo možná v konfliktu. Výsledek zachycení paketů by měl pomoci opravit.

Myslím, že to musí být pravidla, protože mohu pingovat svou subnet 10.1.30.x bez problémů, ale subnet 10.1.10.x nekomunikuje přes VPN.

Vždy se ujistím, že moje VLAN mají svou vlastní Zónu na Sophosu. Pak všechny pravidla seskupím podle Zóny. Ujistěte se, že všechna vaše pravidla jsou vytvořena s Zónou, místo Název, a bude to mnohem jednodušší při vizuálním odstraňování problémů.

Zde bych jednoduše vytvořil pravidlo, kde zdroj a cíl zahrnují VPN a LAN, a zdrojová a cílová síť zahrnují 10.1.10.0/24 a 10.81.234.0/24, nastavte na Povoleno a mělo by to jít.