Sophos XG - SSL VPN klient může přistupovat na vzdálené servery, ale ne na LAN

Ahoj všichni,

omlouvám se, jestli je tato otázka hloupá, ale nainstaloval jsem nový XG Home UTM, který má nahradit můj starý SonicWALL, a zatím všechno funguje skvěle, ale mám trochu problém s klientem SSL VPN.

Momentálně mám čtyři site-to-site VPN, ke kterým se klient SSL VPN může připojit bez problémů, plus VLAN ve mém domácím síti, ke které opět může přistupovat bez problémů.

Nicméně hlavní interní LAN nemohu dostat přes VPN klienta, bez ohledu na to, jaké pravidla nebo nastavení firewallu aplikuji.

Zkoušel jsem vytvářet nové uživatele s pouze LAN jako povolenou zónou, znovu stahovat konfiguraci a dokonce zakázat site-to-site, ale zatím bez úspěchu.

Jistě je to jednoduché opravit, ale jsem trochu ztracený, takže jakékoli návrhy budou uvítány.

Zní to, že potřebujete pravidlo FW, které povolí VPN zónu/síť k LAN zóně/síti.

Máte mezi vaší hlavní interní LAN a firewallem XG ještě nějaké zařízení vrstvy 3? Například přepínač vrstvy 3, který provádí vnitřní směrování?

Pokud ano, musíte mít na tomto zařízení trasu pro SSL VPN pool. Výchozí je, myslím, 10.242.2.0/24.

Něco k zmínění – zkoušeli jste si znovu stáhnout SSL konfiguraci po změnách? Je možné, že jste ji již opravil, ale konfigurační soubor je starý.

Takže věci k ověření:

- Ujistěte se, že vaše SSLVPN politika povoluje vaši interní LAN subnetu

- Ujistěte se, že neexistují konfliktní subnets. Výchozí je 10.81.234.5-55 pro SSLVPN

- Ujistěte se, že máte pravidlo firewallu od VPN Zóny k LAN Zóně (například VPN 10.81.234.0/24, k LAN 192.168.1.0/24 - POVOLIT). Také se ujistěte, že není zaškrtnut box „známí uživatelé“.

- Pokud provedete jakékoli změny v nastavení SSLVPN, znovu stáhněte konfiguraci.

Proveďte zachycení paketů a zjistěte, zda pravidlo firewallu blokuje provoz při pingování zařízení v interním LAN z SSLVPN.

Tohle, a pravděpodobně i NAT pravidlo.

Mám pravidlo, které povoluje VPN subnet, který jsem nastavil, komunikovat s LAN, a dokonce jsem šel tak daleko, že VPN na LAN.

Zvláštní je, že mohu pingovat vzdálené servery přes VPN, ale ne LAN.

Po každé změně stahuji konfiguraci, ale stále se mi nedaří to zprovoznit.

Zkusím to znovu a zveřejním výsledky, ale zvláštní je, že mohu pingovat vzdálené VPN servery a jednu ze svých VLAN, ale nikoli druhou.

Pokud nemají konfliktní sítě, OP by nemusel potřebovat NAT v této situaci. Ale pokud má vytvořené pravidlo podobné tomuto a je povolen NAT, mohlo by to způsobovat stejné potíže.

Můžeš vložit obrázek svého pravidla?

Zdá se, že vaše pravidla jsou špatná nebo konfliktují. Výsledek zachycení paketů by měl pomoci problému.

Myslím, že to musí být pravidla, protože mohu pingovat subnet 10.1.30.x bez problémů, ale subnet 10.1.10.x nekomunikuje přes VPN.

Vždy se ujistěte, že vaše VLAN mají svůj vlastní Zónu na Sophosu. Pak seskupte všechna pravidla podle Zóny. Ujistěte se, že všechna pravidla jsou vytvořena se Zónou, namísto „Any to Any“, což výrazně zjednodušuje vizuální troubleshooting.

Doporučuji vytvořit pravidlo, kde zdrojová a cílová zóna zahrnují VPN a LAN, a sítě zahrnují 10.1.10.0/24 a 10.81.234.0/24, nastavit na povolit, a mělo by to být vše.

Toto pravidlo mám již nahoře, ale přemýšlím, jestli někde jinde nejsou jiná pravidla nebo směrování, která by mohla způsobovat problém. Jedna zvláštní věc je, že MASQ ukazuje jako 10.1.30.1 místo 10.1.10.1, což je divné, ale určitě by to nemělo ovlivnit, pokud se nepoužívá NAT.

Každopádně dnes rozdělím zóny a pokusím se to znovu.

Neměli byste si dělat starosti s MASQ, pokud vaše SSLVPN subnet směřuje k internetu, ale výchozí MASQ pro veřejnou IP je dostačující.

Je výchozí brána vašeho interního LAN zařízení nastavena na IP rozhraní Sophosu?

To je váš problém. Zakažte MASQ.

Ahoj u/TechMinerUK,

Pokud máte na pravidle VPN k LAN nakonfigurovanou NAT, odstraňte ji a zjistěte, jestli to vyřeší váš problém. Doporučuji také použít zachycení paketů na firewallu k identifikaci pravidla firewallu. Je také možné, že SSL VPN komunikace k LAN nezasahuje správné pravidlo firewallu. \^HP

Ano, výchozí brána je stejná jako IP Sophosu

Přemístil jsem své pravidlo nahoru a vypnul NAT, ale stále se mi nedaří to uvést do chodu. Zde je screenshot, pokud to pomůže

https://imgur.com/a/8e8Zfze