Hallo allemaal,
Ik weet zeker dat dit een triviale kwestie is, maar het houdt me bezig. Ik ben nieuw met Sophos XG en heb eerder gewerkt met Fortinet.
We hebben een XGS116 op ons hoofdkantoor met een SD-RED20 op een filiaal in standaard/splitmodus. De verbinding tussen deze twee werkt goed en we hebben volledige connectiviteit met apparaten op het RED LAN.
We gebruiken SSL VPN om op afstand toegang te krijgen tot ons hoofdnetwerklokaal. We willen ook toegang krijgen tot het LAN achter de RED20 via deze VPN. Ik heb het RED LAN toegevoegd aan “Toegestane netwerkmiddelen” in de SSL VPN-configuratie. Via de VPN kan ik de gateway-IP van RED pingen, maar ik kan geen andere apparaten achter de RED pingen. Er bestaat een firewallregel die VPN, elke host naar LAN toestaat. Het RED-interface is lid van de LAN-zone.
Het verbaast me dat het RED LAN volledig toegankelijk is op het hoofdkantoor, maar dat alleen de RED-gateway gepingt kan worden via SSL VPN.
Ik heb het gevoel dat ik misschien een NAT-regel mis, maar ik weet niet waar ik moet beginnen. Alle advies is welkom.
Bijwerking: Oplossing was het toevoegen van het SSL VPN-netwerkbereik aan het “Split netwerk”-veld in RED-instellingen.
Je moet de RED-subnet(ten) toevoegen aan de SSL VPN zodat het betrouwbaar wordt voor de clients. En dan moet je firewallregels toevoegen om het verkeer van VPN naar REDs toe te staan.
Hallo,
Dank je voor je reactie
Ik heb het externe kantoor al toegevoegd als een toegestane netwerkmiddel: https://i.imgur.com/TJoxLFS.png
Het RED LAN is 192.168.9.0/24 en het netwerkobject dat aan SSL VPN is toegevoegd zoals te zien in de screenshot: https://i.imgur.com/4kTe5un.png
Wanneer ik verbinding maak met de VPN toont Sophos Connect zowel het hoofdkantoor (192.168.0.1/24) als het RED LAN onder de lijst met netwerken op afstand: https://i.imgur.com/tnkh3Jm.png
Hier is een screenshot van de firewallregel, het RED-interface maakt deel uit van de LAN-zone: https://i.imgur.com/ZLU4rd8.png
Ik ben nog steeds verbaasd waarom ik 192.168.9.1 kan pingen via de VPN, maar geen andere hosts op hetzelfde netwerk kan pingen. Hier is een screenshot van de NAT-regels: https://i.imgur.com/X8nFLrz.png
Wanneer ik de RED-gateway ping via de VPN en de firewallregel-logs controleer, toont niets, maar de ping werkt wel.
Tunnelen de REDs al het verkeer terug naar HQ? Anders sturen je clients achter de RED de ping-antwoordjes weer uit via de internetgateway.
Het is in standaard/splitmodus. Internet gaat normaal via RED, alleen verkeer dat bestemd is voor het hoofdkantoor LAN wordt getunneld. Misschien zit hier een punt, moet ik het SSL VPN-range toevoegen aan het splitnetwerkveld: https://i.imgur.com/s5ZUlzQ.png
Ik heb RED nooit in splitmodus gebruikt, dus ik kan niet bevestigen of dit op die manier gedaan wordt. Maar ik ben vrij zeker dat je op de goede weg bent.
Hartelijk dank, het toevoegen van het SSL VPN-netwerkbereik aan het splitnetwerkveld heeft het probleem opgelost.
