Hallo zusammen, ich hoffe sehr, ich finde hier Hilfe, da ich am Ende meines Lateins bin. Wir integrieren eine Sophos XG in der Praxis. Der Konnektor soll dabei zusammen mit den Kartenterminals in einem getrennten Netz liegen. Leider treibt mich der Secunet-Konnektor in den Wahnisnn. Hier eine Beschreibung meiner aktuellen Konfiguration: Konnektor WAN Netz (192.168.7.0/24) Konnektor LAN Netz (192.168.6.0/24) Client Netz (192.168.5.0/24)
Die Konnektor WAN Schnitstelle darf per Firewall Regel mit der WAN Schnittstelle der Firewall reden, also ins Internet. Der Tunnel zur TI wird auch erfolgreich aufgebaut. Nun funktioniert der Zugriff in die Bestandsnetze (Safenet und Impfnachweis) nicht. Ich habe auf der Firewall ein erfolgreiches NAT von dem Client Netz in das LAN des Konnektors erstellt, sodass der Konnektor "denkt" ich komme von einer IP aus seinem Netz. Ebenso habe ich auf der Firewal eine SD-WAN Route angelegt, welche theoretisch jeden Traffic vom Clientnetz an das KV Safenet (188.144.0.0/15) an die IP des Konnektors im LAN schiebt. Testen konnte ich das nicht, jedoch funktioniert eine lokale Route auf einem Client genauso wenig. Der Konnektor ist aus dem Client-Netz pingbar und erreichbar via Weboberfläche. Von der Weboberfläche des Konnektors aus, habe ich bereits versucht, die url des SafeNet Portals vom Anwendungskonnektor aus zu pingen, leider bekomme ich keine Antwort (liegt hier schon das Problem? Sollte die URL pingbar sein?). Vermutlich habe ich hier auch ein Problem mit asynchronem routing?
Secunet weiß ich nicht, wo mand as einstellt: Bestandsnetze sind auch wirklich aktiv? Dass das Portal in kv-safenet nicht pingbar ist, ist normal. https auf 443 ist offen.
Ah, alle Netze hängen an derselben Firewall? D.h. die Firewall hat auch 192.168.5.0/24 als lokales Netz?
Ja, asymmetrisch mag zumindest die Kocobox nicht. Masquerading auf alle Netze ausdehen, die erreicht werden sollen über den Konnektor, also in dem Fall hier auch zum Ziel 188.144.0.0/15 maskieren.
Äh, nochmal drüber nachgedacht, hatte ein andere Szenario im Kopf (ohne extra Clientnetz): Wo ist das asymmetrisch?
1) Von 192.168.5.0/24 bekommt kein SNAT für Pakete zu 188.144.0.0/15 - dann ist das für den Konnektor ein unbekanntes Netz. Wie soll er da hin routen? Oder ist die Route gesetzt? Dann wäre das PC-FW-Konnektor-TI-Tunnel-Portal und zurück Portal-TI-Tunnel-Konnektor-FW-PC, also nicht asymmetrisch.
2) Von 192.168.5.0/25 bekommt SNAT für Pakete zu 188.144.0.0/15 mit Quell-IP auf 192.168.6.x (IP der FW) - dann schickt der Konnektor ja auch wieder an diese IP zurück, er weiß ja nichts anderes. Von da wird umgeschrieben auf die 192.168.5.y, von wo das ursprüngliche Paket kam. Also Hin- und Rückweg gleich geroutet, wie oben, nur andere Adressen. :)