0
Sophos XG Firewall, IP Netzwerk und Windows (10) Firewall Profile
Guten Morgen,
ich habe folgendes Szenario:
Unsere Laptopuser nutzen SSLVPN (Sophos Client) um über unsere Sophos XG mit aktueller Firmware ins Firmennetzwerk zu gelangen.
Authentifiziert wird via AD.
Der Verbindungsaufbau funktioniert, alles Settings kommen beim Client an.
Dann haben wir bei einigen Clients das Problem, dass die Netzwerkverbindung des TAP Adapters als öffentliche Verbindung in der Windows Firewall identifiziert wird und kein Zugriff auf Dienste wir DFS möglich ist.
Alles was über Webdienste läuft, funktioniert, was dem öffentlichen Firewallprofil die Funktionalität bescheinigt
.
Das Rätsel ist folgendes, es geschieht unwillkürlich bei einigen Usern und ist teils reproduzierbar.
Die Laptops und die Softwareausstattung sind weitestgehend identisch.
Ich stelle mal die Konfiguration schematisch zusammen:
Die Sophos ist ein HA Cluster und läuft auf eigener Hardware.
Lokale Netzwerke des Betriebes:
Eigener Adressbereich für alle lokalen Dienste (AD, Print, Files, Auth, Intranets...)
Clientnetzwerke ,Kassensysteme, GLT...
Alles mittels VLAN getrennt und über die Sophos XG zusammengeführt.
VPN:
SSLVPN mit Zugriff auf lokale Netze, Zugriff ist per Firewallregelwerk reguliert. Athentifiziert per AD.
Es wird ein eigener IP Adressbereich verteilt, dieser wird ebenfalls durch die Firewall reguliert.
DNS Domainname ist der lokale, das Subnetz ist dem AD bekannt gemacht worden.
Windows Firewall:
Via GPO konfiguriert.
Der Remoteuser wählt sich ein, bekommt dann seine Settings via DHCP.
In einigen Fällen wird dem Netzwerk, das über den emulierten Netzwerkadapter rein kommt, das Firewallprofil "öffentliches Netzwerk" zugewiesen.
Damit funktionieren dann nur die für dieses Profil konfigurierten Dienste.
Schalte ich die Windows Firewall ab, dann fliegt es.
Bei den Usern, die das Netzwerk automatisch in das Domänenprofil verschoben bekommen, läuft ebenfalls alles wie es soll.
Ich habe viel Zeit investiert um heraus zu finden, was da passiert, die Logfiles geben nichts her. Die Sophos tut was sie soll.
Nur die Zuweisung des Netzwerkprofils ist dafür verantwortlich, aber wie bekomme ich das gelöst?
Ich gehe davon aus, dass die Zuweisung des Domänenprofils anhand von AD Daten erfolgt.
Ich meine, dass diese Daten in Sites and Service unter lokale Subnetz konfigurierbar sind.
Hat jemand eine Idee?
LG aus Berlin
EDIT:
ich habe nun identifiziert, dass der der NLA Dienst für die Erkennung und Zuordnung der Netzwerke zu Profilen verantwortlich ist.
Mit den "anfälligen Kisten" bin ich nicht in der Lage, dass in unseren Gastnetzen oder aus einer Mobilverbindung heraus zu reproduzieren.
Das Problem tauchte nun in einigen Hotels und zu Hause bei einer Kollegin auf.
ich habe folgendes Szenario:
Unsere Laptopuser nutzen SSLVPN (Sophos Client) um über unsere Sophos XG mit aktueller Firmware ins Firmennetzwerk zu gelangen.
Authentifiziert wird via AD.
Der Verbindungsaufbau funktioniert, alles Settings kommen beim Client an.
Dann haben wir bei einigen Clients das Problem, dass die Netzwerkverbindung des TAP Adapters als öffentliche Verbindung in der Windows Firewall identifiziert wird und kein Zugriff auf Dienste wir DFS möglich ist.
Alles was über Webdienste läuft, funktioniert, was dem öffentlichen Firewallprofil die Funktionalität bescheinigt
.Das Rätsel ist folgendes, es geschieht unwillkürlich bei einigen Usern und ist teils reproduzierbar.
Die Laptops und die Softwareausstattung sind weitestgehend identisch.
Ich stelle mal die Konfiguration schematisch zusammen:
Die Sophos ist ein HA Cluster und läuft auf eigener Hardware.
Lokale Netzwerke des Betriebes:
Eigener Adressbereich für alle lokalen Dienste (AD, Print, Files, Auth, Intranets...)
Clientnetzwerke ,Kassensysteme, GLT...
Alles mittels VLAN getrennt und über die Sophos XG zusammengeführt.
VPN:
SSLVPN mit Zugriff auf lokale Netze, Zugriff ist per Firewallregelwerk reguliert. Athentifiziert per AD.
Es wird ein eigener IP Adressbereich verteilt, dieser wird ebenfalls durch die Firewall reguliert.
DNS Domainname ist der lokale, das Subnetz ist dem AD bekannt gemacht worden.
Windows Firewall:
Via GPO konfiguriert.
Der Remoteuser wählt sich ein, bekommt dann seine Settings via DHCP.
In einigen Fällen wird dem Netzwerk, das über den emulierten Netzwerkadapter rein kommt, das Firewallprofil "öffentliches Netzwerk" zugewiesen.
Damit funktionieren dann nur die für dieses Profil konfigurierten Dienste.
Schalte ich die Windows Firewall ab, dann fliegt es.
Bei den Usern, die das Netzwerk automatisch in das Domänenprofil verschoben bekommen, läuft ebenfalls alles wie es soll.
Ich habe viel Zeit investiert um heraus zu finden, was da passiert, die Logfiles geben nichts her. Die Sophos tut was sie soll.
Nur die Zuweisung des Netzwerkprofils ist dafür verantwortlich, aber wie bekomme ich das gelöst?
Ich gehe davon aus, dass die Zuweisung des Domänenprofils anhand von AD Daten erfolgt.
Ich meine, dass diese Daten in Sites and Service unter lokale Subnetz konfigurierbar sind.
Hat jemand eine Idee?
LG aus Berlin
EDIT:
ich habe nun identifiziert, dass der der NLA Dienst für die Erkennung und Zuordnung der Netzwerke zu Profilen verantwortlich ist.
Mit den "anfälligen Kisten" bin ich nicht in der Lage, dass in unseren Gastnetzen oder aus einer Mobilverbindung heraus zu reproduzieren.
Das Problem tauchte nun in einigen Hotels und zu Hause bei einer Kollegin auf.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 614266
Url: https://administrator.de/contentid/614266
Printed on: April 20, 2024 at 12:04 o'clock
