Zugriff Sophos/VPN auf Timbewolf

[danik]

Hi

Ich habe eine Sophos FW, Zugriff mittels VPN (SSL, OpenVPN, iPhone) ins eigene Netz klappt eigentlich soweit ganz gut.

Zugriff auf TWS mittels Adresse https://timberwolfxxx.local/.. klappt aber nicht. Auf CV kann ich mit der IP-Adresse vom TW anstelle von timberwolfxxx.local zugreifen, auf die TW-Oberfläche mit IP klappt ja nicht wegen Zertifikaten.

Ist da auf der Firewall noch etwas einzurichten, damit mittels VPN auf die timberwolfxxx.local zugegriffen werden kann? Bin für Stichworte dazu dankbar, bin leider nicht so der Netzwerkprofi.

Danke und Gruss
Dani

[blaubaerli]

Hi Dani,

von wo aus greifst du denn konkret zu? Von welchem Device und von welchem Netz kommst du durch deine FW in das Netz mit dem TW?
Kannst du prüfen, auf welche IP von dem Gerät timberwolfxxx.local konkret aufgelöst wird?

Gruß
Jens

[danik]

von wo aus greifst du denn konkret zu? Von welchem Device und von welchem Netz kommst du durch deine FW in das Netz mit dem TW?
Kannst du prüfen, auf welche IP von dem Gerät timberwolfxxx.local konkret aufgelöst wird?

Hi

Zugriff erfolgt über iPhone, über 4G-Netz, VPN-Verbindung ins Heimnetzwerk ist aufgebaut (OpenVPN/SSL). Auf meine QNAP komme ich z.B. einfach über die IP-Adresse der QNAP von aussen.

Wenn ich im lokalen WLAN verbunden bin mit dem iPhone klappt der Zugriff problemlos auf timberwolfxxx.local

Wie/wo kann ich prüfen auf welche IP timberwolfxxx.local aufgelöst wird? Dies ist ja nicht die IP-Adresse vom TW, oder (hier habe ich eine fixe vergeben)?

Gruss
Dani

[Gecks]

Das hat was mit der Domain zu tun, da Zeroconfig nicht durch die FW geroutet wird. Gab dazu schon ein paar Einträge hier im Forum. Mal sehen ob ich das noch finde. Für's Erste muss erstmal der Knowledge Base Artikel her halten.
Knowledge Base - 1.3 Zugriff auf den Timberwolf Server per LAN / WLAN

So hab's gefunden. Hier wurde ein ähnliches Problem schon Mal diskutiert.
Server Zertifikate mit Wildcards

Achso, wenn du per VPN mit deinem Heimnetz verbunden bist, solltest du auch mit deiner fest vergebenen IP des TWS drauf kommen. Nur dann ohne HTTPS.

[danik]

Das hat was mit der Domain zu tun, da Zeroconfig nicht durch die FW geroutet wird. Gab dazu schon ein paar Einträge hier im Forum. Mal sehen ob ich das noch finde. Für's Erste muss erstmal der Knowledge Base Artikel her halten.
Knowledge Base - 1.3 Zugriff auf den Timberwolf Server per LAN / WLAN

So hab's gefunden. Hier wurde ein ähnliches Problem schon Mal diskutiert.
Server Zertifikate mit Wildcards

Achso, wenn du per VPN mit deinem Heimnetz verbunden bist, solltest du auch mit deiner fest vergebenen IP des TWS drauf kommen. Nur dann ohne HTTPS.

Danke, habe mir die Beiträge nochmals durchgelesen (habe diese schon mal studiert, sind aber nicht ganz einfach), geht wohl noch nicht.

Mit HTTP geht es nicht, resp. er wechselt dann automatisch zu HTTPS und will dann das Zertifikat. Wobei der Aufruf über die IP-Adresse vom lokalen Netz her geht, jedoch nicht von ausserhalb.

Werde dann wohl warten bis die offizielle Lösung für externen Zugriff draussen ist oder mal in einem Sophos-Forum nachfragen.

Danke
Dani

[blaubaerli]

Hi,

die Kunst ist es von unterwegs einen Namen zu nutzen, der entweder automatisch im Hintergrund die VPN-Verbindung aufbaut, oder dann bei einer bestehenden VPN-Verbindung den Request auch in Richtung des VPN-Tunnels routed.

Das ist halt bei iOS-Devices u.U. nicht ganz so trivial. Ich habe da mit dem iPhone-Konfig-Tool und dem internen VPN-Client eine Lösung gefunden. Die Requests auf Domäne fritz.box bauen automatisch den Tunnel auf und werden dann alle in Richtung heimatliches Netz gerouted. Beim Nutzen des entsprechenden Hostnamens für den Wolf klappt das dann auch stabil.

Gruß
Jens

[Gecks]

Versuch Mal ob du mit diesem Beitrag weiter kommst.
https://community.sophos.com/kb/en-us/123035

@blaubaerli Deine iPhone Lösung hört sich interessant an. Kannst du das näher erläutern?

[danik]

Versuch Mal ob du mit diesem Beitrag weiter kommst.
https://community.sophos.com/kb/en-us/123035

Danke. Scheint so als dieser Punkt/Funktion in meiner Sophos UTM-Version nicht drin ist.

[blaubaerli]

Hi Dani,

mal folgende Hinweise:

Ich weiß nur, dass das ein extremes Gefummel war. Ich bekomme das definitiv nicht mit einer Easy2Use-Anleitung hin. Ich kann euch "nur" mit den relevanten Einstiegsstichworten für Tante-Google dienen.

Zudem gab es einige Pitfalls die es zu umschiffen gilt.

Also zunächst benötigt man ein Hilfsmittel, das "iPhone-Konfigurationsprogramm". Das stellt Apple meines Wissens offiziell nicht mehr unter Windows zur Verfügung. Also rein formal benötigt man dazu also auch noch einen Mac. Aber aus diversen Quellen kann man das im Web wohl noch finden. Ich habe bei mir unter einer aktuellen Windows 10-Maschine die Version 3.6.2.300 dieses Tools im Einsatz. Es gibt nun aber wohl auch ein Problem, sobald man eine aktuelle iTunes-Version im Einsatz hat, kommt es zu einer Inkompatibilität mit einer Bibliothek und man kann dann das "iPhone-Konfigurationsprogramm" nicht mehr einfach starten. Hinweise dazu bei Tante Google mit

Code: Alles auswählen

"iPhone-Konfigurationsprogramm" und itunes

Dieses Thema bekommt man dann also mit einem speziellen Registry-Eintrag wieder gelöst:

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apple Inc.\Apple Mobile Device Support]
„InstallDir“=“C:\\Program Files (x86)\\Common Files\\Apple\\Mobile Device Support\\“

Weiter gehts dann mit Tante Google und

Code: Alles auswählen

ios vpn on demand

Aus dem ganzen Gefummel plumpst am Ende eine Konfigdatei für das Zieldevice raus. Diese ist dann manuell zu editieren und konkrete Regeln für den VPN-Aufbau werden mitgeben. Z.B. Die Namen der lokalen SID's bei denen kein VPN aufgebaut wird bzw. die Domainnamen die in das VPN gerouted werden.

Die fraglichen Fragmente sehen bei mir dann so aus. Entscheidend ist dann hier das fritz.box!!!

Code: Alles auswählen

<key>OnDemandEnabled</key>
<integer>1</integer>
<key>OnDemandRules</key>
<array>
  <!-- Turn off VPN if on our WiFi network -->
  <dict>
    <key>InterfaceTypeMatch</key>
    <string>WiFi</string>
    <key>SSIDMatch</key>
    <array>
      <string>eigenesid1</string>
      <string>eigenesid1</string>
      <string>eigenesid1</string>
    </array>
    <key>Action</key>
    <string>Disconnect</string>
  </dict>
  <!--Rule to turn on VPN -->
  <dict>
    <key>Action</key>
    <string>EvaluateConnection</string>
    <key>ActionParameters</key>
    <array>
      <dict>
        <key>Domains</key>
          <array>
            <string>fritz.box</string>
          </array>
        <key>DomainAction</key>
        <string>ConnectIfNeeded</string>
      </dict>
    </array>
  </dict>
</array>

Also insgesamt alles echt fummelig. Aber das Ergebnis ist echt komfortabel.

Viel Spaß beim Basteln.

Gruß
Jens

PS: Was für einen verregneten Sonntag oder eine entstpannte Nachtsitzung

Hinzugefügt nach 20 Minuten 59 Sekunden:
Ach, da war noch was: Es gibt Dokus, da tauchen IP-Bereiche in dem Bereich auf in dem jetzt die Domain steht. Das ging bei alten iOS-Versionen. Aktuell gehts definitiv nicht mehr. Also es geht nur über Domainnamen.

[danik]

Danke, werde mir das bei nächster zeitlichen Gelegenheit zu Gemüte führen

Gruss
Dani