Sophos XGS SNAT: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
 
{{#drawio:sophos-xgs-nat003}}
 
{{#drawio:sophos-xgs-nat003}}
  
*In der VPN wurde ein virtuelles Netz auf Seiten der Sophos angegeben (100.64.64.0/24).
+
*An der Sophos-Firewall ist ein DMZ Netz angebunden das zum SAP Bereich führt im Netz '''10.88.88.0/24'''
*Damit Clients wie der Kali (172.16.16.200) nun mit der Gegenseite kommunizieren können wird ein SNAT erstellt.
+
*Zwischen den 2 Firewalls im DMZ Bereich ist eine Route gesetzt und zwar die für das Netz '''10.92.92.0/24'''
*Alle Clients der Sophos Seite im Netz '''172.16.16.0/24''' werden auf die '''100.64.64.33''' genatted, wenn Sie das Netz '''10.81.0.0/16''' erreichen wollen
+
*Wir möchten nun von unserem Lan net, mit z.B. dem Kali, den Victim '''10.82.232.61''' erreichen.
 +
*In diesem Beispiel wird das Lan Net auf ein Bereich in dem Netz der Route gesetzt also '''10.92.92.0/24'''
 +
**Der Bereich der genommen wird ist '''10.92.92.10 - 10.92.92.20'''
  
 
=Vorgang=
 
=Vorgang=
 
==Schritt 1==
 
==Schritt 1==
*Wir gehen davon aus das die VPN bereits aufgebaut ist. (Wie im Beispiel [[Sophos XGS BINAT in IPSEC Site-to-Site]] aber '''OHNE''' die Binat Einstellung)
+
*Es wird nun eine SNAT-Regel erstellt und für die Source-Nat-IP wird eine '''IP-Range''' angegeben --'''10.92.92.10 - 10.92.92.20'''
*Nun wird eine SNAT Regel erstellt die etwa so aussieht:
+
[[Datei:sophos-xgs-nat-4.png]]
[[Datei:sophos-xgs-nat-2.png]]
 
  
 
==Schritt 2==
 
==Schritt 2==
*Die Sophos XGS muss nun wissen wohin das Paket gerouted werden muss.  
+
*Nun müssen noch passende Firewall Regeln erstellt werden. Dafür wird das original Lan Netz genommen und das Remote Netz genommen.  
*Dafür gibt es keine Grafische Möglichkeit dies einzurichten. Deswegen müssen wir uns hier der '''Device Console''' bemächtigen.
+
[[Datei:sophos-xgs-nat-5.png]]
 
 
#Als erstes SSH auf die Sophos XGS
 
#Nun die Device Console öffnen (Option 4)
 
#Befehl eingeben um Route zu setzen: '''system ipsec_route add net 10.81.0.0/255.255.0.0 tunnelname xg_opnsense'''
 
#Route anzeigen lassen: '''system ipsec_route show '''
 
#Verbindung testen
 

Aktuelle Version vom 15. Juli 2025, 10:03 Uhr

Idee/Prinzip

  • An der Sophos-Firewall ist ein DMZ Netz angebunden das zum SAP Bereich führt im Netz 10.88.88.0/24
  • Zwischen den 2 Firewalls im DMZ Bereich ist eine Route gesetzt und zwar die für das Netz 10.92.92.0/24
  • Wir möchten nun von unserem Lan net, mit z.B. dem Kali, den Victim 10.82.232.61 erreichen.
  • In diesem Beispiel wird das Lan Net auf ein Bereich in dem Netz der Route gesetzt also 10.92.92.0/24
    • Der Bereich der genommen wird ist 10.92.92.10 - 10.92.92.20

Vorgang

Schritt 1

  • Es wird nun eine SNAT-Regel erstellt und für die Source-Nat-IP wird eine IP-Range angegeben --> 10.92.92.10 - 10.92.92.20

Sophos-xgs-nat-4.png

Schritt 2

  • Nun müssen noch passende Firewall Regeln erstellt werden. Dafür wird das original Lan Netz genommen und das Remote Netz genommen.

Sophos-xgs-nat-5.png

Abgerufen von „http://wiki.ixheim.de/index.php?title=Sophos_XGS_SNAT&oldid=63861