Sophos XGS DNAT in IPSEC Site-to-Site: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=Idee/Prinzip= {{#drawio:sophos-xgs-nat001}} *In der VPN wurde ein virtuelles Netz auf Seiten der Sophos angegeben (100.64.64.0/24). *Damit Clients wie der Ka…“) |
|||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
*In der VPN wurde ein virtuelles Netz auf Seiten der Sophos angegeben (100.64.64.0/24). | *In der VPN wurde ein virtuelles Netz auf Seiten der Sophos angegeben (100.64.64.0/24). | ||
| − | *Damit | + | *Damit der Client von der Gegenseite (10.81.10.1) nun mit dem Kali (172.16.16.200) kommunizieren kann, wird ein DNAT erstellt. |
| − | * | + | *Bei allen Anfragen aus dem Client Netz des Partner '''(10.81.0.0/16)''' auf die '''100.64.64.88''', wird die Destination IP umgeschrieben auf die '''172.16.16.200''' |
| + | |||
| + | =Vorgang= | ||
| + | ==Schritt 1== | ||
| + | *Wir gehen davon aus das die VPN bereits aufgebaut ist. (Wie im Beispiel [[Sophos XGS BINAT in IPSEC Site-to-Site]] aber '''OHNE''' die Binat Einstellung) | ||
| + | *Nun wird eine DNAT Regel erstellt die etwa so aussieht: | ||
| + | [[Datei:sophos-xgs-nat-3.png]] | ||
| + | |||
| + | ==Schritt 2== | ||
| + | *Die Sophos XGS muss nun wissen wohin das Paket gerouted werden muss. | ||
| + | *Dafür gibt es keine Grafische Möglichkeit dies einzurichten. Deswegen müssen wir uns hier der '''Device Console''' bemächtigen. | ||
| + | |||
| + | #Als erstes SSH auf die Sophos XGS | ||
| + | #Nun die Device Console öffnen (Option 4) | ||
| + | #Befehl eingeben um Route zu setzen: '''system ipsec_route add net 10.81.0.0/255.255.0.0 tunnelname xg_opnsense''' | ||
| + | #Route anzeigen lassen: '''system ipsec_route show ''' | ||
| + | #Verbindung testen | ||
Aktuelle Version vom 15. Juli 2025, 08:16 Uhr
Idee/Prinzip
![Bearbeiten](javascript:editDrawio("1487009497", "sophos-xgs-nat001.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
- In der VPN wurde ein virtuelles Netz auf Seiten der Sophos angegeben (100.64.64.0/24).
- Damit der Client von der Gegenseite (10.81.10.1) nun mit dem Kali (172.16.16.200) kommunizieren kann, wird ein DNAT erstellt.
- Bei allen Anfragen aus dem Client Netz des Partner (10.81.0.0/16) auf die 100.64.64.88, wird die Destination IP umgeschrieben auf die 172.16.16.200
Vorgang
Schritt 1
- Wir gehen davon aus das die VPN bereits aufgebaut ist. (Wie im Beispiel Sophos XGS BINAT in IPSEC Site-to-Site aber OHNE die Binat Einstellung)
- Nun wird eine DNAT Regel erstellt die etwa so aussieht:
Schritt 2
- Die Sophos XGS muss nun wissen wohin das Paket gerouted werden muss.
- Dafür gibt es keine Grafische Möglichkeit dies einzurichten. Deswegen müssen wir uns hier der Device Console bemächtigen.
- Als erstes SSH auf die Sophos XGS
- Nun die Device Console öffnen (Option 4)
- Befehl eingeben um Route zu setzen: system ipsec_route add net 10.81.0.0/255.255.0.0 tunnelname xg_opnsense
- Route anzeigen lassen: system ipsec_route show
- Verbindung testen