Sophos XGS DNAT in IPSEC Site-to-Site

Aus Xinux Wiki

Version vom 15. Juli 2025, 08:14 Uhr von Robin.will (Diskussion | Beiträge) (→‎Idee/Prinzip)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Idee/Prinzip

drawio: sophos-xgs-nat001

In der VPN wurde ein virtuelles Netz auf Seiten der Sophos angegeben (100.64.64.0/24).
Damit der Client von der Gegenseite (10.81.10.1) nun mit dem Kali (172.16.16.200) kommunizieren kann, wird ein DNAT erstellt.
Bei allen Anfragen aus dem Client Netz des Partner (10.81.0.0/16) auf die 100.64.64.88, wird die Destination IP umgeschrieben auf die 172.16.16.200

Vorgang

Schritt 1

Wir gehen davon aus das die VPN bereits aufgebaut ist. (Wie im Beispiel Sophos XGS BINAT in IPSEC Site-to-Site aber OHNE die Binat Einstellung)
Nun wird eine SNAT Regel erstellt die etwa so aussieht:

Schritt 2

Die Sophos XGS muss nun wissen wohin das Paket gerouted werden muss.
Dafür gibt es keine Grafische Möglichkeit dies einzurichten. Deswegen müssen wir uns hier der Device Console bemächtigen.

Als erstes SSH auf die Sophos XGS
Nun die Device Console öffnen (Option 4)
Befehl eingeben um Route zu setzen: system ipsec_route add net 10.81.0.0/255.255.0.0 tunnelname xg_opnsense
Route anzeigen lassen: system ipsec_route show
Verbindung testen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Sophos_XGS_DNAT_in_IPSEC_Site-to-Site&oldid=63845“