UCG-Ultra hinter Sophos XG135 mit VPN

Hallo Zusammen,

ich habe für mein kleines "Homelab" umstrukturiert und habe nun eine Sophos XG135 und Unifi Cloud Gateway Ultra besorgt.

Mein Aufbau: Internet -> Speedport Smart 3 (Modem Funktion) -> Sophos XG135 PPPOE -> Unifi Cloud Gateway Ultra -> Unifi U6 Light AP -> Clients

Nun möchte ich ein funktionierendes VPN basteln. Was, wie ich gelesen habe, wohl etwas komplizierter ist.

Ich hatte bereits versucht mit einem Portforwarding den VPN Server auf der Unifi zum laufen zu kriegen, allerdings ohne Erfolg.

Ebenso hatte eine DNAT Regel laufen gehabt, die aber auch nicht zum Erfolg diente.

Diverse Firewall Regeln hatte ich schon getestet mit Sophos VPN + Unifi Firewall Regel, auch hier kein Erfolg.

Gibt es hier denn kein "Best Practice"?

Ich konnte vor geraumer Zeit bei einem Kunde das VPN über eine Dream Machine einrichten (per Portforwarding und static Route + diverse Firewall Regeln).

Nur jetzt kriege ich es bei mir nicht hin

Hat hier jemand Tipps & Tricks für mich? Ich verzweifle langsam...

Zitat von BlackSpy

Ich würde auf dem UCG einen Wireguard Server aufsetzen und dort einen Port höher 50000 nehmen, diesen Port musst du ja nur auf der Sophos forwarden auf die WAN IP des UCG.

Weiterhin beachten das WG config File zu bearbeiten, da Unifi im config File immer die WAN IP des UCG rein setzt, dort solltest du deine öffentliche IP oder FQDN einsetzen.

Mit L2TP und anderen Sachen könntest du Probleme damit bekommen das die Sophos deren Ports für sich beansprucht.

Mittlerweile kannst du ja auch das doppelte NAT ausschalten (was aber bei WG normal nicht stört), dabei aber beachten in der Sophos eine entsprechende Route(n) deines Subnetz(e) einzutragen.

Danke für den Tipp! Habe gerade den WG Server aufgesetzt die Konfig. angepasst, FW Regel erstellt + NAT Regel verknüpft. Verbindung kann erstellt werden, allerdings kann ich mich nicht per RDP verbinden. Hast du eine Idee?

Zitat von jkasten

Mal ne blöde Frage, warum die XG und den UCG?

Warum nicht?

Zitat von jkasten

Weil beides Firewalls sind und man so nur unnötig mehr Arbeit hat das zu konfigurieren.

Ja, mir ging es hier aber zum einen um die "schönere" Verwaltung der Clients im WLAN deswegen Unifi und der Schutz über Sophos (was ja auch deutlich besser ist als Unifi).

Zitat von Networker

Hmm, welchen Sinn ergibt es, das Ausgangsposting eines Threads zu löschen? Hast Du die Verbindung nun zum Laufen gebracht?

Jo hab’s zum laufen gebracht.

Zitat von jkasten

Vielleicht haben ihm die Antworten bzw Fragen nicht gefallen 🤷‍♂️ Wunschantwort nicht dabei gewesen...

Nö, habs hinbekommen

Zitat von razor

Möchtest Du uns vielleicht wissen lassen, warum es nicht von Anfang an geklappt hat? Ein Forum lebt ja genau davon, dass man sich gegenseitig hilft - auch wenn das in dem Falle nicht nötig gewesen zu sein scheint.

Vielen Dank.

Ging wegen doppelten NAT nicht. Habe auf der UCG NAT deaktiviert per SSH (USG | doppeltes NAT abschalten (USG-only)) und habe entsprechend wieder das Portforwarding mit Begrenzungen (Quellnetze etc.) eingerichtet. Danach hat es Problemlos funktioniert. (NAT war in diesem fall auch garnicht nötig).

Zitat von DoPe

Warum fragst Du nach Best Practice und benutzt eine völlig unübliche Konfiguration?

Wireguard Client ist verbunden, wenn gesendete und empfangene Pakete hochzählen. Dann ists ne Frage des Routings und Firewallings.

Auf die Frage von Dir ... Vielleicht lieber nicht, weil Du das Zeug nicht im Griff hast. Da kann man sogar bezweifeln, dass die Sophos bei dir sicherer ist.

Ah ok, da spricht wohl der Experte Bin im Thema Unifi neu, deswegen bin ich hier auch diesem Forum beigetreten (weil ich dachte, man hilft sich hier gegenseitig). Urteile doch nicht über Menschen und deren Fähigkeiten wenn du sie nicht mal kennst.

Zitat von razor

Das kann UniFi nun auch offiziell via GUI (Network Controller). Da muss nichts mehr gepfuscht werden.

Danke für den Tipp! Das weiß ich nun fürs nächste mal!