Keine VPN Verbindung über Sophos Connect

Es gibt 15 Antworten in diesem Thema, welches 476 mal aufgerufen wurde. Der letzte Beitrag () ist von Proxi.

    • Neu

    Hallo Zusammenm,

    ich bin neu in der Ubiquiti Welt und versuche mir Zuhause ein kleines Netzwerk aufzubauen.

    Nun bin ich auf das erste Problem gestoßen:

    Für Homeoffice müssen wir von unserem Arbeitgeber per Sophos Connect eine VPN Verbindung aufbauen.

    Folgende Konstellation habe ich aktuell:

    Fritzbox Cable ---> Unifi Ultra Gateway + 1 AP


    Verbinde ich mich mit dem Lan oder WLAN der Fritzbox wird die VPN Verbindung ohne Probleme aufgebaut.

    Verbinde ich mich mit dem Lan oder WLAN des Unifi Ultra Gateway funktioniert die VPN Verbindung nicht mehr, es kommt lediglich zu einem ewigen retry des Verbindungsaufbaus.

    Ich konnte bisher leider nicht herrausfinden woran das liegt, und hoffe hier auf Hilfe :smiling_face:


    Liebe Grüße

    • Neu

    Hallo Proxi und willkommen in der Unifi-Welt!


    Wie baust Du die VPN-Verbindung auf, über einen Software-Client? Ausgehende Verbindungen brauchen keine besonderen Einstellungen in Unifi, von daher ist es etwas seltsam, dass es hinter der Fritzbox geht, hinter dem UCG-Ultra aber nicht.


    Welchen Internetanbieter nutzt Du und hast Du eine öffentliche IPv4 am Anschluss?

    Hast Du Firewallregeln in Unifi eingerichtet?

    Deine Fritzbox läuft offenbar noch als Router, Du könntest sie mal als Bridge konfigurieren (das sollte bei den Kabel-Boxen noch möglich sein).

    • Neu

    Hi Networker und vielen Dank für deine Antwort


    die VPN wird über den Sophos VPN Client aufgebaut.

    Als Internetanbieter habe ich Vodafone, eine öffentliche IP habe ich meines Wissens nach nicht.


    Firewallregeln sind bei Unifi nur die Default Regeln

    Ich habe eine Fritzbox 6591, diese kann anscheinend nicht als Bridge konfiguriert werden (https://avm.de/service/wissens…-Modus-eingesetzt-werden/)

    • Neu

    Alles klar, ich meinte, hier immer wieder von anderen Foristen gelesen zu haben, dass sie ihre Kabel-Fritzbox angeblich als Bridge konfiguriert haben. Das sind dann wohl noch andere Modelle oder ich irre mich.

    Ich gehe mal davon aus, dass Du grundsätzlich das WLAN der Fritzbox abgeschaltet hast? Falls nicht --> direkt umsetzen. Weiterhin gehe ich davon aus, dass Dein UCG-Ultra mit seinem WAN-Port an einem der LAN-Ports der Fritzbox hängt und Du in Unifi als IP-Adresse des Internetanschlusses 192.168.178.X oder ähnlich angezeigt bekommst.


    Der AP hängt dann per PoE-Injector direkt am UCG-Ultra? Hast Du keinen Switch?


    Was Du versuchen kannst: Setze das UCG-Ultra in der Fritzbox als "exposed host". Diese Einstellungen hat zwar eigentlich nichts mit ausgehenden Verbindungen zu tun, aber teste es bitte trotzdem einmal.


    Ansonsten könnten auch Screenshots Deiner Konfiguration (vor allem Unifi, aber ebenso Fritzbox) helfen.

    • Neu
    Zitat

    Weiterhin gehe ich davon aus, dass Dein UCG-Ultra mit seinem WAN-Port an einem der LAN-Ports der Fritzbox hängt und Du in Unifi als IP-Adresse des Internetanschlusses 192.168.178.X oder ähnlich angezeigt bekommst.

    Ja hängt direkt am WAN und wird auch so angezeigt.


    Zitat

    Der AP hängt dann per PoE-Injector direkt am UCG-Ultra? Hast Du keinen Switch?

    Der AP hängt an einem POE Switch, ist aber noch kein UniFi Switch


    Zitat


    Was Du versuchen kannst: Setze das UCG-Ultra in der Fritzbox als "exposed host". Diese Einstellungen hat zwar eigentlich nichts mit ausgehenden Verbindungen zu tun, aber teste es bitte trotzdem einmal.

    Hat leider keine änderung erbracht.



    Code
    2024-10-19 19:05:29 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.1.1:8443
2024-10-19 19:05:29 Socket Buffers: R=[65536->65536] S=[65536->65536]
2024-10-19 19:05:29 Attempting to establish TCP connection with [AF_INET]192.168.1.1:8443 [nonblock]
2024-10-19 19:05:29 MANAGEMENT: >STATE:1729357529,TCP_CONNECT,,,,,,
2024-10-19 19:05:29 TCP connection established with [AF_INET]192.168.1.1:8443
2024-10-19 19:05:29 TCP_CLIENT link local: (not bound)
2024-10-19 19:05:29 TCP_CLIENT link remote: [AF_INET]192.168.1.1:8443
2024-10-19 19:05:29 MANAGEMENT: >STATE:1729357529,WAIT,,,,,,

    Hier ein Auszug aus dem Protokoll vom VPN Client,


    Ansonsten hab ich bei UniFi alles auf Standard gesetzt um hier erstmal Fehler meinerseits auszuschließen

    • Neu
    Zitat von Networker

    Weil man in professionellen Netzen alle Netzadressen vermeiden sollte, die von Herstellern als Standard-Adressen in ihre Router geklöppelt werden.

    Genau um Probleme/Adresskonflikte bei Netzkopplungen zu vermeiden.

    Hast du da Mal eine Liste. Wenn man in einem kleinen Unternehmen ein paar Home-Office Leute hat ist die wichtigste die 178. Bei den anderen läuft man hinterher. Ich hatte schon immer die 192.168.123.* egal welcher Router. Das musste ich den fw Admin auch ersteinmal nahe bringen.

    • Neu
    Zitat von phino

    Hast du da Mal eine Liste.

    Ich finde es grundsätzlich eine gute Idee, im Unternehmen 192.168.0.0/16 nicht zu nutzen. Damit vermeidet man schon mal 99% der Probleme. Ich glaube, ich hatte noch nie ein Netzwerkgerät vor mir, welches in der Werkseinstellung nicht für eines dieser Netze konfiguriert gewesen wäre. Dies schließt sowohl die ganzen Heimnetzgeräte als auch Equipment von den üblichen Verdächtigen für größere Strukturen mit ein (Cisco, Zyxel, Sophos, Ubiquiti...).


    Wenn man unbedingt etwas aus 192.168.0.0/16 konfigurieren möchte, sollte man zumindest folgende Netze vermeiden:


    192.168.0.0/24 --> Telekom-Router und ich meine auch Netgear

    192.168.1.0/24 --> Ubiquiti, Zyxel und viele andere Hersteller

    192.168.2.0/24 --> ich meine, neuere T-Speedports nutzen das

    192.168.8.0/24 --> Gerne von Mobilfunk-Routern benutzt, z.B. Huawei

    192.168.178.0/24 --> AVM


    Diese Liste ist keinesfalls vollständig!


    Bei einer konfigurierten Netzadresse 192.168.237.0/24 ist die Wahrscheinlichkeit natürlich sehr gering, dass es damit Probleme gibt. Aber Firmennetze sind ja auch gerne mal größer und müssen mehr als 254 Hosts adressieren. In 192.168.128.0/18 wäre z.B. 192.168.178.0/24 schon wieder enthalten und damit problematisch.

    • Neu

    Danke. Zumindest auf 168.1, .8. und .178. bin ich schon selber gekommen. Und dann kannte ich halt noch Sophos.

    Ich glaube, es ist eher ein Problem bei kleine Firmen mit 50 -100 MA. Die haben gar keine eigene IT. Da kommt eine Firma* einrichten und dann wurschteln sich ein Mitarbeiter so durch.
    Große Firmen mit vielen Clients nutzen dann wohl eher die 10.x.x.x

    *Und die kleinen IT-Firmen sind auch häufig nicht so umfassend aufgestellt, dass man es mit reinen FW-Admins zu tun hat.

    • Neu

    Also zwischen 50 und 100 Mitarbeitern würde ich schon hoffen, dass die Firma eine (kleine) interne IT hat, es sei denn, es ist Gastronomie, Hotelgewerbe oder ähnliches. Ich weiß aber, was Du meinst.

    Ich betreue ausschließlich kleine Firmen und sehe bei Neugründungen oder größeren IT-Umbauten immer zu, dass ich weg von 192.168.0.0/16 komme. Bei größeren Unternehmen geht das natürlich irgendwann gar nicht mehr (leicht).


    Zitat von phino

    Große Firmen mit vielen Clients nutzen dann wohl eher die 10.x.x.x

    Kann man nicht unbedingt verallgemeinern, auch in 192.168.0.0/16 passen über 65.000 Hosts. Das ist dann natürlich nur ein einziges Netz...

    Aber ja, die ganz Großen nutzen "Class A" oder "Class B", wie es früher hieß. Die Allergrößten unter den Großen habe sogar /8-Netze mit öffentlichen IPv4-Adressen. Also 16,7 Mio Adressen, die alle im Internet routbar sind. Das sind dann Firmen wie Ford, AT&T, Apple... Auch mit ein Grund, weswegen es im v4-Netz schon vor Jahren sehr eng wurde.

    • Neu

    danke für die Rückmeldungen und Hinweise, ich hatte heute im Büro die Gelegenheit etwas nachzuforschen.

    Eine neue .ovpn Datei inkl. anpassung der IP Adresse für die Öffentliche IP im Büro hat geholfen.

    Nun klappt die VPN verbindung auch von zu hause aus dem UniFi netz

    Viele Dank an alle :smiling_face: