Thread Info
  • State Suggested Answer
  • Replies 8 replies
  • Answers 1 answer
  • Subscribers 8 subscribers
  • Views 880 views
  • Users 0 members are here
Options
Suggested

Zugriff auf zweite Netzwerkzone

RalphZ

Hallo,

kann mir jemand helfen, denn ich bekomme es nicht hin. Ich habe auf einer Sophos XG ein Netzwerk 192.168.101.xx auf Port1 und ein Netzwerk 192.168.102.xx auf Port 5 eingerichtet. Jetzt möchte ich vom Netzwerk auf Port1 auf das Netzwerk von Port5 zugreifen. Ich habe schon verschiedene Richtlinien von P1 zu P5 versucht und auch Routing, aber ich bekomme keinen Zugriff auf das zweite Netz auf Port5. Hat jemand eine Idee wie ich das konfigurieren muß?



Added TAGs
[edited by: Raphael Alganes at 3:06 AM (GMT -7) on 22 Mar 2024]
Parents
  • 0

    Hallo,

    Die Firewall ist immer das Gateway in jeweiligen Netz?

    In den Firewall-Rules darf nicht die Interface-IP der Firewall stehen (#Port1), sondern eine Netzdefinition (192.168.101.0/24)

    Wenn beide Netze in der Zone "LAN" sind, im Zweifel mal zum Testen folgendes probieren:

    Source: "Zone=LAN" und "IP=ANY"

    Destination: "Zone=LAN" und "IP=ANY"

    Alle Regeln mit aktiviertem logging anlegen und im log-viewer prüfen, ob es Treffer gibt.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo,

    hab den Fehler gefunden, danke für die Antwort aber da du ja sehr erfahren bist, habe ich noch eine neue Frage. Wie konfiguriere ich die RTP Freigabe für Voip. Ich habe nähmlich auch das Problem, das sich das Telefon (Anlage) registriert und auch die Rufe funktionieren, nur fehlt der Ton.

  • 0 in reply to RalphZ

    Hallo,

    wo befindet sich das Telefon und wo die Anlage? Beides im LAN, oder ist etwas davon im Internet?
    Wenn die Anlage im LAN ist, wie verbindet sie sich mit dem TK-Anbieter?

    Ich bräuchte ein paar mehr Details. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    die Telefonanlage befindet sich in meinem zweiten LAN auf Port 5 (192.168.102.xx). Die normalen Rechner sind auf Port 1 (192.168.101.xx) . Beides geht über die WAN-Leitung auf Port 2 ins Internet. Die Telefone sind alle an der Telefonanlage (Auerswald Compact 4000) angeschlossen und gehen nicht direkt ins Internet (Anbieter 1und1). Als Router dient eine Fritzbox 3490, wo die Sophos als Exposed-Host konfiguriert ist. Wenn es hilfreich ist, könnte ich auch noch das WAN über 2 Ports splitten.

    Ralph

  • 0 in reply to RalphZ

    Hallo Ralph,

    kennt die Fritzbox auch das 192.168.102.0 /24 Netzwerk?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to RalphZ

    Die Telefone befinden sich im gleichen Subnetz, wie die TK-Anlage?

    Mal das Logging aktivieren (auch für die letzte DROP-Regel ) und mit dem logviewer gucken, ob/was aus dem TK-Subnetz gedroppt wird.

    Sonst:
    Alles vom/zum TK-Anbieter zulassen und alles eingehende vom TK-Anbieter per DNAT an die Auerswald schicken.
    Wenn für die Aushandlung (SIPs = port 5061) verwendet wird, ist der SIP-Helper "blind".

      Guter Einwand, aber wenn der SIP-Anteil funktioniert, müsste das Maskieren auch passen. Dann sieht die FB das 102er Netz nicht


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to RalphZ

    Die Telefone befinden sich im gleichen Subnetz, wie die TK-Anlage?

    Mal das Logging aktivieren (auch für die letzte DROP-Regel ) und mit dem logviewer gucken, ob/was aus dem TK-Subnetz gedroppt wird.

    Sonst:
    Alles vom/zum TK-Anbieter zulassen und alles eingehende vom TK-Anbieter per DNAT an die Auerswald schicken.
    Wenn für die Aushandlung (SIPs = port 5061) verwendet wird, ist der SIP-Helper "blind".

      Guter Einwand, aber wenn der SIP-Anteil funktioniert, müsste das Maskieren auch passen. Dann sieht die FB das 102er Netz nicht


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data
Unfiltered HTML