UTM antwortet nicht auf ARP Anfrage

Hallo zusammen,

ich benötige eure hilfe bei folgendem Problem.

Bei dem folgenden Aufbau erfolgt ein ARP Request vom Router den die Sophos nicht beantwortet.

Produktions Netz 172.10.10.0/24 mit Anbindung an ... Router_A

Router_A mit Netzwerk (10.10.1.64/26) IP Adr. 10.10.1.65 weiter an Sophos UTM9

Sophos mit Inter 7 und der IP 10.10.1.100 plus Internal Interface 192.168.168.1

Hinter dem Internen INterface gibt es ein weiteres LAN 192.168.169.x und einen Server 192.168.169.5

Via NAT Rule soll vom 172er Netz und den NAT Adr. 10.10.1.70 via RDP auf den Server 192.168.169.5 zugegriffen werden.

NAT ist richtig Konfiguriert und von der Sophos (per SSH) kann auch der Server angepingt werden. Das gleiche gilt für Clients im 172er LAN.

Ein PC aus dem 172 LAN kann aber nicht den Server via seiner NAT Adr. erreichen.

Der Router_A schickt ein ARP Resquuest "How has 10.10.1.70" der von der Sophos nicht beantwortet wird.

 

Für den Test habe ich auch einen Test PC in das 10 LAN gehängt und ihm gesagt das er die .70 NAT Adresse über die Sophos erreichen kann was dann auch geht aber sollte die Sophos nicht auch auf den ARP Request Antworten. Wenn ja was muss ich einstellen damit es funktioniert.

 

Wäre für jede Hilfe Dankbar!

VG TBC

  • Wenn ich Deine Ausführungen richtig verstanden habe, benötigst Du auch kein ARP, sondern Proxy ARP.

    Vielleicht noch eine Skizze für den Netzaufbau, vereinfacht das Verständnis.

  • In reply to Alexander Busch:

    Salue Alexander,

     

    merci für die Info. Ich versuche morgen mal eine bessere Beschreibung anhand eines Bildes zu machen.

    An Proxy Arp hatte ich schon gedacht aber wie genau funktioniert der? Ich hatte ihn mal testweise auf dem Interface des 10er Netzes aktiviert aber es hat keine Änderung gebracht.

     

    Besten Dank schon mal.

    VG TBC

  • In reply to RemoHehlert:

    Hallo noch mal,

    ich hoffe die Übersicht gibt etwas mehr Aufschluss über das ganze.

    Der Cisco Router auf der linken Seite stellt das 10er LAN bereit, die Konfiguration ist unbekannt.

    Der Router schickt ein ARP Reqest raus bsw. "who has 10.10.1.72 tell 10.10.1.65". Dieser wird von der Sophos (.100) zwar gesehen, aber nicht beantwortet.

    Irgendeine Idee?

    Besten Dank im Voraus

    VG TBC

     

     

  • In reply to RemoHehlert:

    Hier noch eine weitere Info bzw. Lösungsansatz.

    Ich habe die entsprechenden NAT Adressen auf der Sophos als weitere Adressen eingetragen das er auf dem entsprechenden Interface darauf hört.

    Damit ist eine Verbindung möglich.

    Meine Frage hierzu: Ist das eine mögliche / Sinnvolle Alternative?

     

    MErci und VG

  • In reply to RemoHehlert:

    Hallo Remo,

    Versuche mal #4 in Rulz.  Schlüsselwort "Zusatzadresse".

    MfG - Bob

  • In reply to BAlfson:

    Salue BAlfson,

     

    Besten Dank für deine Antwort. Deine Beschreibung sieht nach dem aus was ich getan habe:

    Damit hat es dann auch funktioniert. Heute abend habe ich meinen Change und dann sehe ich ob das auch alles geht :-)

    Besten Dank für Deine INfo!

    VG TBC

  • In reply to RemoHehlert:

    Hallo zusammen,

    die Umstellung gem. der oben genanten Konfiguration wurde erfolgreich umgesetzt.

    Durch zusätzlichen (NAT IP) Adressen des entsprechenden Interfaces wird auf die ARP Anfrage reagiert.

     

    Besten Dank euch allen!

  • In reply to RemoHehlert:

    statt einer zusätzlichen IP Adresse reicht auch eine statische Route damit die Sophos bei aktiviertem ARP Proxy diese beantwortet und weiterroutet.

  • In reply to Ben:

    Das würde gehen sofern die Gegenstelle (Cisco 10.10.1.65) dies eingrichtet haben würde.

    Dies möchte der Provider aber nicht und damit ist diese Lösung leider in diesem Falle nicht machbar.