routing in zweites Netzwerk

Hallo zusammen,

ich habe mir eine Sophos 110/112 Hardware (Home Edition Lizenz) organisiert und habe ein Netzwerk 192.168.99.0

eingerichtet mit eigenem Gateway, die FritzBox als Modem. In diesem Netzwerk befinden sich unser Home Office PC

und die Qnap, auf dem unsere Daten (Steuerunterlagen, Dokumente, ect.) liegen.

Das zweite Netz wird über eine FritzBox als Router verwaltet mit der Range 192.168.0.0 und ist als Heimnetz für die

Kinder und Gäste gedacht.

Jetzt würde ich gerne aus dem 99er Netz auf das 0er Netz zugreifen, aber nicht umgekehrt, will aber auch, das beide

weiterhin ihren eigenen Gateway benutzen.

Hierzu habe ich eine Schnittstelle (eth2) konfiguriert mit einer IP aus dem 0er Netz und statisches routing vom 99er ins

0er Netz, aber irgendwo habe ich wohl einen Denkfehler oder etwas vergessen. Die Sophos kann ich zwar ganz gut einrichten,

allerdings hapert es da bei mir noch etwas am routing. 

Kann mir jemand ein wenig auf die Sprünge helfen?

 

Besten Dank.

 

Markus

  • Hallo Markus,

    wenn deine UTM mit einer Schnittstelle im 0er Netzwerk ist, brauchst du keine statische Route auf der UTM konfigurieren, da die UTM weiß wo sich das 0er Netzwerk befindet.

    Was hier vermutlich fehlt ist eine Statische Route auf der Fritzbox, die ins 99er Netzwerk zeigt, da du dies aber nicht willst, muss du mit einem SNAT arbeiten.
    Hier musst du das 99er Netzwerk auf der UTM in Adresse des 0er Netzwerks umnatten.

    Ohne NAT sieht es wie folgt aus:
    99er Paket Client Paket geht zum Gateway (UTM) -> Die UTM schickt die Anfrage zum 0er Client -> Client bekommt das 99er Paket und schickt die Antwort zu seinem Gateway (Fritzbox) -> Die Fritzbox bekommt das Paket weiß nicht wohin mit dem 99er Paket und schickt es zu seinem Gateway (Internet) -> Paket wird verworfen, da 192.168.x.x nicht im Internet geroutet werden.

    Mit NAT
    99er Paket Client Paket geht zum Gateway (UTM) -> Die UTM wandelt das 99er Paket in ein 0er Paket und schickt die Anfrage zum 0er Client -> Client bekommt das 0er Paket und schickt die Antwort zurück zur UTM, da hier die 0er Adresse der UTM steht -> Die UTM bekommt das Antwort Paket weiß, dass dies ein ehemaliges NAT Paket ist und schickt dieses zum 99er Client.

    Damit ist gewährleistet, dass die Anfragen vom 99er Netzwerk mit 0er Adresse von der UTM sprechen.

    Falls du nicht den Haken in automatische Firewallregel erstellen gesetzt hast, musst Du dies noch manuell nachpflegen.

    Gruß
    DKKDG

  • Hallo Markus,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

     As DKKDG says, the most elegant solution in this situation would be a route in the FritzBox.  Then again, without seeing a simple diagram with IP addresses, we might be making incorrect assumptions about your network topology.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to DKKDG:

    Hallo DKKDG,

     

    vielen Dank für die leicht verständliche Antwort, super erklärt. 

     

    Mit SNAT funktioniert es jetzt und ich komme auf die Qnap im 0er Netz.

    Zuerst konnte ich die Qnap nicht über den Hostnamen erreichen nur über IP-Adresse, dann habe ich die IP/Hostname im Notebook in die host eingetragen,

    danach funktionierte es sofort. SNAT habe ich folgendermaßen konfiguriert.

     

    Datenverkehrsquelle: internal Network 192.168.99.0

    Datendienst: any

    Datenverkehrsziel: internal network private 192.168.0.0

    Quelle ändern in: internal network private 192.168.0.100 (eth2)

    Dienst ändern in: leer

     

    Ist das soweit korrekt?

     

    Gruß

    Markus

  • In reply to BAlfson:

    Hi Bob,

    vielen Dank für Deine Antwort.

     

    Ein Diagramm habe ich jetzt nicht, aber ist auch kurz erklärt.

    Anschluss von Unitymedia über FritzBox Cable als Modem mit 3 statischen IP-Adressen. Eine statische IP 78.xxx.xxx.1 hat die zusätzliche FritzBox für das Private Netzwerk 192.168.0.0,

    auf der Sophos, ebenfalls an der FritzBox Cable, ist die zweite statische IP 78.xxx.xxx.2 und das Office Netzwerk 192.168.99.0 konfiguriert. Auf eth2 in der Sophos habe ich die Schnittstelle

    auf 192.168.0.99 eingestellt und dort mit dem 0er Netzwerk verbunden. Beide Netzwerke sind normalerweise unabhängig von einander und physisch getrennt.

     

    Gruß

    Markus