This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 - Erfolgreicher Ping trotz getrennte Netze?

Hallo zusammen,

 

wir setzen aktuell Sophos UTM9 ein und müssen Ruckus WLAN AccessPoints einsetzen.

Wir haben hier zwei SSIDs. Einmal SSID „Intern“ und einmal SSID „Guest“.

Das Interne Netz wird mithilfe eines Microsoft Radios Server verwaltet und funktioniert.

Das Guest Netz bekommt via Sophos DHCP eine IP-Adresse aus einem anderen Adressbereich und auch hier funktioniert noch alles. Nach der Eingabe eines Gast Vouchers kommt der Gast auch ins Internet.

 

Problem:

Leider funktionieren Ping Befehle auf unser Internes Netz (IP werden aufgelöst, Namen werden nicht aufgelöst).

Der Gast kann aber keine RDP oder Netzwerkpfade öffnen. Hier erfolgt ein default DROP von der Sophos, was auch gewünscht und richtig ist.

Wieso werden aber Ping Befehle durchgelassen, obwohl es hier zwei getrennte Netze sind?

 

Problem Ping:

In der Sophos  unter „Network Protection“ -> „Firewall“ -> „ICMP“ haben wir schon „Allow ICMP on gateway“, „Allow ICMP through gateway” deaktiviert.

Wir haben auch unter “Ping Settings“ die „Gateway is ping visible“, „Ping from gateway” und “Gateway forwards pings” deaktiviert.

Der Ping kommt trotzdem durch.

 

Einstellungen:

Interfaces Intern: Type -> Ethernet mit Hardware eth0

IPv4 address: 192.168.100.1

Interfaces Guest: Neues Guest WiFi Interface mit >Type Ethernet VLAN> und VLAN Tag >30<

IPv4 address: 172.16.20.1

 

Network Services -> DHCP:

Interface: Guest WiFi Interface

Range: 172.16.20.50 – 172.16.20.150

DNS: 8.8.8.8

Default gateway: 172.16.20.1

 

Network Protection -> Firewall:

Source: 172.16.20.0/24

Services: Any

Destination: Ins Internet

Action: Allow

 

Network Protection -> NAT -> Masquerading:

Interface: External (WAN)

 

 

Vielen Dank Vorab für die Unterstützung.

Viele Grüße



This thread was automatically locked due to age.
Parents
  • Kurz und etwas vereinfacht gesagt erlaubt die UTM im Standard alles, was nicht verboten ist.

    Schau Dir mal folgenden Artikel an

    Geht der Ping zum Gateway oder direkt auf ein Gerät im internen Netz?

    Erstell mal eine Deny Regel und schau ob sich das Verhalten ändert.

    Beste Grüße

    Alex

    -

Reply
  • Kurz und etwas vereinfacht gesagt erlaubt die UTM im Standard alles, was nicht verboten ist.

    Schau Dir mal folgenden Artikel an

    Geht der Ping zum Gateway oder direkt auf ein Gerät im internen Netz?

    Erstell mal eine Deny Regel und schau ob sich das Verhalten ändert.

    Beste Grüße

    Alex

    -

Children
No Data