Sophos Central Endpoint and SEC: Computers fail/hang on boot after the Microsoft Windows April 9, 2019 update. Please follow knowledge base article 133945

Learn about the Benefits of Multi-Factor Authentication (MFA). Turn your MFA on now!

Outage on MySophos and Partner Portal. You may contact Sophos Support through Phone.

UTM9 - Erfolgreicher Ping trotz getrennte Netze?

Hallo zusammen,

 

wir setzen aktuell Sophos UTM9 ein und müssen Ruckus WLAN AccessPoints einsetzen.

Wir haben hier zwei SSIDs. Einmal SSID „Intern“ und einmal SSID „Guest“.

Das Interne Netz wird mithilfe eines Microsoft Radios Server verwaltet und funktioniert.

Das Guest Netz bekommt via Sophos DHCP eine IP-Adresse aus einem anderen Adressbereich und auch hier funktioniert noch alles. Nach der Eingabe eines Gast Vouchers kommt der Gast auch ins Internet.

 

Problem:

Leider funktionieren Ping Befehle auf unser Internes Netz (IP werden aufgelöst, Namen werden nicht aufgelöst).

Der Gast kann aber keine RDP oder Netzwerkpfade öffnen. Hier erfolgt ein default DROP von der Sophos, was auch gewünscht und richtig ist.

Wieso werden aber Ping Befehle durchgelassen, obwohl es hier zwei getrennte Netze sind?

 

Problem Ping:

In der Sophos  unter „Network Protection“ -> „Firewall“ -> „ICMP“ haben wir schon „Allow ICMP on gateway“, „Allow ICMP through gateway” deaktiviert.

Wir haben auch unter “Ping Settings“ die „Gateway is ping visible“, „Ping from gateway” und “Gateway forwards pings” deaktiviert.

Der Ping kommt trotzdem durch.

 

Einstellungen:

Interfaces Intern: Type -> Ethernet mit Hardware eth0

IPv4 address: 192.168.100.1

Interfaces Guest: Neues Guest WiFi Interface mit >Type Ethernet VLAN> und VLAN Tag >30<

IPv4 address: 172.16.20.1

 

Network Services -> DHCP:

Interface: Guest WiFi Interface

Range: 172.16.20.50 – 172.16.20.150

DNS: 8.8.8.8

Default gateway: 172.16.20.1

 

Network Protection -> Firewall:

Source: 172.16.20.0/24

Services: Any

Destination: Ins Internet

Action: Allow

 

Network Protection -> NAT -> Masquerading:

Interface: External (WAN)

 

 

Vielen Dank Vorab für die Unterstützung.

Viele Grüße

  • Kurz und etwas vereinfacht gesagt erlaubt die UTM im Standard alles, was nicht verboten ist.

    Schau Dir mal folgenden Artikel an

    Geht der Ping zum Gateway oder direkt auf ein Gerät im internen Netz?

    Erstell mal eine Deny Regel und schau ob sich das Verhalten ändert.

    Beste Grüße

    Alex

  • Du solltest dir im Bereich Network Protection das Register ICMP anschauen und dort die Haken raus nehmen, dann sollte kein ping netzübergreifend mehr funktioneren.

    Für Bereiche, die ping benötigen statt über das ICMP Register dieses Verhalten per Firewall-Regel entsprechend erlauben.

     

    Ggf. mal prüfen, ob es vielleicht Firewallregeln mit any gibt, die ping entsprechend auch erlauben würden...

     

    Gruß Steve

  • Hallo Denis,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    You've correctly done what's necessary for the UTM to block pings to Intern from Guest.  From your description, my guess is that the problem is in the settings in the Microsoft Radio Server and that the ping traffic never reaches the UTM.

    MfG - Bob (Bitte auf Deutsch weiterhin.)