Sophos mit Transfernet und geroutetem Netz

Hi,

 

bisher hatten wir von unserem Provider eine Glastal - dahinter ein kleiner Cisco Router auf dem ein Transfernetz (/30)  liegt. Also eine IP Adresse auf Seite des ISP , eine IP Adresse auf unsere Seite. Darüber wird dann unser eigentliches öffentliches Netz geroutet (/28) und der Router hat auch aus diesem Netz eine Adresse (die erste nach der Netzadresse)

Die Sophos hat die nächste der freien IP Adressen des gerouteten Netzwerkes als eigene Adresse auf der WAN Seite und die IP Adresse des Ciscos als Default Gateway.

So weit - so funktional. Hier was ich meine falls unklar. Die IP Adressen sind natürlich alle ausgedacht.

 

 

Nun kommt ein neuer ISP. Von diesem bekomme ich keine Cisco, es ist nur seine Seite des Transfernetzes konfiguriert. Ich müsste also meine Seite selber konfigurieren.

Dafür könnte ich natürlich auch eine Cisco nehmen, frage mich aber ob das nicht auch direkt mit der Sophos UTM geht, stehe da aber gerade irgendwie auf dem Schlauch.

Vielleicht hat ja jemand ein solches Setup in Betrieb - oder kann mir direkt sagen - ohne zusätzlichen Router geht das nicht.

  • Hallo, 

     

    wenn ich das alles richtig verstanden habe, stellt dir dein neuer ISP einen Router zur Verfügung. Die Sophos kann ohne Probleme die Aufgabe deines Cisco-Routers übernehmen.

    Das Netz bzw. die öffentlichen IP - Adressen bindest du dann einfach alle direkt an die Sophos. Solltest du ein HA - Konstrukt nutzen, benötigst du zwischen ISP und der Sophos noch einen Switch.  

  • In reply to Sascha D:

    Moin,

     

    nein mein neuer ISP stellt eben -keinen- Router mehr zur Verfügung.

    Bisher habe ich in der Sophos einfach nur das geroutete Netz im WAN eingetragen (also eine der IP's) und als Gateway das Beinchen des ISP Routers das ja ebenfalls in unserem Netz steht.

    Das entfällt eben nun da ich selber die 2. Adresse des Transfernetzes hinterlegen muss.

  • In reply to Rouven Schuerken:

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    If there's no router supplied by the ISP, then I don't understand how they would provide one side of a transfer net.  What device did they supply for you to connect to?  I bet Sascha's suggestion is correct.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi,

     

    sie haben natürlich einen Router auf -ihrer- Seite , da ist dann ihre IP des Transfernetzes. Daran hängt dann die Glasfaser.

     

    www/ was auch immerr beim ISP -> Router ISP (1. IP Transfernetz) -> Glasfaser ... km... km... km... <- unsere Seite Glasfaser <- ??? <- Sophos

    Die andere Seite der Glasfaser kommt bei uns raus (ist nur noch ein Medienwandler dazwischen)

     

    Bisher:

    www/ was auch immerr beim ISP -> Router ISP (1. IP Transfernetz) -> Glasfaser ... km... km... km... <- unsere Seite Glasfaser <- Cisco 2. IP Transfernetz / 1. IP "geroutetes Netz" <- 2. IP geroutetes Netz /Sophos <- LAN....

     

    Sie haben beschrieben wie ich einen Cisco auf unserer Seite konfigurieren soll. Meine Frage bezog sich ja darauf ob ich mir den eventuell sparen könnte. Aktuell denke ich also eher nicht.

  • In reply to Rouven Schuerken:

    Hallo, Rouven Schuerken

     

    Ich denke ich verstehe deine Frage."Mit sie stellen ihre Seite des Transfernetzes" meinst du einfach nur, dass die in ihrem Rechenzentrum die Router haben, aber auf deiner Seite außer den Anschlussdosen/Glasfaser eben nichts. Jetzt gibtes hier Möglichkeiten.

     

    1. Modem

    Du kannst einfach ein Modem vor die UTM klemmen also ISP->Modem->UTM, in der UTM hinterlegst du dann die PPPOE Informationen. In der Ideallösung steht hier ein Telekom Company Connect aber da wir ja von privat reden nicht relevant. Das wäre halt ideal dann braucht die UTM kein Transfernetz und die öffentliche IP hängt direkt an deinem WAN Port.

    2. Exposed host/Transfernetz

    Ja, eine weniger schöne Lösung, dafür aber einfach und auch von einigen mir bekannten Firmen noch angewandt. Was viele Leute privat machen, eine Fritzbox, Digibox oder Lancom Router hernehmen und hier das Transfernetz aufbauen, bei den Fritzboxen musst du außer der Exposed host Freigabe und den IP Adressen für das Transfernetz nichts beachten. Der Lancom Router ist minimal aufwändiger einzurichten wie die Fritzbox da das Menü einfach größer ist und man einige Portfweiterleitungen einrichten muss da es bei denen die vordefinierte Funktion exposed Host wie bei Fritzboxen nicht gibt. Bei Digiboxen weiß ich aus der Vergangenheit in Zusammenarbeit mit Telekomtechnikern, dass hier neben den Portweiterleitungen und IPs ggf. sogar noch extra Routen angelegt werden, das habe ich bisher selber nicht getestet deswegen kann ich da nicht genauer drauf eingehen.

    Dann kannst du natürlich eine Cisco Box hernehmen wenn du unbedingt willst. Ich kann dein Wissen nicht einschätzen, solltest du aber nur grundlegende IT Kenntnisse haben könnte dich die Einrichtung eines Cisco Routers vor große Probleme stellen, solltest du keine ASDM Lizenz besitzen muss du diesen komplett über CLI konfigurieren wenn du das schon mal gemacht hast, gut, in Anbetracht der Tatsache, dass dich aber das klein Transfernetz vor diese Fragen stellt gehe ich mal davon aus, dass du hier nicht viele Erfahrungen geschweigedenn die Nötigen Cisco Zertifizierungen CCNA/CCNP hast.

    Wenn du ein Transfernetz wünscht würde ich zu den Punkten tendieren die ich im ersten Absatz von Punkt 2 erläutert habe, da dies aus eigener Erfahrung bei ganz kleinen Firmen oder Privatleuten vollkommen ausreicht. Bevorzugen würde ich aber wenn ich vor der Wahl Stünde Punkt 1, denn das Transfernetz kann Erfahrungsgemäß Geschwindigkeitsprobleme, regelmäßige WAN Verbindungsabbrüche bei der UTM sowie Verbindungsprobleme beim VPN Verursachen.

    Ich hoffe ich konnte helfen.

  • In reply to Jason Klein:

    Hallo Jason, danke für die lange Antwort die sicher Zeit und Mühe zur Formulierung gekostet hat - nur leider nicht hilfreich war da sie kaum auf meinen Ursprungspost einging.

    Jason Klein

    Hallo, Rouven Schuerken

    Ich denke ich verstehe deine Frage."Mit sie stellen ihre Seite des Transfernetzes" meinst du einfach nur, dass die in ihrem Rechenzentrum die Router haben, aber auf deiner Seite außer den Anschlussdosen/Glasfaser eben nichts. Jetzt gibtes hier Möglichkeiten.

    1. Modem

    Du kannst einfach ein Modem vor die UTM klemmen also ISP->Modem->UTM, in der UTM hinterlegst du dann die PPPOE Informationen. In der Ideallösung steht hier ein Telekom Company Connect aber da wir ja von privat reden nicht relevant. Das wäre halt ideal dann braucht die UTM kein Transfernetz und die öffentliche IP hängt direkt an deinem WAN Port.

    Ich habe nirgendwo etwas von privat erwähnt. Ich kenne auch wenig bis keine Privatleute die ein /28 ihr eigen nennen. Ein Modem an eine -Glasfaser- zu hängen erscheint mir auch technisch unsinnig (was für ein Modem soll das denn sein?)

    Zudem habe ich PPoE nicht erwähnt, kommt auch nicht zum Einsatz.

    Jason Klein

    2. Exposed host/Transfernetz

    Ja, eine weniger schöne Lösung, dafür aber einfach und auch von einigen mir bekannten Firmen noch angewandt. Was viele Leute privat machen, eine Fritzbox, Digibox oder Lancom Router hernehmen und hier das Transfernetz aufbauen, bei den Fritzboxen musst du außer der Exposed host Freigabe und den IP Adressen für das Transfernetz nichts beachten. Der Lancom Router ist minimal aufwändiger einzurichten wie die Fritzbox da das Menü einfach größer ist und man einige Portfweiterleitungen einrichten muss da es bei denen die vordefinierte Funktion exposed Host wie bei Fritzboxen nicht gibt. Bei Digiboxen weiß ich aus der Vergangenheit in Zusammenarbeit mit Telekomtechnikern, dass hier neben den Portweiterleitungen und IPs ggf. sogar noch extra Routen angelegt werden, das habe ich bisher selber nicht getestet deswegen kann ich da nicht genauer drauf eingehen.

    Eine FritzBox im Umfeld eines Unternehmens ist eher selten anzutreffen. Insbesondere im Zusammenspiel mit einer Sophos würde ich mal sagen. Wir haben keine. DA wir ein /28 Netz haben wäre ein exposed Host auch etwas ungünstig da es eben nur -ein- Host ist.

     

    Jason Klein

    Dann kannst du natürlich eine Cisco Box hernehmen wenn du unbedingt willst. Ich kann dein Wissen nicht einschätzen, solltest du aber nur grundlegende IT Kenntnisse haben könnte dich die Einrichtung eines Cisco Routers vor große Probleme stellen, solltest du keine ASDM Lizenz besitzen muss du diesen komplett über CLI konfigurieren wenn du das schon mal gemacht hast, gut, in Anbetracht der Tatsache, dass dich aber das klein Transfernetz vor diese Fragen stellt gehe ich mal davon aus, dass du hier nicht viele Erfahrungen geschweigedenn die Nötigen Cisco Zertifizierungen CCNA/CCNP hast.

    Ich habe schon zig Dutzend, wenn nicht gar hundert Cisco Router konfiguriert und "damals" auch den CCNA gemacht. Die lustige Cisoc GUI habe ich übrigens nie genutzt, wir haben -immer- mit der CLI gearbeitet, auch weil es die zur Zeit als wir damit anfingen noch gar nicht gab.

    Mich wirft das Transfernetz auch nicht vor Fragen sondern nur ob ich das auch OHNE den zusätzlichen Router also rein mit der Sophos und deren Routing machen kann. Wie ich eingangs beschrieben habe könnte ich auch wieder einen Cisco nehmen unds aus dem Satz hätte man schließen können das ich Kenntnisse von Cisco Geräten habe.

    Jason Klein

    Wenn du ein Transfernetz wünscht würde ich zu den Punkten tendieren die ich im ersten Absatz von Punkt 2 erläutert habe, da dies aus eigener Erfahrung bei ganz kleinen Firmen oder Privatleuten vollkommen ausreicht. Bevorzugen würde ich aber wenn ich vor der Wahl Stünde Punkt 1, denn das Transfernetz kann Erfahrungsgemäß Geschwindigkeitsprobleme, regelmäßige WAN Verbindungsabbrüche bei der UTM sowie Verbindungsprobleme beim VPN Verursachen.

    Wie Du auf diese Idee kommst (Probleme mit Abbrüchen, Geschwindigkeit usw.) kann ich nicht beurteilen - in meiner langjährigen Erfahrung würde ich mal sagen - das ist sichernicht der Fall. Im Gegenteil ist das eher "Standard" im geschäftlichen Umfeld - und die würden sich bei Problemen ganz schnell melden.

    Jason Klein

    Ich hoffe ich konnte helfen.

    Wie schon zu Eingang beschrieben wirklich vielen Dank für die Mühe - nur leider wenig hilfreich.

    Aber ich sehe schon ich werde mir einfach eine Cisco nehmen und das Setup auf unserer Seite selber realisieren.

     
  • In reply to Rouven Schuerken:

    Ich vermute mal die ursprüngliche Annahme darauf beruht das man eine Art Verbindungsaufbau in Form von PPP oder was auch immer nutzen möchte wie es bei ISP üblich ist.

    Ist meine Vermutung richtig, dass es sich bei der hier beschriebenen Variante um eine Art Standleitung oder Richtfunk (WLL) Leitung handelt die eine Abfrage von Zugangsdaten überfüssig macht, handelt?

    Fall ja, Der Sophos auf dem Interface X (meist WAN) eine IP geben und entweder als def. GW die IP des ISP angeben oder das ganze mit einer statischen Route (Internet -> ISP IP)

    Hoffe ich habe Deine Frage halbwegs richtig verstanden.

    VG TBC