Ping auf 8.8.8.8

Hallo,

ich kann nur noch auf die 1.1.1.1 pingen, welche auch als DNS Forwarder eingetragen ist. Allerdings ist aus dem entsprechenden Netz die Firewall und Masquerading Regel so eingerichtet, dass ein Ping gehen müsste. Der Ping wird einfach verworfen -> es liegt aber nicht am Country Blocking. Unter Firewall-> ICMP ist Allow ICMP through gateway aktiviert. Unter Intrusion Prevention ist so gut wie alles aktiv, ich weiß nicht ob der ping hier möglicherweise geblockt wird. Was könnte ich noch einstellen?

  • Hallo,

    im ersten Schritt vielleicht nicht einstellen, sondern die entsprechenden Logfiles prüfen.

    Wenn IPS etwas blockt, steht das im IPS-logfile.

    Im Firewall (Live-) log ist auch country-blocking o.ä. zu finden.

    Versuche mal ein Trace-route zur 8.8.8.8 - wie ist das Ergebnis?

  • In reply to dirkkotte:

    Hallo,

    mit traceroute kommt die Meldung: 1  1ms   <1ms   <1ms 8.8.8.254

                                                       2 8.8.8.254 meldet: Zielhost nicht erreichbar

     

    Mein Netzwerk hat ebenfalls die Netzadresse 8.8.8.0, aber aus anderen Nezwerken funktioniert der Ping/Tracerout ebenfalls nicht. der Traceroute auf 1.1.1.1 verläuft erfolgreich. 

  • In reply to asd sad:

    na wenn die 8.8.8.8 zu einem lokalen Netz gehört, wird das niemals ins Internet geschickt (was ja das Ziel war, denke ich?)

    Immer wenn ein Paket an die 8.8.8.x geht behandelt es die SG am lokalen Interface.

    PS: wie kommt man beim eigenen Netz auf die 8.8.8.x? ... oder arbeitest du bei google?

  • In reply to dirkkotte:

    Hallo,

    das habe ich mir auch gedacht als ich dir Frage bereits gestellt hatte. Ich habe auf einem ESX mehrere virtuelle Test Netze erstellt (eines mit 10.10.10., mit 9.9.9 und blöderweise mit 8.8.8). Kann ich an der Sophos irgendwie einstellen, dass Anfragen auf die 8.8.8.8 nicht lokal verarbeitet werden, sondern ins Internet weitergeleitet werden?

    PS: Nein leider arbeite ich nicht bei Google :)

  • In reply to asd sad:

    ich glaube "direct connected" schlägt nichts.

    Also wird das Beste sein, den IP-Bereich zu ändern (10.8.8.x).

    Ober halt 1.1.1.1 als DNS verwenden.

    ... Aber es fehlen u.U. auch noch andere Google-Dienste ...

  • In reply to dirkkotte:

    vielen Dank für die Antwort, dann werde ich den IP Adress bereich umbenennen.

  • In reply to dirkkotte:

    Eine Policy route, evtl. sogar als Gateway route, sollte auch direct connect schlagen

  • In reply to papa_:

    Hallo,

     

    wie und wo richte ich eine policy route ein?