UTM hinter Fritzbox Routing?

Hi zusammen. Ich habe eine ASG110 mit der Version 9 am laufen. 
Diese will ich gerne so in unser Heimnetz hängen das die UTM unser Netz absichert. Die Firztbox hat die 192.168.0.1 .
Dem Lan Interface der UTM habe ich die 192.168.0.2 gegeben und dem external die 192.168.0.3.

Zum einen möchte ich den WebFilter im Transparent Mode nutzen. Das ist das mindeste. 

ggf auch die UTM als Firewall zum absichern des LANS.

Ist das Setup denn korrekt wenn ich das WAN Interface mit der Fritzbox verbinde und das LAN Interface mit meinem LAN Switch.
Kann das so funktionieren oder muss ich am Routing der Clients noch etwas anpassen?
Danke euch schon mal.
Ciao Christian

  • Ist das Setup denn korrekt wenn ich das WAN Interface mit der Fritzbox verbinde und das LAN Interface mit meinem LAN Switch.
    Kann das so funktionieren oder muss ich am Routing der Clients noch etwas anpassen?
    Danke euch schon mal.
    Ciao Christian


    Ich habe hier eine ältere 7390 die ich dank älterer Firmware als reines DSL-Modem betreibe.
    Wenn das bei dir nicht geht musst du die Fritzbox so konfigurieren das der komplette Datenverkehr an die IP der Astaro durchgericht wird.
    Nachteil zumindestens früher:
    Es gab Probleme mit VPN / Zetrifikaten etc. wenn die Fritzbox dazwischen hing.
    Kann sein das du dazu die Astaor an einem betimmten Lan-Port anschliessen musst. Ich meine das da mal was war.

    Gruss
  • Hallo Christian,

    Hänge die Fritz!Box vor die UTM. Dann sparst Du Dir viel Ärger mit der Telefonie. Allerdings würde ich dann mit der Box kein WLAN machen, sondern einen AP in Dein internes Netz hängen.

    Also:

    Die Fritz!Box hängt an Deinem DSL-Anschluß. An dem LAN1 der Fritz!Box hängt das WAN-Interface. Die IP der Fritz!Box ist die 192.168.178.1. Damit muß das WAN-Interface eine IP aus dem Bereich bekommen, z.B. 192.168.178.254 o.ä.

    Dein LAN-Interface kann dann z.B. die IP 192.168.0.1 bekommen. Daran hängst Du dann Deinen Switch.

    In der Fritz!Box machst Du ein PortForwarding als ExposedHost. Damit leitest Du sämtliche Anfragen aus dem Internet an das External-Interface der UTM durch.

    VPN-Probleme sind nicht zu erwarten. Zumindest nicht, wenn Du den Sophos-Client nimmst und das VPN der UTM verwendest.

    Die UTM muß natürlich entsprechend konfiguriert werden. Bekommst Du das hin?

    Gruß
    Christoph
  • In reply to ChristophKlahn:

    Hallo Christian,

    Hänge die Fritz!Box vor die UTM. Dann sparst Du Dir viel Ärger mit der Telefonie. Allerdings würde ich dann mit der Box kein WLAN machen, sondern einen AP in Dein internes Netz hängen.

    Also:

    Die Fritz!Box hängt an Deinem DSL-Anschluß. An dem LAN1 der Fritz!Box hängt das WAN-Interface. Die IP der Fritz!Box ist die 192.168.178.1. Damit muß das WAN-Interface eine IP aus dem Bereich bekommen, z.B. 192.168.178.254 o.ä.

    Dein LAN-Interface kann dann z.B. die IP 192.168.0.1 bekommen. Daran hängst Du dann Deinen Switch.

    In der Fritz!Box machst Du ein PortForwarding als ExposedHost. Damit leitest Du sämtliche Anfragen aus dem Internet an das External-Interface der UTM durch.

    VPN-Probleme sind nicht zu erwarten. Zumindest nicht, wenn Du den Sophos-Client nimmst und das VPN der UTM verwendest.

    Die UTM muß natürlich entsprechend konfiguriert werden. Bekommst Du das hin?

    Gruß
    Christoph


    Ich betreibe exakt die von Christoph geschilderte Konfiguration ohne jegliche Probleme inklusive funktionierendem VPN (Netz/Netz-Kopplung sowie Zugriff von unterwegs). Das WLAN betreibe ich über einen AP10, der ja über die Astaro konfiguriert wird.
    Alles andere habe ich durchexerziert und verworfen, da insbesondere die Telefonie im Bezug auf QoS nicht in den Griff zu bekommen war.
  • In reply to travelinlight:

    Hallo travelinlight,

    genau, an der Telefonie ist es bei mir auch gescheitert. Die Verbindungen kamen zwar zustande, aber es gab zu viele Unterbrechungen und Knackser. Ob mit oder ohne VoIP-Helper....

    Anstelle eines AP10 habe ich eine zweite Fritz!Box 7490 als AP ins Netz gehängt. Der AP10 taugt nichts in Bezug auf Reichweite und der neue AP55 ist mir derzeit zu teuer für den Heimbereich ;-), obwohl die Konfiguration mit einem Sophos-AP natürlich deutlich charmanter ist.

    Gruß
    Christoph
  • Vorweg zur VPN: bei UTM als Exposed Host in der vorgeschalteten Fritzbox funktionieren nur die VPN-Arten, die mit doppeltem NAT umgehen können. Übelicherweise hält man sich ja am entfernten Standort (Hotspot, Freund, Firma) auch schon in einem geNATteten Netz auf, dann noch die Sophos mit privater Adresse hinter der Fritzbox. L2TP und PPTP, die ja mit Windows Boardmitteln realisierbar sind, klappen so nicht; mal ganz abgesehen, daß man von PPTP eh die Finger lassen sollte. SSL-VPN z.B. mit dem Sophos Client klappt.

    Mit der Telefonie kämpf ich auch seit gut einem Monat. Bin in der glücklichen Lage, daß ich für ein halbes Jahr sowohl den alten ISDN/DSL als auch einen neuen VDSL-Anschluß mit VoIP habe, also ein perfektes Testszenario.

    • Fritz direkt am VDSL: Telefonie klappt erwartungsgemäß ohne Probleme, Nachteil doppeltes NAT durch Routerkaskade
    • Fritz hinter UTM: funktioniert selbst ohne STUN, Fritz macht das irgendwie intelligent genug. KEINE SIP-Helper in der UTM nutzen, die machen Streß
    • TK-Anlage Mitel (ehem. Aastra-DeTeWe) OpenCom X320 mit Mediagateway hinter UTM: ich verzweifle!

    Die SIP-Helper Funktion auf der UTM ist wohl nur für einige wenige Spezialfälle gedacht und braucht in den meisten Fällen nicht aktiviert werden. da bin ich auch schon reingefallen: 
    Info dazu: https://www.sophos.com/de-de/support/knowledgebase/120284.aspx
    Speziell interessant: http://sophserv.sophos.com/repo_kb/120284/file/General%20information%20regarding%20SIP.pdf

    Meine Telefonanlage bekomm ich bisher nur mit STUN-Server zum laufen, ohne, wie es die Fritzbox macht, klappt es nicht. Werde da nochmal mit und ohne SIP-Helper auf der UTM weitertesten.
    QoS hab ich noch nicht großartig getestet, weil am neuen Anschluß genug Bandbreite da ist. Aber es müßte reichen, in der Sophos für das Telefonieendgerät (TK-Anlage, Fritzbox) eine Mindestbandbreite zu reservieren. Es gibt hier im Forum auch einen umfangreichen englischen Post zum Thema:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41320

    Zum Sophos AP noch: über den AP10 lese ich nur Schlechtes, wie sieht es denn mit dem Nachfolger AP15 aus? Ich liebäugle damit, der 55er ist mir privat auch zu teuer.
  • Hallo hbrui 

    der AP15 ist im Gegensatz zum 10er wesentlich besser geworden. Ist definitiv kein Vergleich.

    Mit dem AP10 hatten wir in letzter Zeit massiv Probleme. Der Support hatte mir vor paar Wochen kostenfrei einen AP10 durch einen AP15 ersetzt, sofort waren die Fehler verschwunden.

    Gruß Thomas
  • In reply to duckek:

    Hallo zusammen,

    vielen Dank für die Zahlreichen Antworten.
    Leider war ich letzte Woche im Stress so das ich nicht vorher antworten konnte.

    Dann muss ich in der Fritzbox die IP Adresse ändern und den DHCP auf die UTM legen. Die Clients haben dann die UTM als Gateway und die Routet das ganze weiter. 
    Wo ich mir nur nicht sicher bin ist die TK Anlage. Die hat ja die Fritzbox als IP Telefon drin.
    Ich werde mich da versuchen und wieder melden.
    Gruß Christian
  • In reply to pineiro76:

    Hallo Zusammen!

    Bei mir habe ich das so gemacht:

    Fritzbox für VDSL mit VoIP und IP z.B. 192.168.0.1. In der Konfig der FB dann den Gastzugang aktivieren, der bekommt dann automatisch das 192.168.179.0 Netz. 
    In der Konfig der UTM trägt man dann für den externen Zugang (also DSL o.ä.) eine IP aus dem 179.0 Netz und verbindet die UTM mit dem LAN 4 Port der Fritzbox (FB). Einen Switch kann man dann mit beiden Geräten verbinden.

    Die UTM macht bei mir DHCP, damit die Clients immer nur via UTM surfen können.
    Die FB macht das WLAN und durch den DHCP in der UTM gehen die dann auch über die UTM raus.
    VoIP kann bei der FB bleiben und wird dann via DECT realisiert.Smile
  • In reply to rprengel:

    Von Problem gibt's immer noch mit port500 ipsec. Fritzschrott fängt diesen Port nämlich still und heimlich ab egal ob Exposed Host oder nicht

  • In reply to ChristophKlahn:

    Muss das LAN-Interface einen neuen IP-Bereih erhalten?

    Ich habe im IP-Bereich der Fritzbox 192.169.179.1 ziemlich viele feste IP-Adressen vergeben.

    Der DHCP der Fritz muss dann deaktiviert und der der UTM aktiviert werden?

    Läuft dann das W-Lan der Fritzbox auch über die UTM?


    Danke

    Gruß Manuel

  • In reply to manuel_bo:

    Das LAN-Interface muss keinen neuen Bereich bekommen. Es macht die Sache aber u.U. einfacher weil sonst die Clients angepasst werden müssen.

    Wenn Du die statischen Einträge beibehalten willst, dann musst du die natürlich in der UTM neu konfigurieren

    Der DHCP auf der Fritz kann an bleiben, es verbindet sich aber bei korrekter Konfiguration kein Client mehr direkt mit der Fritzbox sondern  nur noch mit der UTM. Und auf der UTM sollte dementsprechend DHCP laufen.

    Nein das W-Lan bleibt auf der FritzBox. Bzw. das W-Lan der FritzBox müsste abgeschaltet werden und ein neues W-Lan hinter der UTM aufgebaut werden. Dafür brauchst du aber mindestens noch einen AP (muss nicht zwingend einer von Sophos sein)