Eigenen AP (Raspberry Pi 3) durch Sophos UTM schützen (Update: Sophos UTM und FB 7490 - So gehts)

Hallo Chris,

wegen Umstellung auf All-IP habe ich seit kurzem auch eine FB7490. (Vorher hat die UTM die Einwahl gemacht und 2 AP10 sorgten für WLAN)

Jetzt macht die Fritzbox die Einwahl und reicht alles über Exposed Host an die UTM weiter. DHCP auf der FB ist ausgeschaltet.

WAN -- Fritzbox -- LAN1 (192.168.168.1) ---- EXT (192.168.178.10 fest) -- UTM

Auf der UTM wurde eine zusätzliche Adresse auf das externe Interface gelegt:
Additional Address on Interface EXTERNAL mit 10.10.10.1 genannt FritzboxWLAN. Für dieses Netzwerk wurde DHCP eingerichtet.

Meldet sich jetzt ein Gerät an der Fritzbox an (entweder LAN oder WLAN) bekommt es eine IP-Adresse aus dem 10.10.10.x-Raum und als Gateway die 10.10.10.1.

Somit läuft der ganze Traffic über die UTM und Du kannst die Geräte so fein verwalten wie Du willst. Es ist ein eigenes Subnetz der UTM mit allen Möglichkeiten.

Moin Walter,

danke schon mal! Ein paar Fragen hätt ich da noch...

1) Die FB als Exposed Host wurde in anderen Beiträgen hier als Sicherheitsrisiko eingestuft, da dadurch jeder, der an der FB vorbei kommt, sofort in deinem lokalen LAN landet. Wie schätzt du das Risiko ein?

2) Deinen Aufbau versteh ich im Moment noch nicht ganz. Ich hab dich so verstanden: Kabel aus LAN1 (FB) auf NIC der UTM (External WAN) mit fester IP aus dem FB-Netz (192.168.178.10). Dann Kabel aus zweitem NIC der UTM ins interne (Internal) Netz (Switch, PC, whatever) mit neuen Subnetz (192.168.168.1). Dann zusätzliches Interface auf das external WAN-NIC gelegt, mit ganz neuem Netz und eigenem DHCP (10.10.10.1). Wenn ich dich bis hierhin richtig verstanden habe, ergeben sich für mich zwei Fragen: Wie gibst du dem externen Interface zwei IPs? Das geht nur via Ethernet VLAN, oder? Und zweite Frage: Kann ich dann meinen internen DHCP für das Netz hinter der UTM weiterlaufen lassen?

3) Verschiedene SSIDs/separate Netze lassen sich mit deiner Methode aber nicht realisieren, oder?

Gerade wegen Punkt drei bin ich ja fast am überlegen, ob ich mir einfach ein paar mehr APs bastle, Raspberrys liegen hier genug rum :). Damit wäre auch das Eingangs skizzierte Problem gelöst. Statt einzelnen Rules für die angeschlossenen Geräte hätt ich dann für jedes Gerät nen eigenen AP...gut, zugegeben, effizient is was anderes :).

Letzte Frage: Die Eintragung als Exposed Host brauch ich doch NUR, wenn Geräte, die direkt über die Fritzbox connecten, auch hinter die UTM wandern sollen, oder? So wie ich es jetzt habe, hängt ja schon alles hinter der FB (komplettes Heim-LAN).

Vielen Dank für deine/eure Zeit,

Gruß, 

der Bastler mit Lichtblick

Guten Abend Chris,

alles kann ich Dir heute nicht mehr erklären, aber anfangen.

zu 1:
Ich nutze die Fritzbox in Bezug auf das Internet nur als eine Art Modem. Als Telefonzentrale ist sie voll in Funktion, aber für das Internet macht sie nur die Einwahl und gibt alles an den Exposed Host weiter. Dieser ist die UTM und daher eine starke Firewall, hinter der sich alles andere versteckt.

Da die Fritzbox nicht von aussen administrierbar ist, nur eine feste innere IP (192.168.178.1) hat und keine Adressen per DHCP vergibt kann sie nur von einem PC im LAN mit fester Adresse im gleichen Subnetz verändert werden.

zu 2:
Ich glaube, Du hast mich richtig verstanden.

Das anlegen einer 2. IP auf dem externen NIC geht ganz einfach. Unter "Interfaces & Routing"/"Interfaces" gibt es einen Reiter "Additional Addresses". Dort definierst Du eine neue Adresse auf dem externen Interface mit 10.10.10.1 und vergibst einen Namen.

Dann gehst Du zu "Network Services"/"DHCP", nimmst einen neuen DHCP-Server und vergibst einen Nummernbereich für das neu angelegte Interface.

Wenn sich jetzt ein Gerät mit DHCP-Client an der Fritzbox meldet (LAN oder WLAN) bekommt es eine IP auf dem 10.10.10.x-Netz. Die Fritzbox verhält sich hier wie ein Switch und keines dieser Geräte kann aus das 192.168.178.x-Netz von der Fritzbox wenn Du es nicht per Regel in der UTM freigibst. Genauso wenig kann jemand von aussen, wenn er es geschaft hat in das 192.168.178.x-Netz einzudringen, auf das 10.10.10.x-Netz zugreifen. Er muss durch die UTM.

Dein interner DHCP-Server auf dem internen Interface ist von diesen Aktionen nicht beeinflusst und kann normal weiterlaufen.

zu 3 kommen wir später, wenn Dich mein Aufbau überzeugt hat und Du es am laufen hast.

Gute Nacht und viel Erfolg.

Ich hätt das Ding von Anfang an als Diskussion markieren sollen...durch den grünen Haken siehts so aus, als wäre schon alles gesagt.

Ich bin kurz davor, deine Lösung auszuprobieren. Warte nur, bis die Freundin aus dem Haus ist...denn wenn ich das Internet am Handy versehentlich lahm lege, gibt es ordentlich Schelte.

Melde mich wieder (und 3 interessiert mich immer noch :)).

So, alles umgesetzt. War gut, dass ich gewartet hab, bis die Göttergattin außer Haus war. Ging nämlich erst mal gar nix :).

Was man zu den bisherigen Schritten ergänzen muss:

• Network Services --> DNS --> Reiter "Global" --> Das neue Netz (10.10....) unter Allowed Networks ergänzen
• Web Protection --> Web Filtering --> Reiter "Global" --> Das neue Netz (10.10....) unter Allowed Networks ergänzen

Danach flutschte die Sache.

Ich beweg mich hier auf einem Terrain, in dem ich noch nicht ganz trittfest bin. Ich hab mal meine Configs als Bilder angehängt und wäre dir/euch sehr verbunden, wenn ihr noch mal einen Blick drauf werfen könntet.

 Config Internal Interface:

 Config External WAN:

 Additional IP-Address:

 Config neuer DHCP-Server:

 Config Web Filter:

 Config DNS:

 Config FritzBox DHCP (keiner):

 Config FritzBox Exposed Host:

 So sieht es dann z.B. bei nem Notebook aus:

Ein Problem hab ich zudem noch: Kann mir jemand sagen, was das hier ist/was mir diese regelmäßigen Drops in der FW sagen wollen?

Vielen Danke für deine/eure Zeit,

Grüße vom Bastler!

Hallo Chris,

schön, dass es soweit geklappt hat. Mit den 'Allowed Networks' dachte ich ist klar. Man sollte es aber erwähnen.

Ich habe das Wochenende Gäste. Zu 3 kann ich frühestens ab Montag Stellung nehmen.

Vielleicht haben andere auch Gedanken dazu.

Moin Walter,

liebe "Mitbastler",

danke nochmal für deine Tipps. Wäre dir/euch sehr vebunden, wenn du dir/ihr euch an Hand der Screenshots weiter oben meine Config noch mal ansehen könntest/könntet, ob mit da evtl. ein "Schnitzer" unterlaufen ist (wie gesagt, bin da noch nicht trittsicher). 

Ausserdem versteh ich immer noch nicht diese ICMP-Drops (siehe letzter Screenshot weiter oben), da wäre ich für jede Hilfe dankbar.

Noch eine wertvolle Lektion: Obwohl der DHCP der UTM schon fleissig IPs verteilt hat, wurden in der GUI der FB immer noch die Geräte mit alter IP (FB-Netz) angezeigt. Ob das jetzt ne Art Anzeigefehler war oder aber die FB bekannte MACs auch ohne DHCP mit IPs versorgt, weiss ich nicht (wobei die Endgeräte schon einer 10er-IP anzeigt haben). Habe alle Endgeräte ausgeschalten, das jeweilige Gerät in der FB aus der "Bekannte Geräte"-Liste gelöscht und dann neu verbunden. Jetzt steht da ein befriedigendes "-" bei IP.

Leider fehlt mir die Zeit, sonst würd ich aus dem Thread hier ein kleines How-To basteln, interessiert sicher mehr, alá "Sophos UTM und FB7490 - so gehts richtig". Naja, wenigstens den Thread-Titel konnte ich anpassen.

Und für Frage 3) von oben hab ich auch noch ein offenes Ohr/Auge :).

Nochmals vielen Dank und einen guten Wochenstart,

Gruß Chris

PS: Sorry, aber eine Frage kam gerade noch auf. Sinnvollerweise adde ich das neue W-Lan-Netwerk (10.10....) auch bei der IPS, oder?

Hallo Chris,

andere user scheinen an unserem netten Konfigurationsspiel kein Interesse zu haben. Oder sie warten auf die vollkommene Lösung. ;-)

Deine Screenshot sehen für mich sehr gut aus und wenn es so funktioniert ist doch alles in Ordnung.

Jetzt zu Deinem Punkt 3:

Soweit ich die Fritzbox kenne (hier bin ich Neuling) sind nicht mehrere SSIDs möglich.

Aber soweit ich Dich verstanden habe, willst Du einzelnen Geräten oder Gruppen besondere Rechte geben oder entziehen.

Als einfachstes vergibst Du einem solchen Gerät eine feste IP im 10.10.10er-Netz, legst in der UTM einen Host mit dieser IP an und schon kannst Du in der UTM Regeln für dieses Gerät anlegen.

Du kannst aber auch per DHCP eine IP zuteilen lassen, dann auf der UTM unter Network Services/DHCP/IP4 Lease Table nach dem Gerät suchen und auf 'Make Static' drücken. Dann ist auch ein Host angelegt und das Gerät bekommt zukünftig immer diese IP zugeteilt.

Wenn Du willst, kannst Du das 10er-Netz auch noch in kleinere Subnetze mit unterschiedlichen Berechtigungen aufteilen und die IPs der Geräte dort vergeben.

Es gibt viele Möglichkeiten. Das waren nur Anregungen. Wenn Du weitere konkrete Probleme hast, helfe ich gerne weiter.

Von welchem Gerät die ICMP-Pakete kommen, kann ich nicht sagen. Was ist 10.10.10.4? Was hast Du unter Network Protection/Firewall/ICMP eingestellt?

Okay, das mit den W-Lan Clients leuchtet ein. Kann sie einzeln oder in Gruppen mit den entsprechenden Rechten ausstatten (oder eben nicht). Damit kann ich gut leben und auf eine zweite SSID oder separates Netz verzichten.

Neue Lesson learned: Einstellungen in der UTM greifen unter Umständen nicht sofort und manchmal scheint mir der Brotkasten oben drein recht "launisch" zu sein. Soll heissen, nachdem gestern Abend alles lief, lief es heute morgen nicht mehr. Ohne Änderung am System (jaja...das sagen sie immer [8-|]). Will hier aber ein "das Problem saß vor dem Monitor" nicht ganz ausschliessen...

Heute musste ich folgende Einstellungen nachziehen, damit alles wie gewohnt funktioniert:

Masquerading für das neue Netz (erscheint mir jetzt auch logisch...mir ist aber schleierhaft wie ich ohne diese Einstellung gestern überhaupt mit einem mobilen Endgerät rausgekommen bin):

Grundlegende FW-Rules fürs surfen (auch hier versteh ich wieder nicht, wie ohne diese Settings gestern überhaupt eine Seite geladen hat):

10.10.10.4 hab ich mittlerweile auch identifiziert, dass ist mein W-Lan Repeater im Wohnzimmer. Im Reiter Network Protection/Firewall/ICMP sieht es aktuell so aus:

Muss zu meiner Schande gestehen, dass ich mich mit dem ICMP kaum auskenne. Ein Protokoll für Fehlermeldungen, das wars dann leider schon mit meinem Latein.

Was ausserdem noch bleibt:

• Gerade hat mein Schatz nen alten Notebook ausgegraben. Der hat sich doch, dreist wie er is, ne alte FritzBox-IP geholt (192.168.178.XX) statt der 10.10.10.XX. Dynamic IP via DHCP war am Client an und das Gerät war der FritzBox auch nicht mehr bekannt. Wieso hat sich das blöde Ding dann doch wieder ne alte IP gekrallt? Ein Rätsel, das ich gern noch durchdringen würde.
• UE Smartradio (Logitech Squeezebox, WLAN) geht nicht, scheitert am Ping zu uesmartradio.com. FW meldet "Default DROP ICMP 10.10.10.28(Radio) → 54.78.37.234(Uesmartradio.com)". Das wäre vermutlich nen Thema für nen eigenen Thread ("FW Config für Anfänger"), aber ich vermute, es hängt wieder mit dem ICMP zusammen.

Ich muss gestehen, dieses "Projekt" ist hier und dar ne anstrengende Kiste, aber bislang obsiegt Ehrgeiz, Neugier und Spaß. Danke dir Walter für den kontinuierlichen Support, weiß ich sehr zu schätzen.

Grüße Chris...und Feierabend :)

Hallo Chris,

es gibt so viele Stellschräubchen. Da muss man sich halt mal durchbeissen.

Das mit dem Masquerading ist klar. Die Firewall-Rules sind zum Teil nicht notwendig.
Du hast doch den Geräten per DHCP die UTM als DNS-Server zugeteilt und dann in den Allowed Networks Dein Netz eingetragen. Dann brauchts Du keine Regel nach 'Any' mehr.
WebSurfen kannst Du ohne Regel, wenn Du den Proxy einstellst.

Ich bin kein DHCP-Guru, aber ich weiß, dass sich Geräte die letzte vergebene IP in einem Netzwerk merken und einen Request nach dieser IP starten. Dass die Fritzbox die aber wieder bestätigt hat, nachdem DHCP abgeschaltet war, kann ich mir auch nicht erklären.

Wenn Dein Radio ICMP zum Server braucht, dann lass doch einmal ICMP durch das Gateway zu. Du kannst es ja beobachten.

Weiterhin viel Spass. Die Abende im Winter sind lang.