The Sophos Community will be offline for scheduled maintenance this Saturday, May 27th, at 13:00 UTC for approximately 1 hour. Apologies for any inconvenience caused.


"Wanna" ransomware outbreak. Please see this Sophos article for advice on how to protect your organization. Immediate action recommended.

Sophos Interface Konfiguration, Verständigungsproblem

Hi zusammen,

ich habe ein Konfigurationsproblem, wo ich auf dem Schlauch stehe. Folgende Ausgangslage :

Ich habe drei Netze zu konfigurieren, wovon zwei Netze mir aus dem Rechenzentrum zur Verfügung gestellt werden.

1. Netz

192.168.145.0/24

GW 192.168.145.1

Dieses Netz ist ein Transfernetz, dahinter stehen 40 andere Netze in einem VPN Netzwerk, die alle aufs Gateway vom RZ geroutet wurden, sprich auf die 192.168.145.1

 

2. Netz öffentliches Netz

öffentliches 24Bit Netzwerk

GW x.x.x.1 in diesem Netz

 

3. Netz mein eigenes Netzwerk

Hier habe ich im RZ ein privates Netzwerk 

192.168.22.0/24

GW 192.168.22.254

 

ich habe somit drei Netzwerkkabel die ich auf Interfaces der Sophos konfigurieren muss :)

Ziel ist es : 

1. Netz hat vollen Zugriff aufs 3. Netz

3. Netz geht ins Internet über 2. Netz

externe Zugriffe müssen auf dem 2. Netz auflaufen und dann auf 3. Netz geroutet werden

 

Ich habe grundsätzliche Konfigurationserfahrung mit UTM, fange also nicht bei null an. Nur diese Basiskonfiguration fällt mir schwer.

ich habe also bisher folgendes gemacht :

eth0 LAN Interface = Netzwerkinterface konfiguriert mit 192.168.22.254

eth1 VPN Interface = Netzwerkinterface konfiguriert mit 192.168.145.254 Default GW 192.168.145.1 (eben das GW des RZ wie oben beschrieben)

eth2 WAN Interface = Netzwerkinterface mit einer IP Adresse aus dem öffentlichen Netzwerk

 

mein Problem :

Ich komme erstens von extern nicht auf das WAN Interface. Das funktioniert, wenn ich das Default GW auf eth2 setze und zwar auf die x.x.x.1 vom RZ aus dem öffentlichen Netz

Dann geht aber das routing aus den 40 VPN Netzen nicht mehr.

 

Habe ich das Default GW wie oben beschrieben auf eth1 liegen, erreichen aber die 40 Netze nicht alle mein internes LAN, sprich eth0. Ich denke aber das dies meine Schuld sein muss, weil

wenn ich aus einem dieser 40 Netze schaue wie weit ich komme, erreiche ich 192.168.145.254 von eth1. Ich stehe also schon an meinem Interface, komme dann aber nicht auf eth0

Portfilterregeln kann ich als Fehler ausschliessen. Bin noch in der Konzeptphase und noch ANY ANY ALLOW konfiguriert.

 

Kann mir wer auf die Sprünge helfen, hab da keinen sonst den ich fragen kann, da RZ nix mit Sophos zutun hat, bin dort nur im Collocationbetrieb eingezogen.

Danke euch :)

Gruß

Thomas

 

 

 

  • Hallo Thomas,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    I'm confused about why you would add a default gateway to the 1. Netz instead of to the WAN interface.

    These are almost certainly routing issues, but there are some things you haven't told us:

    1. Is the Transfer Netz just a connection between the UTM and another device that is connected via VPN to the RZ?
    2. Should traffic pass between the 3. Netz and the 40 subnets in the RZ with requests going in both directions or only to the 3. Netz?
    3. Do you want the 40 subnets in the RZ to pass through the UTM to reach the Internet?  If so, should they use the UTM's Web Protection?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Eine öffentliche IP ohne ein Default Gateway kann auf diesem Interface keine Antworten liefern. Wenn eine Anfrage aus dem Internet (Unbekanntes Subnet) kommt antwortet die UTM erst mal an ihr Default Gateway, hat Deine nur 1 also an das RZ-Gateway und dort kann man damit nix anfangen.

    Normalerweise würde man die UTM so konfigurieren, wie man auch ein einfachstes Setup mit 2 Interfaces umsetzt. Internes Netz an Interface 1, die UTM ist das Default Gateway für dieses Netz, hat selbst dort also KEIN Default Gateway.

    WAN an Interface 2, damit die UTM weiß wohin mit dem Traffic aus dem internen Netz hat sie dort neben ihrer externen IP auch das Default Gateway gesetzt, das i.d.R. zu einem Router des Internetproviders zeigt. Ob nun DHCP, statisch, PPoE hängt vom Anschluss ab.

    So, wenn Du nun noch ein drittes Interface für die RZ-Verbindung hast erstellst Du für alle RZ-Netze, die vom internen Netz aus erreichbar sein müssen (oder aus denen Dein internes Netz erreichbar sein muss) statische Routen, die an das Gateway im Transfernetz geleitet werden. Das mag bei 40 Netzen zwar eklig klingen, ist aber für sauberes Routing in alle Richtungen zwingend erforderlich.

    Wäre die UTM mit nur 2 Interfaces via VPN (über WAN-Strecke)mit dem RZ verbunden müsste auch dabei konfiguriert werden, welche Netze in den Tunnel gehen sollen, bei 40 weiteren Netzen wären das 40 SAs, die bei der VPN-Verbindung anfallen würden. Definieren musst Du die Zielnetze so oder so an der UTM.

    Wenn das Routing sauber steht kannst Du mit DNAT eingehend oder Firewall-Regeln für die Kommunikation zwischen RZ und lokalem Netz anfangen.

  • In reply to BAlfson:

    Hallo Balfson,

     

    vielen Dank für Deine Antwort.

    Also Netz 1 ist bei mir ja WAN Interface, grundsätzlich wollte ich dies für den Internetzugriff als Default GW konfigurieren. Würdest Du das nicht so machen ?

    zu 1. Ja das Transfernetz ist ausschließlich für die Verbindung zu dem LANCOM Router gedacht, der wiederum die ganzen VPN's verwaltet.

    zu 2. 3. Netz drei sollte beidseitig sein. also ein und ausgehend in die 40 Subnetze.

    zu 3. Nein die Subnetze haben Split tunneling und gehen ausschließlich lokal ins Internet. Internetzugriff ist ausschließlich für RZ interne Netzwerk outgoing und incomming.

    Bin nun auch ein Stück weiter ;

    das die 40 Netze nicht alle gingen lag an der Software der LANCOM's. Die hatten nicht alle das weitere Routing in private Netze konfiguriert.

    Weiterhin habe ich jetzt zwar die Lösung erwirkt, bin mir aber nicht sicher ob dies "sauber" konfiguriert ist.

    Ich habe nun auf 1. Netz und 2. Netz das Default GW konfiguriert, funktionieren tut alles.

    Aber mit zwei Gateways habe ich ja Link Bündelung aktiviert mit einer Gewichtung (ist round robin richtig ?).

    Mein Gefühl sagt mir aber, sauber konfiguriert ist das nicht, wenngleich es funktioniert oder ?

     

    Gruß

    Thomas

  • In reply to kerobra:

    Hallo Kerobra,

     

    auch Dir danke für die Antwort.

    Genauso habe ich das auch verstanden, sprich Default GW ist WAN GW.

    Auch von der Konfiguration hatte ich das vorher auch so betrieben, in einer anderen Umgebung. Da hatte ich zig VLAN's definiert die jeder für sich isoliert waren und die Definition der IP war gleich Default GW für das entsprechende Netz.

    Die Vermutung das ich zig Routen aufbauen müsste, hatte ich gedanklich aufgrund des Umstandes der Konfiguration gerne verworfen.

    Das RZ sagte mir, ich bräuchte ja nur 3 Routen definieren, sprich die privaten Adressbereiche. Das wiederum erschien mir aber auch nicht sauber konfiguriert und so war ich mir nicht sicher.

    Wenn aber der korrekte Ansatz über routing und nat's ist, muss ich wohl da ran. Ich war mir halt unsicher, da ich bisher die VPN's auch immer selbst verwaltet hatte und nicht ein Interface belegt bekomme, wo zig VPN's hinter stehen, die ich gar nicht selbst verwalte.

     

    Gruß

    Thomas

  • In reply to kerobra:

    Eine Frage bliebe noch,

     

    mir ist der Unterschied bei den Routing's noch nicht ganz klar. Per Definition würde ich behaupten ich erstelle Gateway-Routen und keine Schnittstellen-Routen richtig ?

    So wie meine Konfig jetzt gerade läuft ; sprich zwei Gateways mit Link Bündelung ist unsauber oder ?

     

    Danke vorab

  • In reply to Thomas Stein1:

    Was genau meinen die denn mit private Adressbereiche, dass Du einfach 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 zu denen routest?

    Ginge natürlich auch und würde Dich von der 2 Default Gateway Problematik entbinden und Du müsstest auch nicht 40 Netze pflegen. Wenn Du nie andere Verbindungen von der UTM woanders hin aufbauen musst wäre das tatsächlich die einfachste Lösung. Ich persönlich würde die Netze einzeln anlegen, mit einer entsprechenden Liste dauert das 15 Minuten und Du hast alle Freiheiten für andere Konstrukte offen.

    Mit Uplink Balancing (2 default gateways) musst Du eigentlich Multipath Rules verwenden, damit nicht irgendwelche komischen Phänomene auftreten.

    NATen musst Du nix zum RZ, das war auf die eingehenden Verbindungen von extern in Dein LAN bezogen.

  • In reply to Thomas Stein1:

    So wie meine Konfig jetzt gerade läuft ; sprich zwei Gateways mit Link Bündelung ist unsauber oder ?

    Yes, unsauber - lose the default gateway on that and make Gateway Routes like '{192.168.201.0/24} -> {192.168.145.1}' as Kevin says.  I also agree that you got bad advice about just making three Static Routes.  You're probably not lucky enough that your colleagues used adjacent subnets so that you could cover them all with {192.168.192.0/19} and {192.168.224.0/21}.

    In general, subnets in 192.168.0.0/16 should be reserved for home use and public hotspots, never for a business.  Only giant organizations like IBM or ISPs should use subnets in 10.0.0.0/8.  Organizations that aren't giant should use subnets in 172.16.0.0/12.  Since folks will be moving to IPv6 in the not-too-distant future, it's not worth changing to subnets in 172.16.0.0/12 except in small networks.  Your 3. Netz might be a candidate, but the 40 in the RZ are not.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Vielen Dank euch Beiden,

     

    habe nun eure Empfehlungen berücksichtigt und wie folgt konfiguriert :

    WAN Interface  Default GW

    VPN Interface einfach konfiguriert

    Die 40 Subnetze habe ich zu einer Netzgruppe zusammen gefasst und entsprechend in einer Gateway Route gepackt. Die kompletten privaten Bereiche freizugeben wollte ich nicht.

    Sollte ich doch mal ein weiteres, eigenes VPN Netz bekommen und habe mögliche Überschneidungen muss ich hierfür extra natten.

     

     @ Balfson

    Mit ip6 kann ich gegenwärtig noch nicht warm werden. Ich weiss das ich das irgendwann muss, gegenwärtig kann ich mir aber alles an IP's merken, was notwendig ist. Klar dafür gibt es DNS, fühle mich aber grundsätzlich im ipv4 Umgebung sicherer vom handling.

    Alleine wenn ich mir vorstelle, das ich mit den Logfiles Fehlersuche betreibe, würde mich wahnsinnig mit ipv6 machen denke ich :)

    @ kerobra

    auch die Zugriffe von extern auf intern werde ich gott seidank nicht natten müssen, sondern arbeite überwiegend oder ausschließlich mit Portalen die ich sauber über die Webserver Protection abbilden kann und werde.

    Mein Eingangsproblem ist aufjedenfall erstmal gelöst. Jetzt wird erstmal nach der Konzeptphase das System gehärtet (IPS etc. werden nun scharf gemacht)

    BTW : Ich muss ehrlich sagen, Sophos ist schon ne feine Lösung, würde wenn ich die Wahl habe, nichts anderes mehr in dem Bereich einsetzen

     

    Gruß

    Thomas