Sophos Interface Konfiguration, Verständigungsproblem

Question

Hi zusammen, 
 ich habe ein Konfigurationsproblem, wo ich auf dem Schlauch stehe. Folgende Ausgangslage : 
 Ich habe drei Netze zu konfigurieren, wovon zwei Netze mir aus dem Rechenzentrum zur Verf&uuml;gung gestellt werden. 
 1. Netz 
 192.168.145.0/24 
 GW 192.168.145.1 
 Dieses Netz ist ein Transfernetz, dahinter stehen 40 andere Netze in einem VPN Netzwerk, die alle aufs Gateway vom RZ geroutet wurden, sprich auf die 192.168.145.1 
 
 2. Netz &ouml;ffentliches Netz 
 &ouml;ffentliches 24Bit Netzwerk 
 GW x.x.x.1 in diesem Netz 
 
 3. Netz mein eigenes Netzwerk 
 Hier habe ich im RZ ein privates Netzwerk 
 192.168.22.0/24 
 GW 192.168.22.254 
 
 ich habe somit drei Netzwerkkabel die ich auf Interfaces der Sophos konfigurieren muss :) 
 Ziel ist es : 
 1. Netz hat vollen Zugriff aufs 3. Netz 
 3. Netz geht ins Internet &uuml;ber 2. Netz 
 externe Zugriffe m&uuml;ssen auf dem 2. Netz auflaufen und dann auf 3. Netz geroutet werden 
 
 Ich habe grunds&auml;tzliche Konfigurationserfahrung mit UTM, fange also nicht bei null an. Nur diese Basiskonfiguration f&auml;llt mir schwer. 
 ich habe also bisher folgendes gemacht : 
 eth0 LAN Interface = Netzwerkinterface konfiguriert mit 192.168.22.254 
 eth1 VPN Interface = Netzwerkinterface konfiguriert mit 192.168.145.254 Default GW 192.168.145.1 (eben das GW des RZ wie oben beschrieben) 
 eth2 WAN Interface = Netzwerkinterface mit einer IP Adresse aus dem &ouml;ffentlichen Netzwerk 
 
 mein Problem : 
 Ich komme erstens von extern nicht auf das WAN Interface. Das funktioniert, wenn ich das Default GW auf eth2 setze und zwar auf die x.x.x.1 vom RZ aus dem &ouml;ffentlichen Netz 
 Dann geht aber das routing aus den 40 VPN Netzen nicht mehr. 
 
 Habe ich das Default GW wie oben beschrieben auf eth1 liegen, erreichen aber die 40 Netze nicht alle mein internes LAN, sprich eth0. Ich denke aber das dies meine Schuld sein muss, weil 
 wenn ich aus einem dieser 40 Netze schaue wie weit ich komme, erreiche ich 192.168.145.254 von eth1. Ich stehe also schon an meinem Interface, komme dann aber nicht auf eth0 
 Portfilterregeln kann ich als Fehler ausschliessen. Bin noch in der Konzeptphase und noch ANY ANY ALLOW konfiguriert. 
 
 Kann mir wer auf die Spr&uuml;nge helfen, hab da keinen sonst den ich fragen kann, da RZ nix mit Sophos zutun hat, bin dort nur im Collocationbetrieb eingezogen. 
 Danke euch :) 
 Gru&szlig; 
 Thomas

Thomas Stein1 · Answer

Vielen Dank euch Beiden, 
 
 habe nun eure Empfehlungen ber&uuml;cksichtigt und wie folgt konfiguriert : 
 WAN Interface Default GW 
 VPN Interface einfach konfiguriert 
 Die 40 Subnetze habe ich zu einer Netzgruppe zusammen gefasst und entsprechend in einer Gateway Route gepackt. Die kompletten privaten Bereiche freizugeben wollte ich nicht. 
 Sollte ich doch mal ein weiteres, eigenes VPN Netz bekommen und habe m&ouml;gliche &Uuml;berschneidungen muss ich hierf&uuml;r extra natten. 
 
 @ Balfson 
 Mit ip6 kann ich gegenw&auml;rtig noch nicht warm werden. Ich weiss das ich das irgendwann muss, gegenw&auml;rtig kann ich mir aber alles an IP's merken, was notwendig ist. Klar daf&uuml;r gibt es DNS, f&uuml;hle mich aber grunds&auml;tzlich im ipv4 Umgebung sicherer vom handling. 
 Alleine wenn ich mir vorstelle, das ich mit den Logfiles Fehlersuche betreibe, w&uuml;rde mich wahnsinnig mit ipv6 machen denke ich :) 
 @ kerobra 
 auch die Zugriffe von extern auf intern werde ich gott seidank nicht natten m&uuml;ssen, sondern arbeite &uuml;berwiegend oder ausschlie&szlig;lich mit Portalen die ich sauber &uuml;ber die Webserver Protection abbilden kann und werde. 
 Mein Eingangsproblem ist aufjedenfall erstmal gel&ouml;st. Jetzt wird erstmal nach der Konzeptphase das System geh&auml;rtet (IPS etc. werden nun scharf gemacht) 
 BTW : Ich muss ehrlich sagen, Sophos ist schon ne feine L&ouml;sung, w&uuml;rde wenn ich die Wahl habe, nichts anderes mehr in dem Bereich einsetzen 
 
 Gru&szlig; 
 Thomas