This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Interface Konfiguration, Verständigungsproblem

Hi zusammen,

ich habe ein Konfigurationsproblem, wo ich auf dem Schlauch stehe. Folgende Ausgangslage :

Ich habe drei Netze zu konfigurieren, wovon zwei Netze mir aus dem Rechenzentrum zur Verfügung gestellt werden.

1. Netz

192.168.145.0/24

GW 192.168.145.1

Dieses Netz ist ein Transfernetz, dahinter stehen 40 andere Netze in einem VPN Netzwerk, die alle aufs Gateway vom RZ geroutet wurden, sprich auf die 192.168.145.1

 

2. Netz öffentliches Netz

öffentliches 24Bit Netzwerk

GW x.x.x.1 in diesem Netz

 

3. Netz mein eigenes Netzwerk

Hier habe ich im RZ ein privates Netzwerk 

192.168.22.0/24

GW 192.168.22.254

 

ich habe somit drei Netzwerkkabel die ich auf Interfaces der Sophos konfigurieren muss :)

Ziel ist es : 

1. Netz hat vollen Zugriff aufs 3. Netz

3. Netz geht ins Internet über 2. Netz

externe Zugriffe müssen auf dem 2. Netz auflaufen und dann auf 3. Netz geroutet werden

 

Ich habe grundsätzliche Konfigurationserfahrung mit UTM, fange also nicht bei null an. Nur diese Basiskonfiguration fällt mir schwer.

ich habe also bisher folgendes gemacht :

eth0 LAN Interface = Netzwerkinterface konfiguriert mit 192.168.22.254

eth1 VPN Interface = Netzwerkinterface konfiguriert mit 192.168.145.254 Default GW 192.168.145.1 (eben das GW des RZ wie oben beschrieben)

eth2 WAN Interface = Netzwerkinterface mit einer IP Adresse aus dem öffentlichen Netzwerk

 

mein Problem :

Ich komme erstens von extern nicht auf das WAN Interface. Das funktioniert, wenn ich das Default GW auf eth2 setze und zwar auf die x.x.x.1 vom RZ aus dem öffentlichen Netz

Dann geht aber das routing aus den 40 VPN Netzen nicht mehr.

 

Habe ich das Default GW wie oben beschrieben auf eth1 liegen, erreichen aber die 40 Netze nicht alle mein internes LAN, sprich eth0. Ich denke aber das dies meine Schuld sein muss, weil

wenn ich aus einem dieser 40 Netze schaue wie weit ich komme, erreiche ich 192.168.145.254 von eth1. Ich stehe also schon an meinem Interface, komme dann aber nicht auf eth0

Portfilterregeln kann ich als Fehler ausschliessen. Bin noch in der Konzeptphase und noch ANY ANY ALLOW konfiguriert.

 

Kann mir wer auf die Sprünge helfen, hab da keinen sonst den ich fragen kann, da RZ nix mit Sophos zutun hat, bin dort nur im Collocationbetrieb eingezogen.

Danke euch :)

Gruß

Thomas

 

 

 



This thread was automatically locked due to age.
Parents
  • Hallo Thomas,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I'm confused about why you would add a default gateway to the 1. Netz instead of to the WAN interface.

    These are almost certainly routing issues, but there are some things you haven't told us:

    1. Is the Transfer Netz just a connection between the UTM and another device that is connected via VPN to the RZ?
    2. Should traffic pass between the 3. Netz and the 40 subnets in the RZ with requests going in both directions or only to the 3. Netz?
    3. Do you want the 40 subnets in the RZ to pass through the UTM to reach the Internet?  If so, should they use the UTM's Web Protection?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Eine öffentliche IP ohne ein Default Gateway kann auf diesem Interface keine Antworten liefern. Wenn eine Anfrage aus dem Internet (Unbekanntes Subnet) kommt antwortet die UTM erst mal an ihr Default Gateway, hat Deine nur 1 also an das RZ-Gateway und dort kann man damit nix anfangen.

    Normalerweise würde man die UTM so konfigurieren, wie man auch ein einfachstes Setup mit 2 Interfaces umsetzt. Internes Netz an Interface 1, die UTM ist das Default Gateway für dieses Netz, hat selbst dort also KEIN Default Gateway.

    WAN an Interface 2, damit die UTM weiß wohin mit dem Traffic aus dem internen Netz hat sie dort neben ihrer externen IP auch das Default Gateway gesetzt, das i.d.R. zu einem Router des Internetproviders zeigt. Ob nun DHCP, statisch, PPoE hängt vom Anschluss ab.

    So, wenn Du nun noch ein drittes Interface für die RZ-Verbindung hast erstellst Du für alle RZ-Netze, die vom internen Netz aus erreichbar sein müssen (oder aus denen Dein internes Netz erreichbar sein muss) statische Routen, die an das Gateway im Transfernetz geleitet werden. Das mag bei 40 Netzen zwar eklig klingen, ist aber für sauberes Routing in alle Richtungen zwingend erforderlich.

    Wäre die UTM mit nur 2 Interfaces via VPN (über WAN-Strecke)mit dem RZ verbunden müsste auch dabei konfiguriert werden, welche Netze in den Tunnel gehen sollen, bei 40 weiteren Netzen wären das 40 SAs, die bei der VPN-Verbindung anfallen würden. Definieren musst Du die Zielnetze so oder so an der UTM.

    Wenn das Routing sauber steht kannst Du mit DNAT eingehend oder Firewall-Regeln für die Kommunikation zwischen RZ und lokalem Netz anfangen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Hallo Kerobra,

     

    auch Dir danke für die Antwort.

    Genauso habe ich das auch verstanden, sprich Default GW ist WAN GW.

    Auch von der Konfiguration hatte ich das vorher auch so betrieben, in einer anderen Umgebung. Da hatte ich zig VLAN's definiert die jeder für sich isoliert waren und die Definition der IP war gleich Default GW für das entsprechende Netz.

    Die Vermutung das ich zig Routen aufbauen müsste, hatte ich gedanklich aufgrund des Umstandes der Konfiguration gerne verworfen.

    Das RZ sagte mir, ich bräuchte ja nur 3 Routen definieren, sprich die privaten Adressbereiche. Das wiederum erschien mir aber auch nicht sauber konfiguriert und so war ich mir nicht sicher.

    Wenn aber der korrekte Ansatz über routing und nat's ist, muss ich wohl da ran. Ich war mir halt unsicher, da ich bisher die VPN's auch immer selbst verwaltet hatte und nicht ein Interface belegt bekomme, wo zig VPN's hinter stehen, die ich gar nicht selbst verwalte.

     

    Gruß

    Thomas

Reply
  • Hallo Kerobra,

     

    auch Dir danke für die Antwort.

    Genauso habe ich das auch verstanden, sprich Default GW ist WAN GW.

    Auch von der Konfiguration hatte ich das vorher auch so betrieben, in einer anderen Umgebung. Da hatte ich zig VLAN's definiert die jeder für sich isoliert waren und die Definition der IP war gleich Default GW für das entsprechende Netz.

    Die Vermutung das ich zig Routen aufbauen müsste, hatte ich gedanklich aufgrund des Umstandes der Konfiguration gerne verworfen.

    Das RZ sagte mir, ich bräuchte ja nur 3 Routen definieren, sprich die privaten Adressbereiche. Das wiederum erschien mir aber auch nicht sauber konfiguriert und so war ich mir nicht sicher.

    Wenn aber der korrekte Ansatz über routing und nat's ist, muss ich wohl da ran. Ich war mir halt unsicher, da ich bisher die VPN's auch immer selbst verwaltet hatte und nicht ein Interface belegt bekomme, wo zig VPN's hinter stehen, die ich gar nicht selbst verwalte.

     

    Gruß

    Thomas

Children
  • Was genau meinen die denn mit private Adressbereiche, dass Du einfach 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 zu denen routest?

    Ginge natürlich auch und würde Dich von der 2 Default Gateway Problematik entbinden und Du müsstest auch nicht 40 Netze pflegen. Wenn Du nie andere Verbindungen von der UTM woanders hin aufbauen musst wäre das tatsächlich die einfachste Lösung. Ich persönlich würde die Netze einzeln anlegen, mit einer entsprechenden Liste dauert das 15 Minuten und Du hast alle Freiheiten für andere Konstrukte offen.

    Mit Uplink Balancing (2 default gateways) musst Du eigentlich Multipath Rules verwenden, damit nicht irgendwelche komischen Phänomene auftreten.

    NATen musst Du nix zum RZ, das war auf die eingehenden Verbindungen von extern in Dein LAN bezogen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner