This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UPC Business mit statischen IPs -> Konfiguration Routing mit Sophos UTM hinter Kabelmodem

Hallo zusammen,

wir haben einen Anschluss von UPC mit zusätzlich gebuchten statischen IPs.

Nun ist es so, dass UPC das Kabelmodem als Bridge liefert (kein zusätzlich gebuchter Router) und das dahinter liegende Gerät quasi Router spielt und über die über DHCP vergebene Adresse das Subnetz geroutet wird. Am externen Anschluss wird die Vergabe via DHCP konfiguriert, am internen Anschluss wird die von UPC vergebene Gatewayadresse konfiguriert und dahinter liegende Geräte gehen dann über dieses Gateway nach draußen.

Wie könnte die Konfiguration ausschauen, wenn ich kein zusätzliches Gerät einsetzen, sondern die Sophos einerseits als Router für die IPs (um VPN über eine der statischen IPs) als andererseits via Masquerading das Default Gateway für interne User bereitstellen möchte.

Ich dachte an External via DHCP, dann Internal mit internem Bereich und zusätzlich noch ein drittes Interface mit dem Subnetzbereich. Sind darüber dann Dienste (VPN, WAF) und das Masquerading mit der Gatewayadresse möglich?

Danke schonmal vorab für die Überlegungen.



This thread was automatically locked due to age.
Parents
  • So, für alle die vor der gleichen Herausforderung stehen: Es geht ohne separaten Router zwischen.

     

    Das External Interface wird auf DHCP belassen. Das DMZ (oder ein anderes Interface) wird mit der Gatewayadresse für den festen Subnetzbereich ausgestattet. Zusätzliche Adressen für Dienste (VPN, WAF etc.) werden via Additional Adresses bereitgestellt.

     

    VPN Tunnel werden problemlos über die Adressen aufgebaut. Der einzige Nachteil besteht darin, dass das interne Netz nicht über die DMZ Adresse maskiert werden kann. Es können jedoch einzelne Services aus dem internen Netz via SNAT auf die Adresse des DMZ Interface umgeschrieben werden, falls ein Zugriff über eine der statischen IP Adressen gewünscht ist. Normaler Internetzugang funktioniert problemlos über die durch UPC bereitgestellte DHCP Adresse auf dem externen Interface.

Reply
  • So, für alle die vor der gleichen Herausforderung stehen: Es geht ohne separaten Router zwischen.

     

    Das External Interface wird auf DHCP belassen. Das DMZ (oder ein anderes Interface) wird mit der Gatewayadresse für den festen Subnetzbereich ausgestattet. Zusätzliche Adressen für Dienste (VPN, WAF etc.) werden via Additional Adresses bereitgestellt.

     

    VPN Tunnel werden problemlos über die Adressen aufgebaut. Der einzige Nachteil besteht darin, dass das interne Netz nicht über die DMZ Adresse maskiert werden kann. Es können jedoch einzelne Services aus dem internen Netz via SNAT auf die Adresse des DMZ Interface umgeschrieben werden, falls ein Zugriff über eine der statischen IP Adressen gewünscht ist. Normaler Internetzugang funktioniert problemlos über die durch UPC bereitgestellte DHCP Adresse auf dem externen Interface.

Children
  • Hallo,

     

    sorry wenn ich den Thread nochmal aufwärme, aber ich habe das selbe Problem. Mein Ziel ist es, das die Clients hinter dem Internal Netz mit der UPC-Gateway-IP raus gehen und nicht mit der Dynamischen-Gateway-IP.

    • UPC GW IP: 212.xxx.xxx.xxx
    • Dyn GW IP: 80.xxx.xxx.xxx

    Die UPC GW IP soll bei verschiedenen Services eingetragen werden.

    Wenn ich wie oben beschrieben die UPC GW IP auf der Schnittstelle Internal als GW eintrage, dann wird gesagt, das ich nur ein Default Gateway haben kann.

    Bis Dato habe ich es so gelöst, das ich ein neues Interface angelegt und dort die UPC GW IP eingetragen habe. Anschliessend habe ich eine SNAT Regel gebaut:
    SNAT > Client-Name > Service=Any > Going to=Any > Change Source to: UPC GW IP

    Auf dem ersten Blick scheint das auch zu funktionieren. Allerdings behaupten nun ein paar Kollegen, das https Traffic mit der "korrekten" IP rausgehen, http Traffic aber immer noch mit der UPC DHCP Adresse.

    Die Clients werden per DHCP von der UTM versorgt.

    Ich könnte bitte Hilfestellung bei der Fehlersuche gebrauchen.

    Viele Grüße vom Bodensee,

    Peter

  • Hm, ich hätte das ganze auf Service Ebene gestaltet -> In Abhängigkeit vom Service umgeschrieben, nicht von der Source IP (die dann auf ANY). Damit hat's bei mir funktioniert.

    Zwar nicht schön und eigentlich auch nicht im Sinne des Erfinders, aber scheint offensichtlich nicht anders zu funktionieren.

  • vom Prinzip funktionierte das ganze ja, nur der Webproxy wollt nicht so wie ich wollt. Nach dieser Anleitung community.sophos.com/.../126892 konnte ich das Problem beheben.

     

    Also zusammen gefasst: Neues Interface mit der GW IP des UPC Netz anlegen, SNAT Regeln wie weiter oben beschrieben anlegen UND nach obiger Anleitung das Interface für den Webproxy umlegen.

     

    Gruß Peter

  • Hallo Peter,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You found the right KB article.  The only suggestion I would make to the foregoing is that an SNAT is only necessary if different Services should have different public IPs.  If "Any" Service is used in the SNAT, then you can use a Masquerading rule instead as masq rules are now ordered (I think this started with V9).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    eine Masquerading Regel mit dem DMZ Interface funktioniert an dieser Stelle nicht, aus welchem Grund auch immer.

    Gruß