This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM9 im Heimeinsatz auf ESXi Server

Hallo,
ich habe zuhause einen normalen Telekom router, der die Verbindung zum Internet herstellt. An den Switchports des Routers hängt auch gleich der ESXi Server und der WLAN Access Point. Mein ESXi 5 Server besitzt 2 Netzwerkkarten. Nun habe ich auf meinem ESXi 5 Server Sophos UTM 9 Home ... installiert und würde gerne diesen verwenden als Firewall und VPN und andere Sicherheits feature anstatt die komische Firewall die in dem Telekom Router implementiert wurde.

Hat jemand ein ähnliches Szenario? Wie kann ich das ganze lösen damit der Telekom Router noch die Internet Einwahl und alles macht und dann der Traffic an den ESX weiterschickt durch die Astaro und dann ins restliche LAN.
Auf dem ESX Server laufen jedoch noch weitere VMs

Kann mir jemand sagen wie ich das am geschicktesten mache ?
Was ich dabei beachten muss usw.. ?

This thread was automatically locked due to age.

0 ChrisH1 over 12 years ago

Such mal hier im Forum, da hat es jemand geschafft dass der Speedport nur als Modem läuft und somit das UTM die PPPoE-Einwahl macht (und damit firewallen kann) und der Speedport trotzdem noch WLAN-Access Point etc war.
Anders ginge es zwar auch, aber dann musst du 2x NAT machen (einmal UTM, einmal Speedport) - das geht zwar, ist aber unschön.
Cancel
Vote Up 0 Vote Down

Cancel
0 keamas over 12 years ago in reply to ChrisH1

Hi leider habe ich keinen Speedport bin bei der Österreichischen Telekom A1.
Aber habe hier mal ein Visio Grafik gemalt wie ich dachte, dass ich es aufbaue was sagt ihr ? Passt das so oder noch bessere ideen ?
Cancel
Vote Up 0 Vote Down

Cancel
0 ChrisH1 over 12 years ago

Sorry, ich hatte nur Telekom gelesen und deshalb den Speedport vermutet.

Ja, kann man so machen.
Sauberer wäre es aber trotzdem, wenn du den Provider-Router als reines DSL-Modem betreiben könntest (falls es um DSL geht; dort kann man das normalerweise konfigurieren - hängt aber vom Modell und Willen des Providers ab) und die Internet-Einwahl vom UTM machen ließest.
Cancel
Vote Up 0 Vote Down

Cancel
0 TerminatorTerminator over 12 years ago

Was gut geht ist fritzbox also dsl Modem WLAN aktiv für Telefonie über die fritzbox und Einzahl über ppoe der utm
Cancel
Vote Up 0 Vote Down

Cancel
0 rprengel over 12 years ago in reply to TerminatorTerminator

Was gut geht ist fritzbox also dsl Modem WLAN aktiv für Telefonie über die fritzbox und Einzahl über ppoe der utm

Kann ich bestätigen. Hat auch den Vorteil das Vpns später einfacher einzurichten sind.
Gruss
Cancel
Vote Up 0 Vote Down

Cancel
0 TerminatorTerminator over 12 years ago

Auf jeden fall mache ich ja auch so [:)]
Cancel
Vote Up 0 Vote Down

Cancel
0 keamas over 12 years ago in reply to TerminatorTerminator

Hi ich habe das ganze mal so aufgebaut wie in der Visio Grafik,
leider komme ich bisher noch nicht ins internet mit dem Ganzen.
Was muss ich alles Konfigurieren und wie muss die NAT konfiguration für das Szenario ausschauen, bzw das Routing ??
könnte evtl. jemand einen Screenshot seiner Konfiguration Posten oder das ganze erklären
Cancel
Vote Up 0 Vote Down

Cancel
0 KKnecht over 12 years ago

Hallo keamas,
welches Szenario hast Du im Router des Providers realisiert?
Variante1: Der Router funktioniert als Modem und Du machst die PPPoE Einwahl über die UTM. Dann aktivierst Du für das Netz ETH1 (192.168.1.0/24) das Masquerading zu ETH0 hin.
Variante2: Der Router funktioniert baut selbst die Verbindung auf und hat die IP (z.B.) 10.0.0.2. ETH0 ist als normales EthernetInterface mit (z.B.) der IP 10.0.0.1 und dem DefaultGateway 10.0.0.2.
Lösung 2a: Du aktivierst Masquerading am Interface ETH0 der UTM. Dann werden alle Verbindungen hinter der IP 10.0.0.1 versteckt.
Läsung 2b: Du aktivierst Masquerading nicht. Dann mußt Du aber im Router des Providers eine Route zurück ins LAN einfügen, sonst kommen die Antwortpakete nicht durch.
Destination: 192.168.1.0/24 via 10.0.0.1

Grüße, Karsten
Cancel
Vote Up 0 Vote Down

Cancel
0 keamas over 12 years ago

Konfiguration:
Interfaces:
External (WAN) [Up]
on eth0 [10.0.0.200/24]
MTU 1500 · DEFAULT GW 10.0.0.138
Added by installation wizard

Internal [Up]
on eth1 [192.168.1.3/24]
MTU 1500
Auto-created on installation

Masquerading:
Internal (Network) --> External (WAN)

Firewall:
Any --> Any Rule
ICMP:
Alles ausgewählt für Pings.

DNS Forwarders:
8.8.8.8

Pint Test UTM
Unter UTM 9 Tools Pingen geht auch sowohl ins LAN als auch ins WWW:
PING google.de = geht
PING 192.168.1.10 = geht

Ping vom Client
PING Google = geht nicht
PING 10.0.0.200 = geht nicht
PING 192.168.1.3 = geht

Müsste am Routing liegen denke ich aber was muss ich wo eintragen damit es geht ich dachte auch mit Masquerading geht es.

Habe den Telekom Router vorne stehen, der die Einwahl und alles komplett macht (lässt sich nicht abschalten) aber habe die UTM9 also 10.0.0.200 in die DMZ gepackt.
Die UTM hat 2 Interfaces
10.0.0.200 --> Mit A1 Telekom Router verbunden.
192.168.1.3 --> Internes LAN
192.168.1.0 /24 --> Internes LAN mit mehreren Clients

Wollte eine Statische Router eintragen aber irgendwie check ich das bei der UTM9 nicht ganz was wo rein muss...

Routingtabelle UTM9

default via 10.0.0.138 dev eth0  table 220  proto kernel onlink
default via 10.0.0.138 dev eth0  table 200  proto kernel onlink
local default dev lo  table 252  scope host
10.0.0.0/24 dev eth0  proto kernel  scope link  src 10.0.0.200
127.0.0.0/8 dev lo  scope link
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.3
default via 10.0.0.138 dev eth0  table default  proto kernel
broadcast 10.0.0.0 dev eth0  table local  proto kernel  scope link  src 10.0.0.200
local 10.0.0.200 dev eth0  table local  proto kernel  scope host  src 10.0.0.200
broadcast 10.0.0.255 dev eth0  table local  proto kernel  scope link  src 10.0.0.200
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
broadcast 192.168.1.0 dev eth1  table local  proto kernel  scope link  src 192.168.1.3
local 192.168.1.3 dev eth1  table local  proto kernel  scope host  src 192.168.1.3
broadcast 192.168.1.255 dev eth1  table local  proto kernel  scope link  src 192.168.1.3
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
local ::1 via :: dev lo  table local  proto none  metric 0
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255

$ netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.1.1        UGSc           11       20     en1
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH             43   344868     lo0
169.254            link#5             UCS             0        0     en1
192.168.1          link#5             UCS             4        0     en1
192.168.1.1        0:16:b6:1f:ee:7f   UHLWIir        11        8     en1   1199
192.168.1.10       0:c:29:7d:b1:49    UHLWIi         22      567     en1   1198
192.168.1.51       127.0.0.1          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        5     en1

Wie man sieht kommen am Mac OS X client keine Routen an... mit 10.0.0.0

Ahhhh im DHCP Server war noch das falsche Gateway 192.168.1.1 hinterlegt... anstatt 192.168.1.3
Cancel
Vote Up 0 Vote Down

Cancel
0 KKnecht over 12 years ago

Ahhhh im DHCP Server war noch das falsche Gateway 192.168.1.1 hinterlegt... anstatt 192.168.1.3

... und nun geht's ??? ;-)
Cancel
Vote Up 0 Vote Down

Cancel