Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 38 subscribers
  • Views 6178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9 an Unitymedia Office Internet & Business

audiocrush
Hallo liebe Kollegen,

ich bin momentan Unitymedia Office Internet & Phone Kunde. Ich möchte zuhause auch gerne eine vernünftige Security-Appliance nutzen und da fiel mein  Interesse auf die Sophos UTM 9.

Da hab ich auch gleich mal eine neue Sophos UTM 9 VM auf meinen kleinen Debian vHost gepackt (Virtualbox Headless) und Unitymedia gesagt, ich hätte gerne eine statische IP, weil mir das so irgendwie besser gefällt. (Bin kein großer Fan von DynDNS)

Jetzt habe ich folgendes Problem:

Sophos UTM 9 zwei Interfaces im bridge mode auf die beiden Hardware NICs der VM eines teilt Sie sich mit allen anderen VMs fürs LAN, das andere hat exklusiv nur die UTM 9 fürs WAN.

Unitymedia löst alles Anschlussseitig folgendermaßen:
Die Fritzbox 6360 Cable ist so konfiguriert, dass Sie eine Öffentliche IP-Adresse hat und als Gateway für meinen Router fungieren soll. Sieht in etwa so aus:

Subnetz: 1.2.3.4/30
Netz: 1.2.3.4
Fritzbox: 1.2.3.5
UTM: 1.2.3.6
Broadcast: 1.2.3.7

Ich hab dann einfach nur den ganz normalen Einrichtungs-Assistenten verwendet um Konfigurationsfehler meinerseits ausschließen zu können und komme nun zu folgendem Ergebnis:

Ich kann mit den Clients in meinem Lan lediglich die Websites Google, mail.google.com und maps.google.de aufrufen. Alles andere funktioniert nicht.
Wenn ich in Google irgendwas suche, bekomme ich auch die resultate, aber weiterführende Links funktionieren nicht.

Wenn ich beispielsweise www.facebook.com aufrufe, lädt die Seite einige sekunden, anschließend kommt die Meldung des Browsers: Website nicht erreichbar. Ich kann aber einen Traceroute fahren und bekomme einen ganz normalen Trace mit ca. 12 Hops in adequater Geschwindigkeit ausgespuckt.

Das blöde ist nun, ich habe schon von Leuten gelesen, die auch einen Unitymedia Anschluss haben und bei denen Funktioniert das ganze. Warum bei mir nicht? Bin ich ein schlechter Fachinformatiker? [:D] 

Ich zweifle langsam wirklich an mir selbst. Ich habe schon wirklich viele UTMs bei Kunden aufgestellt, bloß hatte keiner von diesen eine Unitymedia-Leitung.

Gibt es da irgendwelche Erfahrungswerte oder Fallstricke?


This thread was automatically locked due to age.
  • 0
    Hi audiocrush und herzlich Willkommen im Forum!

    Hört sich so an, als wäre Masquerating nicht aktiviert.
    Network Protection - NAT - Maskierung
    Internal (LAN) - WAN

    Folgende Regel auch einstellen:
    Network Protection - Firewall
    permit: Internal (LAN) - ANY - Internet IPv4

    Nutzt du die WebProtection?

    Hier mal paar Zusatzinformationen (ist mit Horizon, aber habe da mal paar Unitymedia Infos rein gepackt):
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/62190

    Nice greetings
  • 0 in reply to GuyFawkes
    Hallöchen,

    das Masquerading ist ja schon standardmäßig aktiviert.
    Webfiltering, Webprotection ist deaktiviert, IPS ist aus... formulieren wir es mal andersherum:

    Im Dashboard ist nur bei Firewall ein grüner Haken der Rest ist aus um Fehler einzugrenzen.

    Ja mit Internal -> Any -> Internet IPv4 haben wir es schon versucht.
    Mit Internal -> Any -> Any haben wir es schon versucht.
    Mit Any -> Any -> Any auch.

    Es ist mir ein Rätsel.

    *edit*
    Und ebenfalls schöne Grüße [:)]
  • 0
    Auf deinem WAN Anschluss hast du dein Default GW.

    Hast du an deiner Fritzbox auch NAT aktiviert und ist hier das LAN (hinter der UTM) mit drin?

    LAN - UTM - TransferLAN - Fritzbox - WAN

    Nice greetings
  • 0
    Ich bin mir nicht ganz im klaren was die Fritzbox jetzt überhaupt genau macht. Ich bekam von Unitymedia einen Zettel auf dem steht: Das ist Ihr tolles Subnetz: 1.2.3.4/30
    Darunter stand:
    Die erste Adresse ist Ihre Netzadresse, die zweite Adresse ist die Adresse Ihres Gateways, die dritte Adresse ist für Sie frei (also die die ich meinem Router gebe) und die vierte Adresse ist der Broadcast Ihres Netzes.
    Schön erklärt.
    Das WAN Interface meiner UTM hat also die fiktive Adresse 1.2.3.6 und als Gateway die 1.2.3.5 eingetragen.
    Als ich dann mal völlig verwundert war hab ich meinem Notebook mal diese Config auf die NIC gelegt und siehe da, die Fritzbox ist mein Gateway mit der öffentlichen IP 1.2.3.5 aus meinem Subnetz.
    Ich gehe also davon aus, dass die Fritzbox in diesem Fall kein NAT machen dürfte, aber ich hab so das dumme Gefühl, dass Sie es trotzdem tut. Ich habe bisher auch noch nicht rausgefunden wo ich der Fritzbox sagen kann, dass sie damit aufhören soll.
    NAT hinter NAT finde ich nämlich ziemlich schrecklich...

    Also wenn es fertig ist soll es so aussehen:

    LAN - UTM - FritzBox - WAN

    btw. Ich habe hier noch so ein altes Kabelmodem von Scientific Atlanta rumliegen. Das hatten wir mit unserem ersten Unitymedia-Anschluss damals bekommen.
    Ich hab auch schonmal nachgefragt, aber die wollen die mir nicht freischalten. Gibt es da irgend einen speziellen Trick um an den Second Level Support zu kommen?
    Was ich da bisher dran hatte klang irgendwie immer nach im Park aufgegabelt.
    Ich bekomme bei jedem Anruf mindestens einmal gesagt: "Wir kennen uns mit soetwas nicht aus" oder "Das ist nicht unser Fachgebiet". Neben der Rufnummer steht Business-Support... Wenn man bei der Telekom anruft, kann man mit dem Personal auch mal ein Schwätzchen über HA-Cluster halten und man lernt noch was dabei. [:D]
  • 0
    Ah ok, das kann auch so nicht funktionieren.

    Da du die Fritzbox nicht als "nur Modem" nutzen kannst, muss die Fritzbox quasi ins Internet routen.

    Hier mal ein Beispiel:

    Internes LAN (192.168.1.0/24) 
    -
    UTM
    Internal IP: 192.168.1.1
    WAN: DHCP aktivieren und als Default GW eintragen

    -
    Fritzbox
    Internal LAN: 192.168.0.1 (DHCP aktiv)
    WAN: DHCP aktiv / bzw. deine IP fest eintragen



    Wie du die Möglichkeit hast, an das Modem zu kommen, siehe mein Link.
    Sag, du brauchst die Möglichkeit Port Forwards zu machen.

    Nice greetings
  • 0
    Achja, kurze Frage, hast du einen Business Anschluss?

    Nice greetings
  • 0
    Ja ich habe den Unitymedia Office Internet and Phone 50 also ein Business-Anschluss.

    Ich kann die IP der Fritzbox nicht ändern.
    Nach einem Reset bekommt Sie die IP 1.2.3.5

    *edit*
    Und bevor ichs vergesse, kommt jetzt noch das krankste was ich bisher gehört habe:
    Die sagten mir an der Hotline, dass das NAT bei den Business-Anschlüssen mit statischer IP in der Fritzbox deaktiviert wäre, aber ich kann trotzdem einen exposed Host definieren und so einen Käse.
    Wie kann man denn bitte ohne NAT einen Host exposen und wovor, wenn nicht vor ein NAT?

    Hab ich als Verzweiflungstat übrigens auch mal versucht, hat aber nichts gebracht.

    *edit2*
    Hier übrigens mal ein Traceroute. meine IPs habe ich durch die bisherigen beispiel IPs ersetzt:

    traceroute www.facebook.com
    traceroute to star.c10r.facebook.com (31.13.81.128), 64 hops max, 52 byte packets
     1  10.10.10.1 (10.10.10.1)  0.898 ms  0.675 ms  0.690 ms
     2  b2b-1-2-3-5.unitymedia.biz (1.2.3.5)  2.402 ms  1.568 ms  1.547 ms
     3  10.145.192.1 (10.145.192.1)  9.516 ms  8.869 ms  14.904 ms
     4  7411a-mx960-01-ae12-1010.kzl.unity-media.net (81.210.128.121)  20.667 ms  19.003 ms  25.577 ms
     5  7411a-mx960-02-ae0.kzl.unity-media.net (80.69.107.125)  30.478 ms  15.753 ms  16.029 ms
     6  7111a-mx960-02-ae2.fra.unity-media.net (80.69.107.121)  13.110 ms  18.574 ms  11.142 ms
     7  7111a-mx960-01-ae0.fra.unity-media.net (80.69.107.213)  10.095 ms  15.573 ms  10.857 ms
     8  de-fra04a-rc1-ae7.fra.unity-media.net (81.210.129.233)  13.226 ms  18.494 ms  11.234 ms
     9  de-fra01a-ri2-xe-4-1-1.aorta.net (84.116.133.118)  12.698 ms  15.789 ms  11.124 ms
    10  xe-1-1-1.pr01.fra2.tfbnw.net (103.4.96.53)  10.073 ms  18.513 ms  11.191 ms
    11  31.13.28.243 (31.13.28.243)  12.767 ms  15.510 ms  12.247 ms
    12  edge-star-shv-09-fra2.facebook.com (31.13.81.128)  11.796 ms  22.802 ms  14.253 ms

    Hop 1 ist meine UTM und Hop 2 ist meine Fritzbox. Hop 3 find ich seltsam weil ich ja eine public IP habe. Wieso routen die mich dann nochmal durch ein private-net?

    *edit3*
    Ich hab jetzt nochmal eine pfSense VM gebaut und damit treten exakt die gleichen Symptome auf.
    Dann habe ich jetzt auch nochmal einen uralt Netgear WGR614v7 genommen und mit dem treten dieses Symptome nicht auf und alles funktioniert wunderbar und prima.

    Leider leider... traue ich diesem uralten billig-Netgear Ding nicht eine Sekunde über den Weg. [:D]
  • 0
    Ahso, ok, falsch gelesen (habe home Anschluss beschrieben).
    Bei Business haste es eigentlich korrekt gemacht.
    Läuft auch so immer perfekt und in echt vielen Umgebungen (viele Firmen wechseln ja auch zu Unitymedia).

    Kannst du bitte mal ein Screenshot von deinem Interface schicken (verpixel einfach die ersten zwei/drei Oktette).
    Außerdem noch Masquerating und Firewall.

    Nice greetings
  • 0
    So Problem gelöst.
    Man darfs ja echt kaum glauben aber es lag an der virtuellen WAN NIC...

    Ich hab alle drei Intel NICs durchprobiert Desktop 1000 MT, Server 1000 T und Server 1000 MT gingen alle nicht. Hab eine Hardware Appliance zusammengeschraubt mit einer Intel Desktop 1000 MT WAN-Seitig. Siehe da es geht.

    Wieder zurück zur VM und mal spaßeshalber die virt-io NICs für alle Interfaces an der UTM 9 eingestellt, neu gestartet, geht ohne jeden weiteren Stress.

    Bitte erklären [[:D]]
    Mein Kopf explodiert gleich [[:D]]

    *edit*
    Mit den AMD PCI Fast NICs übrigens das gleiche Problem.

    Merke:
    Sophos UTM in Virtualbox -> virt-io NICs
  • 0
    hallo audiocrush,

    wir haben ähnliches vor, jedoch werden wir eine appliance einsetzen und haben 5 IP's zu verwendung durch unitymedia erhalten. da du es gelöst zu haben scheinst, habe ich nur noch eine verständnisfrage:

    Kann ich auf dem NIC für das WAN der UTM, 5 Interfaces mit den jeweiligen IP 1.2.3.1 - 1.2.3.6 konfigurieren? Ist die Fritz!Box dazu in der Lage? Oder Muss ich etwa die einzelnen UM IP's an den NICs der Fritz!Box definieren?

    Vielleicht weißt Rat...
Unfiltered HTML