Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 1216 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to

josch12
Hallo,
ich muss bisschen euer Wissen abschöpfen [;)]

ich habe mir, auf einem alten Server die Version 9 installiert,
um mich damit etwas vertraut zu machen, bevor es zur sache geht.

Folgende Config:

Lan 1: 192.168.0.2 -> Extern
Lan2: 192.168.1.1 -> intern.

hier gleich 2 Fragen:
1. ich habe wenn ich mit im 192.168.0/24 subnet befinde keinen zugriff auf 192.168.0.2 ,
im subnet 1.1/24 komme ich allerdings auf die 1.1:444
sicherlich eine Einstellung ?

2.
ich komme wenn ich mich im subnet 1.1 befinde nicht auf das Subnet 0.1
obwohl ich in der Firewall alle möglichen Dienste freigegeben habe....



Loadbalancer:
hinter der Firewall werden sich später 2 Webserver befinden, die via Loadbalancing die Zugriffe gleichermaßen "abfertigen" sollen

gebe ich hier einefach eine Source IP, und 2 Destination ips an ?

josch


This thread was automatically locked due to age.
  • 0
    Hallo Josch12,

    1.) Den WebAdmin via erlaubten Netzen auch für das "externe" if freischalten, dann sollte auch ein :444-WebAdmin Zugriff erlaubt sein.

    2.) D.h. du hast eine Regel von intern->any->extern?
    Bitte mal die anderen Dienste (vorerst) auslassen (Webfilter, ATP, IPS usw.) und ausschliesslich via PF-Regeln arbeiten. Sonst willst du ggf. auf einen "externen" Webserver, läuft aber in den noch nicht konfigurierten WebProxy rein, welcher das u.U. verhindert, die PF-Regel es jedoch zulassen würde, Proxy hat hier Vorrang. Auch kann das IPS mitunter komische Dinge "produzieren" (falsch erkanntes Bitmuster).
  • 0
    Zu 2.:
    Die Geräte im Netz 192.168.0.0 kennen den Weg ins Netz 192.168.1.0 (d.h. entsprechende Route auf den Geräten oder deren Default Gateway)?
    Alternativ ein Masquerading auf der UTM einrichten: INternal (Network) auf das External Interface.

    Zum Loadbalancing:
    Hast du die Online-Hilfe (das blaue Fragezeichen oben im WebAdmin) gelesen? Da wird das eigentlich sehr gut beschrieben...
    Für HTTP(S) könntest du u.U. auch die Webserver Security nutzen, anstatt des einfachen Loadbalancings.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Hallo,
    bin n Stückchen weiter gekommen.

    habe aber neue Probleme, wo ich mir keinen reim draus bilden kann.

    1.
    ich habe in der Fritzbox die Portweiterleitung auf die Astaro eingerichtet,
    komme von extern allerdings nicht drauf, intern geht es.

    die Einstellungen sollten passen, Doppel Nat ?



    2.
    ich kann mich nur intern bewegen.
    ich habe mal n paar Regeln eingerichtet, komme aus meinem internen Netzwerk aber nicht raus. ping auf die z.b 8.8.8.8 ist ebenfalls nicht möglich,scheint also nichts mit der DNS Auflösung zu tun zu haben.

    hier mal meine ganz professionelle Aufzeichnung von dem netz [;)]


    im Prinzip geht von der Fritzbox ein Kabel auf eth1 der Firewall ( isn server ) mit der ip
    192.168.0.91 was in der Astaro als extern eingerichtet ist.

    und von eth0 geht die ip 192.168.0.91 auf einen Zyxel Switsch.
    alle Server dahinter haben den Gatewy 102.168.0.91
  • 0
    Also ein DNS Lookup geht, aber ping nicht ???


    google.com has address 173.194.112.97

    google.com has address 173.194.112.99

    google.com has address 173.194.112.96

    google.com has address 173.194.112.104

    google.com has address 173.194.112.98

    google.com has address 173.194.112.105

    google.com has address 173.194.112.100

    google.com has address 173.194.112.110

    google.com has address 173.194.112.102

    google.com has address 173.194.112.103

    google.com has address 173.194.112.101

    google.com has IPv6 address 2a00:1450:4001:803::100e

    google.com mail is handled by 40 alt3.aspmx.l.google.com.

    google.com mail is handled by 10 aspmx.l.google.com.

    google.com mail is handled by 30 alt2.aspmx.l.google.com.

    google.com mail is handled by 50 alt4.aspmx.l.google.com.

    google.com mail is handled by 20 alt1.aspmx.l.google.com.





    PING google.com (173.194.112.40) 56(84) bytes of data.

    From firewall (192.168.0.90) icmp_seq=1 Destination Host Unreachable
  • 0
    Von der UTM oder von einem Client aus.
    Bei Client: ICMP auf der UTM erlaubt?
  • 0
    von der UTM aus,
    ein Werksreset hat allerdings geholfen, nun gehts ....
Unfiltered HTML