Sophos UTM + Fritz!Box 7490

Was passiert, wenn Du den DHCP vom externen Interface abschaltest? 

Denn ich habe zu hause nur auf der "internen" Schnittstelle den DHCP Server laufen. 
Also Wlan wird von Esaybox ausgestrahlt geht wegen fehlendem DHCP Server auf die "externe" Schnitstelle und fragt dann bei der "internen" Schnitstelle an und bekommt seine IP aus dem internen Bereich.

Nachtrag:
Ich habe bei meiner UTM noch zwei Interface Routings im Static Routing hinterlegt. 

external - internal
und 
internal - external

Ich weiß nur gerade nicht, warum ich die bei mir in meiner Umgebung eingetragen habe.

Sobald ich den DHCP auf dem externen UTM Interface deaktiviere, bekommen alle Clients an den Schnittstellen der FritzBox (WLAN oder LAN) keine IPs per DHCP mehr.

Ich bin gerade auch noch über ein grundsätzliches Problem in meiner Verkabelung gestolpert:

Ich hatte bisher an der FritzBox nur das externe UTM Interface (192.168.1.1/24) angeschlossen, da ich dadurch sicher stellen wollte, dass sämtlicher Internet-Traffic aus dem internen LAN über die UTM laufen muss. Somit hätte ja aber ein an der FritzBox per WLAN oder LAN angeschlossener Client technisch überhaupt nicht mit dem internen UTM Interface bzw. Subnetz (192.168.178.0/24) kommunizieren können, selbst wenn er eine statisch konfigurierte IP aus dem internen Subnetz hätte!

Ich habe jetzt den internen Switch, auf dem auch das interne UTM Interface hängt, mit einem zusätzlichen Patchkabel mit der FritzBox verbunden.
Der interne Switch der FritzBox hat also jetzt eine Verbindung zum internen und externen UTM Interface. Dann funktioniert logischerweise auch der DHCP Server des internen UTM Interfaces für die WLAN Clients der FritzBox (vorher sind die DHCP Requests mangels Verbindung einfach nicht auf dem internen Interface angekommen).

Ich vermute das ganze ist bei dir dann auch so verkabelt?

Jetzt sperre ich einfach in der FritzBox noch generell den Internetzugang für alle Netzwerkgeräte außer dem externen UTM Interface, dann habe ich eigentlich den Zustand, den ich erreichen wollte (jeder Internetzugriff muss zwangsläufig über die UTM laufen, aber alle FritzBox Funktionalitäten wie WLAN/LAN Gastzugänge usw. bleiben bei Bedarf trotzdem noch nutzbar).

Vielen Dank für die Hilfe!

Hallo zusammen,

schaut mal hier in dem Threat.
https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/62638

vg
mod

Hi,

ich habe eine ähnliche Konfiguration, allerdings habe ich das WLAN des Routers vor der UTM ausgeschaltet und habe mir eine zweite Fritzbox ins interne LAN gehängt.

In der Fritzbox dann die Internetverbindung auf LAN1 gestellt und alles wunderbar. Die WLAN-Clients erhaten nun vom DHCP-Server der UTM eine IP und das WLAN-Segment ist sauber von den externen IPs abgehängt.

Einziger Nachteil: Der WLAN-Gastmodus funktioniert bei der Fritzbox nicht mehr, sobald man die Internetverbindung über LAN1 konfiguriert.
Ich war schon am überlegen, die "interne" Fritzbox gegen einen AP30 auszutauschen. Denn dann spielt die UTM mit dem AP ihre volle Leistungsfähigkeit aus.

Bisher habe ich das noch nicht gemacht, da die "interne" Fritzbox auch noch als DECT-Repeater für meine C4s und die Schaltsteckdosen Fritz200 arbeitet.

Gruß
Christoph

Hi Christoph,

bei meiner Lösung funktioniert alles mit einer FB. Der WLAN Gastzugang ist damit auch weiterhin nutzbar. Mit einem Sophos AP kann man das natürlich viel besser gestallten. Ein Hotspot Portal für Gäste ist sicher auch nicht verkehrt.

Mir ist ein AP 30 für privat aber zu teuer. Ich finde es so wie ich gelöst habe eigentlich ganz gut. Der Vorteil ist das man nur ein Gerät am laufen hat. Man spart Strom und Patchdosen und kann trotzdem alle Funktionen der FB nutzen [;)]

vg
mod

Hallo zusammen,

vielen Dank für die konstruktiven Vorschläge! Vor allem die vorgeschlagene Variante von mod2402, den separierten LAN-Gastzugang der FritzBox für das externe UTM Interface zu nutzen, habe ich jetzt auch bei mir so umgesetzt. Damit sind alle Subnetze sauber getrennt und es bleiben wirklich alle FritzBox Funktionen inkl. Gast WLAN uneingeschränkt nutzbar (mal abgesehen vom jetzt belegten Gast-LAN-Anschluss, aber hier könnte bei Bedarf ein zusätzlicher Switch problemlos Abhilfe schaffen). Da eines meiner Hauptziele möglichst wenig Geräte (=unnötige Fehlerquellen + Stromkosten) war, ist das so für mich wohl die optimale Variante.

For allem das hier beschriebene zentrale Ad-Blocking via UTM Web-Proxy ist schon eine feine Sache [:)]

Als UTM Hardware Basis verwende ich übrigens den komplett passiv gekühlten, absolut lautlosen Mini-PC "fit-PC2i" (Hersteller Infos). Vor allem in Sachen Stromverbrauch (

Hallo zusammen 

Auch mich wird es nun zu Hause treffen. Die Telekom wird meinen Anschuß von ISDN auf IP ändern. 
Noch könnte ich mich dagegen wehren, aber wohl nicht mehr lange. 

Ich habe VDSL direkt an die UTM. Das Modem davor ist ein ALL126AS2 von Allnet. 

Ich will keine Fritzbox oder Co vor die UTM stellen. 
Doch nun kommt die Frage, wie ich meine Telefone anbinde. 
Momentan sind es 2 analoge Systeme. Ggf könnte man die mal tauschen. 
Kann man nicht den VoIp Verkehr auf eine Fritzbox dahinter leiten? Sollte doch mit NAT und Co kein Problem sein. 
Welche Fritzbox würde in Frage kommen?

Hat das so rum schon mal einer gemacht?

Ich dachte die stellen Netzintern um? So wie bei analog, das ja seit einigen Jahren nicht mehr analog durch die Leitungen huscht.

Und VoIP ist hinter immer ein Problem. Da biete sich entweder ein physikalische oder zumindest logische Trennung auf VLAN an.

Eine Trennung zu machen ist ja kein Problem. 
Viel mehr ist die Frage ob es geht und wie man die Konfiguration machen muss.