Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 38 subscribers
  • Views 3150 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 Internetverbindung aus verschiedenen VLANs

Wotan
Hallo Zusammen,

wir haben in der Firma momentan noch SonicWALL im Einsatz und würden gerne auf Sophos umsteigen. Konkret testen wir aktuell eine Sophos SG310 mit UTM  9.205-12.

Dabei haben wir folgendes Problem:

Unser Firmennetzwerk besteht aus 3 VLANs:

192.168.144.0/24 Client-VLAN
192.168.143.0/24 Server-VLAN
192.168.132.0/24 WLAN-VLAN

Im VLAN 144 ist auch die SG310 platziert, mit der IP-Adresse 192.168.144.252. Diese ist mit einer statischen, öffentlichen IP-Adresse mit dem Internet verbunden. Das Routing zwischen den VLANs und somit auch das Gateway für die VLANs übernimmt ein Layer 3 Switch. Auf diesem ist u.a. die folgende statische Route konfiguriert: 

0.0.0.0 | 0.0.0.0 | Static | 192.168.144.252

D.h. der Internetverkehr wird an die SG310 geroutet. Unser Problem ist nun, dass die Server und Clients in den VLANs 143 und 132 nicht in das Internet kommen. Die Clients aus dem VLAN 144 kommen ohne Probleme in das Internet. Interessant hierbei ist, dass z.B. ein Ping von der IP-Adresse 192.168.143.1 z.B. auf 8.8.8.8 (Google DNS) nicht funktioniert. Schau ich in das Live Log der SG310, ist aber zu erkennen, dass z.B. die DNS-Anfragen von 192.168.143.1 an 8.8.8.8 mit dem Port 53 durchgelassen werden. Es blockiert also nicht die Firewall der SG310. Kann es sein, dass die SG310 ein Problem mit VLANs hat? Muss man hierbei noch irgendwas beachten? [:S]

Ein tracert vom VLAN 144 auf 8.8.8.8 zeigt mir auch alle Abschnitte mit den beteiligten IP-Adressen an, aus dem VLAN 143 sehe ich nur das Gateway 192.168.143.254 (Layer 3 Router) und die 192.168.144.252 (SG310), dann folgen nur noch Sternchen.

Hänge ich wieder die SonicWALL dran, können alle VLANs normal in das Internet. Auch die SonicWALL hängt einfach nur mit der IP-Adresse 192.168.144.80 im VLAN 144, es gibt keinen VLAN-Trunk o.ä.

Ich bin für jede Antwort dankbar!

Viele Grüße
Kevin


This thread was automatically locked due to age.
  • 0
    Hi Kevin,
    Habe es kurz überflogen.

    Stelle jetzt vorher erst einmal ne infrastrukturelle Frage.

    Warum schließt du nicht alle VLANs direkt an die SG?
    Dann hast du alle VLANs direkt an der Sophos und kannst dann wunderbar routen.

    Oder spricht da etwas dagegen?
    Mal abgesehen davon, du siehst dann auch den Traffic zwischen den VANs.
    Lass den Switch switchen und die UTM routen und die steuerst alles dort zentral. Ist zudem auch übersichtlicher.
    Achja und du kannst mit IPS und Application Control die netzte unter einander überwachen.

    Grundsätzlich hat die UTM kein Problem mit VLANs, liegt dann meistens nur an der Konfiguration und den anderen Komponenten.

    Nice greetings
  • 0
    Soweit ich gelesen habe hast du auf der UTM keine statischen Routen eingetragen. Ohne diese wissen die Pakete, welche an die VLANs möchten die nicht an der UTM angschlosse  sind, nicht wohin.

    Gruss Michi
  • 0
    Vielen Dank für eure schnellen Antworten!

    Warum schließt du nicht alle VLANs direkt an die SG?
    Dann hast du alle VLANs direkt an der Sophos und kannst dann wunderbar routen.

    Oder spricht da etwas dagegen?


    Das wäre bestimmt eine feine Sache, allerdings wäre dies für uns zunächst etwas umständlich und kompliziert. Der Switch vernetzt sternförmig unsere komplette Infrastruktur, also Kupfer, Glasfaser, VLANs, virtuelle Umgebung. Mir wäre es lieber, zunächst die Sophos nur als reine Firewall einzusetzen und dann später das Routing und die VLANs auf der UTM zu konfigurieren. 

    Soweit ich gelesen habe hast du auf der UTM keine statischen Routen eingetragen. Ohne diese wissen die Pakete, welche an die VLANs möchten die nicht an der UTM angschlosse sind, nicht wohin.


    Sorry, hatte ich vergessen! Die statischen Routen sind natürlich auf der UTM eingetragen. Man kann die UTM vom VLAN 143 auch erreichen und umgekehrt natürlich auch. Wie gesagt: Das komische ist, dass der DNS-Verkehr aus dem VLAN 143 durch die Firewall geht. Auch HTTP-Anfragen werden im Live Log aus diesem VLAN geloggt, nur kann eben keine Seite per HTTP aufgerufen werden. 

    Mit der SonicWALL funktioniert alles, trotz gleicher Konfiguration.

    Bin schon etwas verzweifelt [:(]

    Nochmals vielen Dank und viele Grüße
    Kevin
  • 0
    Hast du die web protection eingeschaltet?
  • 0

    D.h. der Internetverkehr wird an die SG310 geroutet. Unser Problem ist nun, dass die Server und Clients in den VLANs 143 und 132 nicht in das Internet kommen. Die Clients aus dem VLAN 144 kommen ohne Probleme in das Internet. Interessant hierbei ist, dass z.B. ein Ping von der IP-Adresse 192.168.143.1 z.B. auf 8.8.8.8 (Google DNS) nicht funktioniert. Schau ich in das Live Log der SG310, ist aber zu erkennen, dass z.B. die DNS-Anfragen von 192.168.143.1 an 8.8.8.8 mit dem Port 53 durchgelassen werden. Es blockiert also nicht die Firewall der SG310. Kann es sein, dass die SG310 ein Problem mit VLANs hat? Muss man hierbei noch irgendwas beachten? [:S] 
     Kann es sein, dass auf der SG310 die NAT Rules fuer die IP Netze von VLAN143 & 132 fehlen ? Ich vermute mal, dass Du auf die DNS Anfragen (VLAN143) keine Antworten im Log findest, dass wuerde zumindest die fehlenden NAT Rules erklaeren.

    Ein tracert vom VLAN 144 auf 8.8.8.8 zeigt mir auch alle Abschnitte mit den beteiligten IP-Adressen an, aus dem VLAN 143 sehe ich nur das Gateway 192.168.143.254 (Layer 3 Router) und die 192.168.144.252 (SG310), dann folgen nur noch Sternchen.
    Das zeigt eindeutig, dass eine NAT Rule fuer das VLAN143 fehlt.

    Hänge ich wieder die SonicWALL dran, können alle VLANs normal in das Internet. Auch die SonicWALL hängt einfach nur mit der IP-Adresse 192.168.144.80 im VLAN 144, es gibt keinen VLAN-Trunk o.ä.
    Das wundert mich allerdings schon sehr, da die Sonicwall eine andere IP Adresse hat. Ist denn jedesmal auch das Routing auf dem Layer 3 Switch geaendert worden ? (192.168.144.80  192.168.144.252)
  • 0 in reply to ClausP
    Hast du die web protection eingeschaltet?


    Ja, die war angeschaltet. Die habe ich test weise aber abgeschaltet - leider ohne Erfolg.

    Kann es sein, dass auf der SG310 die NAT Rules fuer die IP Netze von VLAN143 & 132 fehlen ? Ich vermute mal, dass Du auf die DNS Anfragen (VLAN143) keine Antworten im Log findest, dass wuerde zumindest die fehlenden NAT Rules erklaeren.


    Das zeigt eindeutig, dass eine NAT Rule fuer das VLAN143 fehlt.


    Das hört sich sinnvoll und logisch an. Werde es heute Abend gleich noch mal testen. Vermutlich müsste ich das dann im Masquerading einstellen, oder? Da steht momentan: Internal -> External, was so viel heißt wie: VLAN 144 -> External. Hier müsste dann wahrscheinlich das Netz 143 und 132 hinzugefügt werden.

    Verstehe ich das richtig?

    Vielen Dank! 

    Gruß
    Kevin
  • 0 in reply to Wotan
    Das hört sich sinnvoll und logisch an. Werde es heute Abend gleich noch mal testen. Vermutlich müsste ich das dann im Masquerading einstellen, oder? Da steht momentan: Internal -> External, was so viel heißt wie: VLAN 144 -> External. Hier müsste dann wahrscheinlich das Netz 143 und 132 hinzugefügt werden.

    Verstehe ich das richtig?

    Vielen Dank! 

    Gruß
    Kevin
    Genau das fehlt dir.
    Hier genügt es die zusätzlichen Netze (.143 und .142) als Definition anzulegen und die Masquerading-Regel .143 -> External (WAN) zu definieren. 

    Ich lasse auch den zentralen Switch alle VLANs routen. Ist einfach um ein vielfaches schneller als alle Pakete durch ein Kabel zu pressen und die UTM mit dem hausinternen Routing zu belasten.
  • 0 in reply to GMF
    Genau das fehlt dir.
    Hier genügt es die zusätzlichen Netze (.143 und .142) als Definition anzulegen und die Masquerading-Regel .143 -> External (WAN) zu definieren. 

    Ich lasse auch den zentralen Switch alle VLANs routen. Ist einfach um ein vielfaches schneller als alle Pakete durch ein Kabel zu pressen und die UTM mit dem hausinternen Routing zu belasten.


    Super, vielen Dank euch allen! Nachdem die zwei Netze dem NAT hinzugefügt wurden, hat alles wunderbar funktioniert!

    Nochmals besten Dank für die schnelle und kompetente Hilfe!

    Viele Grüße
    Kevin
Unfiltered HTML