Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 38 subscribers
  • Views 8514 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 - Routingprobleme?

eSportler
Guten Morgen zusammen,

wir haben ein kleines Problem mit der Sophos UTM 9 in der Basisfunktionalität (Free Lizenz).
Wir virtualisieren auf unserem Root Server mit Proxmox und haben jetzt das Problem, das ein Client im "internen" Netz (192.168.1.0/24) nicht die Webseite aufrufen kann, welche im gleichen internen Netz ist, aber über die öffentliche Domain aufgerufen wird.
Okay, klingt erst mal danach das die Clients nicht ins Internet dürfen. Alle anderen Webseiten hingegen sind aufrufbar im www. Nur jene nicht, welche auf einem Server in unserem 192.168.1.0/24er Netz liegen.

Von einem Rechner außerhalb des Root Servers kann ich die Webseiten jedoch alle erreichen.


Sprich: Interne VM 111 kann über öffentliche Domain nicht die Webseite auf der internen VM 108 erreichen.
NAT Regeln sind in der UTM eingerichtet. (DNAT From any Source, Group Web Surfing, to External Adress --> Destination VM 108)

Die externe Adresse ist eine von den zwei zusätzlichen externen Adressen.


In den Logfiles der Firewall kann ich leider gar nichts finden, was von der internen VM 108 kommt. Hier wird wohl nur der eingehende Traffic auf das WAN Interface gemonitored, richtig?


Selbst der Versuch die Firewall auf Druchzug zu stellen: Firewall Regel allow any any (an oberster Position) bringt keine Besserung.


Es wird aber noch kurioser!
Wenn ich von der VM 111 ein nslookup auf die öffentliche Domain mache, löst der mir die richtige IP Adresse auf. Also DNS Lookup funktioniert, aber ein ansurfen der Webseite nicht.

VM 111 steht hier nur exemplarisch. Das Problem existiert auf allen internen VMs.





Zusätzlich haben wir noch ein weiteres Problem....
Wir lassen die laufenden Dienste über das hetzner Monitoring überwachen.
Zwischenzeitlich kommt es nachts immer mal wieder zu Aussetzern von ca. 5 Minuten, wo die Dienste scheinbar nicht erreichbar sein sollen. Danach ist wieder alles Grün. Dieses Problem haben wir erst seit dem Wechsel von IPCop auf Sophos. Gibt es hier eine Limitierung in der Free Lizenz das sporadisch mal 5 Minuten alles geblockt wird?! Kann mir das zwar nicht vorstellen, aber es muss irgendwo an der Sophos UTM liegen....


Ich hoffe das uns jemand bissle helfen kann [[:)]]
Solltet ihr noch Infos benötigen, so stelle ich die gerne zur Verfügung.


Danke und einen guten Start in den neuen Tag! [[:)]]


This thread was automatically locked due to age.
Parents
  • 0
    Du rufst von interner IP die externe IP auf? Dann vermute ich, Du hast kein SNAT für diese Verbindung.

    Und wie oft sind die Verbindungen in welchem Zeitraum in der Nacht nicht erreichbar?
  • 0 in reply to K.N.
    Du rufst von interner IP die externe IP auf? Dann vermute ich, Du hast kein SNAT für diese Verbindung.


    Genau, allerdings habe ich beim Aufruf von anderen Webseiten welche nicht auf unseren VMs liegen keine Probleme diese aufzurufen.
    Beim SNAT wird doch die Source Adresse des ausgehenden Pakets, in diesem Falle von IP VM111, auf IP WAN Interface gesetzt, mir ist gerade nicht ersichtlich was dadurch bezweckt werden soll.

    Nichts desto trotz habe ich die NAT Regel auf ein FullNAT erweitert und als geänderte Quelle die WAN IP des Webservers angegeben. Keine Änderung. Andere Webseiten sind nach wie vor erreichbar.

    //EDIT:
    Sorry, habe intelligenter Weise eine falsche NAT Regel angefasst. Nach Änderung der richtigen Regel funktioniert das auch!
    Dennoch fehlt mir gerade der Zusammenhang^^ Könntest du mich da kurz abholen?

    Danke! [:)]


    Und wie oft sind die Verbindungen in welchem Zeitraum in der Nacht nicht erreichbar?


    Diese Nacht z.B. zwischen 00:50 Uhr und 00:55 Uhr waren Port 80 und der Ping nicht mehr erreichbar, bzw. nicht durchgehend.
    Beide Sensoren prüfen auf eine der zusätzlichen WAN Adressen.
Reply
  • 0 in reply to K.N.
    Du rufst von interner IP die externe IP auf? Dann vermute ich, Du hast kein SNAT für diese Verbindung.


    Genau, allerdings habe ich beim Aufruf von anderen Webseiten welche nicht auf unseren VMs liegen keine Probleme diese aufzurufen.
    Beim SNAT wird doch die Source Adresse des ausgehenden Pakets, in diesem Falle von IP VM111, auf IP WAN Interface gesetzt, mir ist gerade nicht ersichtlich was dadurch bezweckt werden soll.

    Nichts desto trotz habe ich die NAT Regel auf ein FullNAT erweitert und als geänderte Quelle die WAN IP des Webservers angegeben. Keine Änderung. Andere Webseiten sind nach wie vor erreichbar.

    //EDIT:
    Sorry, habe intelligenter Weise eine falsche NAT Regel angefasst. Nach Änderung der richtigen Regel funktioniert das auch!
    Dennoch fehlt mir gerade der Zusammenhang^^ Könntest du mich da kurz abholen?

    Danke! [:)]


    Und wie oft sind die Verbindungen in welchem Zeitraum in der Nacht nicht erreichbar?


    Diese Nacht z.B. zwischen 00:50 Uhr und 00:55 Uhr waren Port 80 und der Ping nicht mehr erreichbar, bzw. nicht durchgehend.
    Beide Sensoren prüfen auf eine der zusätzlichen WAN Adressen.
Children
No Data
Unfiltered HTML