Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 9 subscribers
  • Views 1181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Frage zur Sophos XG210

Hans-Juergen Guenter

Hallo,

ich bin gerade dabei mich etwas mehr mit der Sophos zu beschäftigen. Nun habe ich wohl ein kleines
Problem. Unser LAN wurde erweitert und die Sophos ist für das neue LAN das Gateway. Wenn ich
jetzt aus dem alten LAN ins neue LAN einen Ping mache, dann kann ich nur die Sophos und den dort
verbauten Switch erreichen. Allerdings kann ich nicht die dort aktuell verbundenen Server erreichen.

Also an der Windowsfirewall kann es nicht liegen, denn diese war für einen Test auch mal deaktiviert.
Wenn ich in die Protokoll ansicht der Sophos schaue dann sehe ich das z.B. ICMP für den Rückweg
zum Client geblockt wird. Nun sagte mir ein Kollege das ich auf der Sophos das alte LAN in der Sophos
dem LAN hinzufügen müsste. Und nun kommen wir zu meinem Problem, denn wie füge ich die Netzwerke
des alten Netzwerkes auf der Sophos dem dort genutzen Netzwerk hinzu?

Ich möchte jetzt nicht extra eine neue Regel anlegen dafür, denn es gibt mehrer Regeln fürs LAN und
deswegen möchte ich es so einfach halten wie möglich. Also hier mal die Infos zu den Netzwerken:

Altes Netzwerk:
- 10.28.10.0, 10.28.11.0, 10.200.0.0, 10.210.0.0, 10.29.0.0

Neues Netzwerk:

- 172.16.16.0

Nun sollen beide Netzwerke direkt erreichbar sein, dazu wurde ein Routing Switch genutzt der im
alten netzwerk per DHCP verbunden ist und der ein Interface mit einer Festen IP im neuen LAN hat.

Aktuell erreiche ich aber nur den im neuen Netzwerk verbauten Switch und die Sophos Schnittstelle
im neuen Netzwerk.

Hoffe ich Könnt mir nun sagen wo ich das konfigurieren kann das die 10.0.0.0 Netzwerke nun nicht mehr
von der Sophos Firewall verworfen / Geblockt werden.

Beste Grüße

Hajo



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Hans,

    kannst du bitte ein Netzwerkdiagram erstellen, damit ist es leichter.

    Dein Kollege hat recht, die Sophos muss mit jeweils einer IP in dem Netz sein, weil sie durch die Interfaces die Netze dann kennt und somit auch das Routing übernehmen kann.

    Sind die Netze in VLANs aufgeteilt oder wird einfaches subnetting betrieben?

    Damit die Sophos jedes Netz kennt, musst du beim Uplink eine Alias-IP anlegen, so viele wie es Netze gibt:

    Du musst auch Firewall-Rules definieren wo die Quell- und Ziel-Netze definiert sind, sonst verwirft die Sophos den Traffic.

    Wieso wird ein eigener L3-Switch verwendet und nicht gleich die Sophos als Gateway / Router?

    Für mich hört sich das etwas nach einer "Bastlerlösung" an, würde hier mal das Netzwerk überdenken und ggf. alles über die Sophos laufen lassen.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Hallo Thomas_XG,
     also das Routing funktioniert ja schon. Also das klappt nur wie bekomme ich die neuen Netzwerk
    so auf die Sophos das ich dann auch die Pakete nicht verworfen bekomme?

    Möchte also am liebsten einfach nur das so haben das ich die neuen Netzwerke in die bestehenden Regeln
    bekomme so das sie dann auch erlaubt werden für die Kommunikation.

    Es wurde ein Layer-3 Switch genommen weil diese beiden bestehenden Netzwerke 10.0.0.0 (Altes Netzwerk mit
    mehreren kleinen  Netzwerk nit /24-Maske) mit dem neuen Netzwerk 172.16.16.0/24 verbunden wurde. Beide
    Netzwerke sind hier am Standort.

  • 0 in reply to Hans-Juergen Guenter

    Du musst der Sophos jeweils eine IP in den Netzen geben und in deiner Firewall-Rule die Netze mit aufnehmen. Wenn alle Netze miteinander kommunizieren sollen, brauchst du bei Source und Destination nur alle Netze eintragen.

    Aber wie gesagt, ich würde hier andenken das Netzwerk komplett über die Sophos zu verwalten und das Routing etc. von den L3 Switches auf die Sophos zu übertragen. Dann brauchst du in Zukunft auf der Sophos nur mehr ein ALIAS-Interface (mit dem VLAN) anlegen, das Netz neu definieren (Objekt anlegen) und die vorhandene Firewall-Rule um diese erweitern und schon läuft dein neues Netz.

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Ok,
    danke Dir für deinen Tip. Werde mal für jedes Netzwerk ein Netz erstellen und es dann
    der Source und Destination hinzufügen.

    Hoffe ich bekomme das hin. Ich hätte es auch anders gemacht, aber es ist eine Gewachsene
    Strucktur und nun muß ich mit dem arbeiten was da ist :-)

  • 0 in reply to Hans-Juergen Guenter

    Selbst gewachsene Sachen kann man umbauen und optimieren ;-)

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

Reply Children
Unfiltered HTML