Sekundäre Netze bei WatchGard - Alias bei Sophos

Klingt nach einem DHCP Relay Use Case?

Wer ist nun der DHCP server? Und du hast mehrere Netze an einem Interface anliegen ohne VLAN? Das klingt für mich sehr komisch. 

Vielen Dank Lucar für deine Hilfe! Ich habe dir die Netze sowie den DHCP Bereich mal kopiert:

Es geht ja darum, das alle Netze funktionieren, es geht auch nicht darum, etwas zu trennen, jedoch mussten wir diese Stuktur von der Watchguard übernehmen. Und stehen nun vor der Frage warum das 19er Netz nicht in das z.B. 20er Netz kommt. Ins Internet kommt jedoch alles!

DNS Server sind auch erreichbar und sind interne DNS Einträge werden übertragen. 

Was auch funktioniert ist der PING, der funktioniert von jedem in jedes Netz.

DHCP ist die Sophos selbst. :-)

Ich denke mal, SFOS wird hier kein Routing durchführen. Für die Firewall sind Alias Interfaces keine logisch getrennte Netze.

Das bedeutet, ein Client wird von A nach B wollen, aber die Firewall wird das wohl verwerfen, da sie erwartet, jemand anderes im Netzwerk übernimmt das Routing.

Kannst du ein Packet Capture auf der Firewall anfertigen? Da solltes du sehen, dass die appliance das "ignoriert. Könnte sogar sein, dass nicht mal ein ARP request beantwortet wird. Veilleicht kannst du das umschiffen, mittels ARP proxy.

Am liebsten würde ich das Netz einfach umbauen. Aber dagegen spricht die Zeit, die ich aktuell nicht habe. Klingt aber logisch was du schreibst. Die "nicht" logischen Netze können aber auf das 172.17.16.x Netz...nur die Netze untereinander sehen sich nicht. Hätte gehofft das ist einfach nur eine Regel die ich vergessen habe. Den PING führt er ja auch von DHCP Netz in eins der anderen. WatchGuard macht das anscheinend anders. Ich könnte aber generell hingehen und die Aliase auf ein Interface legen und dann verbinden, das wäre schnell und unkompliziert auch im laufenden Betrieb zu ändern, dann sind es ja logische Netze...

ODER ich kann die Alias gegen VLAN´s austauschen und diese dann über das Haupt GW laufen lassen oder?

Ich frage mich sowieso, wie du das "danach" gelöst hast?
Haben die ganzen Clients im "anderen Netz" einfach statische IPs in anderen Netzen? Das klingt nach Horror Setup.

Ich würde das lieber aufräumen, saubere VLANs aufbauen und logisch trennen via Switche. Ja - Das macht mehr Arbeit auf den Switchen aber dann bist du zukunftsorientiert aufgestellt. 

Weil aus einer Security perspective könnte jeder aktuell einfach "ARPs" verschicken, der switch würde es weiterleiten und du kannst via ARP einfaches laterales Movement machen.

Aktuell gibt es mehrere DHCP Server in der Sophos für zwei verschiedene Netze, damit Ausreichend IP´s vorhanden sind. Zusätzlich gibt es ein Netz für Drucker, eins für AP´s. Das Gebäude ist sehr groß und dadurch ist das "mal eben" nicht so einfach :-( Aber ich plane das mal. Schade das die WatchGuard das so kann (habe ich nur übernommen) und die Sophos PING´s durchlässt aber kein z.B. HTTP(s). Dank dir auf jeden Fall! Sehr freundlich :-)

Du solltest ggf. vorher schauen, was genau passiert.

Vielleicht kannst du das Problem mit einem SNAT beheben.

Probier ein SNAT von A zu B mit MASQ. Weil ICMP "durchlässt" aber HTTP nicht, klingt nach asymmetrischem Routing. Das heißt, der client probiert direkt zu antworten.