Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 12 replies
  • Answers 1 answer
  • Subscribers 9 subscribers
  • Views 2570 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sekundäre Netze bei WatchGard - Alias bei Sophos

Sven Gerhardt1

Hallo zusammen,

ich bin sehr gerne jemand, der Sophos benutzt. Früher UTM nun XG. 
Wir sind von WatchGuard gerade umgestiegen und nutzen nun eine XGS2100. 

Soweit sind wir auch zufrieden, nur die alten Sekundären Netze sind ein Problem.

Wir haben mehrere Alias (bei WatchGuard sind das Sekundäre Netze) an einen Port gebunden. 

Aufbau:

172.17.16.x (HauptNetz, aber kein DHCP Netz)
172.17.17.x (Kameras usw. kein DHCP Netz)
172.17.20.2 - 172.17.20.254 (DHCP Netz) Gateway ist die 172.17.20.1 im DHCP. 

Nun kommt man aus dem DHCP Netzwerk nicht auf das Hauptnetz und auch nicht auf das Kamera-Netz.

Die Regel LAN to LAN ist erstellt. Wir haben jedoch Probleme, weil man aus dem DHCP Netzwerk nicht auf das Hauptnetz kommt.
NAT Regel für alle Ports (Port 1, Port1:1 usw. ist gesetzt)

Alle Netze kommen in das Internet. Die Firewall blockiert leider die Verbindung von DHCP in LAN....

VLAN ist noch nicht möglich, aktuell benötige ich jedoch eine Lösung dafür. Würdet Ihr mir da helfen?



This thread was automatically locked due to age.
Parents
  • 0

    Es geht ja darum, das alle Netze funktionieren, es geht auch nicht darum, etwas zu trennen, jedoch mussten wir diese Stuktur von der Watchguard übernehmen. Und stehen nun vor der Frage warum das 19er Netz nicht in das z.B. 20er Netz kommt. Ins Internet kommt jedoch alles!

    DNS Server sind auch erreichbar und sind interne DNS Einträge werden übertragen. 

    Was auch funktioniert ist der PING, der funktioniert von jedem in jedes Netz.

  • 0 in reply to Sven Gerhardt1

    Ich denke mal, SFOS wird hier kein Routing durchführen. Für die Firewall sind Alias Interfaces keine logisch getrennte Netze.

    Das bedeutet, ein Client wird von A nach B wollen, aber die Firewall wird das wohl verwerfen, da sie erwartet, jemand anderes im Netzwerk übernimmt das Routing.

    Kannst du ein Packet Capture auf der Firewall anfertigen? Da solltes du sehen, dass die appliance das "ignoriert. Könnte sogar sein, dass nicht mal ein ARP request beantwortet wird. Veilleicht kannst du das umschiffen, mittels ARP proxy.

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Am liebsten würde ich das Netz einfach umbauen. Aber dagegen spricht die Zeit, die ich aktuell nicht habe. Klingt aber logisch was du schreibst. Die "nicht" logischen Netze können aber auf das 172.17.16.x Netz...nur die Netze untereinander sehen sich nicht. Hätte gehofft das ist einfach nur eine Regel die ich vergessen habe. Den PING führt er ja auch von DHCP Netz in eins der anderen. WatchGuard macht das anscheinend anders. Ich könnte aber generell hingehen und die Aliase auf ein Interface legen und dann verbinden, das wäre schnell und unkompliziert auch im laufenden Betrieb zu ändern, dann sind es ja logische Netze...

Reply
  • 0 in reply to LuCar Toni

    Am liebsten würde ich das Netz einfach umbauen. Aber dagegen spricht die Zeit, die ich aktuell nicht habe. Klingt aber logisch was du schreibst. Die "nicht" logischen Netze können aber auf das 172.17.16.x Netz...nur die Netze untereinander sehen sich nicht. Hätte gehofft das ist einfach nur eine Regel die ich vergessen habe. Den PING führt er ja auch von DHCP Netz in eins der anderen. WatchGuard macht das anscheinend anders. Ich könnte aber generell hingehen und die Aliase auf ein Interface legen und dann verbinden, das wäre schnell und unkompliziert auch im laufenden Betrieb zu ändern, dann sind es ja logische Netze...

Children
No Data
Unfiltered HTML