Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Replies 12 replies
  • Answers 1 answer
  • Subscribers 8 subscribers
  • Views 1628 views
  • Users 0 members are here
Options
Suggested

Sekundäre Netze bei WatchGard - Alias bei Sophos

Sven Gerhardt1

Hallo zusammen,

ich bin sehr gerne jemand, der Sophos benutzt. Früher UTM nun XG. 
Wir sind von WatchGuard gerade umgestiegen und nutzen nun eine XGS2100. 

Soweit sind wir auch zufrieden, nur die alten Sekundären Netze sind ein Problem.

Wir haben mehrere Alias (bei WatchGuard sind das Sekundäre Netze) an einen Port gebunden. 

Aufbau:

172.17.16.x (HauptNetz, aber kein DHCP Netz)
172.17.17.x (Kameras usw. kein DHCP Netz)
172.17.20.2 - 172.17.20.254 (DHCP Netz) Gateway ist die 172.17.20.1 im DHCP. 

Nun kommt man aus dem DHCP Netzwerk nicht auf das Hauptnetz und auch nicht auf das Kamera-Netz.

Die Regel LAN to LAN ist erstellt. Wir haben jedoch Probleme, weil man aus dem DHCP Netzwerk nicht auf das Hauptnetz kommt.
NAT Regel für alle Ports (Port 1, Port1:1 usw. ist gesetzt)

Alle Netze kommen in das Internet. Die Firewall blockiert leider die Verbindung von DHCP in LAN....

VLAN ist noch nicht möglich, aktuell benötige ich jedoch eine Lösung dafür. Würdet Ihr mir da helfen?



Added TAGs
[edited by: Raphael Alganes at 2:17 PM (GMT -7) on 29 Apr 2024]
Parents
  • 0

    Es geht ja darum, das alle Netze funktionieren, es geht auch nicht darum, etwas zu trennen, jedoch mussten wir diese Stuktur von der Watchguard übernehmen. Und stehen nun vor der Frage warum das 19er Netz nicht in das z.B. 20er Netz kommt. Ins Internet kommt jedoch alles!

    DNS Server sind auch erreichbar und sind interne DNS Einträge werden übertragen. 

    Was auch funktioniert ist der PING, der funktioniert von jedem in jedes Netz.

  • 0 in reply to Sven Gerhardt1

    Ich denke mal, SFOS wird hier kein Routing durchführen. Für die Firewall sind Alias Interfaces keine logisch getrennte Netze.

    Das bedeutet, ein Client wird von A nach B wollen, aber die Firewall wird das wohl verwerfen, da sie erwartet, jemand anderes im Netzwerk übernimmt das Routing.

    Kannst du ein Packet Capture auf der Firewall anfertigen? Da solltes du sehen, dass die appliance das "ignoriert. Könnte sogar sein, dass nicht mal ein ARP request beantwortet wird. Veilleicht kannst du das umschiffen, mittels ARP proxy.

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Am liebsten würde ich das Netz einfach umbauen. Aber dagegen spricht die Zeit, die ich aktuell nicht habe. Klingt aber logisch was du schreibst. Die "nicht" logischen Netze können aber auf das 172.17.16.x Netz...nur die Netze untereinander sehen sich nicht. Hätte gehofft das ist einfach nur eine Regel die ich vergessen habe. Den PING führt er ja auch von DHCP Netz in eins der anderen. WatchGuard macht das anscheinend anders. Ich könnte aber generell hingehen und die Aliase auf ein Interface legen und dann verbinden, das wäre schnell und unkompliziert auch im laufenden Betrieb zu ändern, dann sind es ja logische Netze...

  • 0 in reply to LuCar Toni

    ODER ich kann die Alias gegen VLAN´s austauschen und diese dann über das Haupt GW laufen lassen oder?

  • 0 in reply to Sven Gerhardt1

    Ich frage mich sowieso, wie du das "danach" gelöst hast?
    Haben die ganzen Clients im "anderen Netz" einfach statische IPs in anderen Netzen? Das klingt nach Horror Setup.

    Ich würde das lieber aufräumen, saubere VLANs aufbauen und logisch trennen via Switche. Ja - Das macht mehr Arbeit auf den Switchen aber dann bist du zukunftsorientiert aufgestellt. 

    Weil aus einer Security perspective könnte jeder aktuell einfach "ARPs" verschicken, der switch würde es weiterleiten und du kannst via ARP einfaches laterales Movement machen.

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Aktuell gibt es mehrere DHCP Server in der Sophos für zwei verschiedene Netze, damit Ausreichend IP´s vorhanden sind. Zusätzlich gibt es ein Netz für Drucker, eins für AP´s. Das Gebäude ist sehr groß und dadurch ist das "mal eben" nicht so einfach :-( Aber ich plane das mal. Schade das die WatchGuard das so kann (habe ich nur übernommen) und die Sophos PING´s durchlässt aber kein z.B. HTTP(s). Dank dir auf jeden Fall! Sehr freundlich :-)

  • +1 in reply to Sven Gerhardt1

    Du solltest ggf. vorher schauen, was genau passiert.

    Vielleicht kannst du das Problem mit einem SNAT beheben.

    Probier ein SNAT von A zu B mit MASQ. Weil ICMP "durchlässt" aber HTTP nicht, klingt nach asymmetrischem Routing. Das heißt, der client probiert direkt zu antworten. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Du bist mein Held! Das war aber früher bei der UTM einfach anders oder die hat das Automatisch gemacht. SNAT hilft. Ich habe aber schon die Planung für die VLAN´s aufgenommen. Switche müssen ja bestellt werden und Kabel gezogen werden. DANKE DANKE DANKE!

  • 0 in reply to Sven Gerhardt1

    Ich würde behaupten, UTM hätte das gleiche Thema gehabt.

    __________________________________________________________________________________________________________________

Reply Children
No Data
Unfiltered HTML