Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

XGS mit einer Schnittstelle - also parallel zu einem anderen Router

Hallo,

ich versuche gerade vergeblich, eine XGS neben einer anderen Firewall zu betreiben.

Die XGS soll im ersten Schritt mit nur einem Port als vorgeschaltetes Gateway und WebProxy dienen, bis das Netzwerk komplett umgestellt ist.

[PC] -> [XGS] -> [FritzBox] --//-> [Internet]

PC = 172.16.100.5, GW .254, DNS .254
XGS  = 172.16.100.254
FritzBox LAN=172.16.100.1, WAN=DSL

Die FritzBox ist quasi das Gateway ins Internet.
Bei der XGS habe ich alle Schnittstellen bis auf LAN1 deaktiviert.
Habe über Routing > Gateways eine Gateway 172.16.100.1 vom Typ WAN angelegt
und unter Routing > SD-WAN-Profile und Routing > SD-WAN-Routen angegeben.

Ich kann von der XGS die Fritzbox pingen, ich kann die Namensauflösung machen, wunderbar.
Aber das Routing funktioniert nicht und die XGS findet z.B. auch keine FIrmware.
Somit funktioniert auch leider der Proxy nicht, da die XGS selbst nicht ins Internet findet.

Mit dem PC, der als Gateway die XGS eingetragen hat funktioniert der direkte Webseitenzugriff erst, wenn ich eine Firewallregel inkl. NAT erstelle.
Aber eigentlich sollte er ja ohne NAT einfach die Pakete zur FritzBox weiterleiten können. Es reicht ja, wenn die FritzBox NAT Richtung Internet macht.
Und sich nur um die Webseiten kümmern, wenn ich über den Proxy (3128) surfe.

Ein tracroute auf der Firewall auf 8.8.8.8 zeigt dann z.B.:

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 46 byte packets
1 * * *
2 172.16.100.254 76.028 ms !H * *
3 * 172.16.100.254 68.007 ms !H *
4 * * 172.16.100.254 69.066 ms !H
5 * * *
6 172.16.100.254 69.741 ms !H * *
7 * 172.16.100.254 68.046 ms !H *
8 * * 172.16.100.254 68.995 ms !H
9 * * *
10 172.16.100.254 68.517 ms !H * *
11 * 172.16.100.254 69.071 ms !H *
12 * * 172.16.100.254 72.347 ms !H
13 * * *
14 172.16.100.254 64.015 ms !H * *
15 * 172.16.100.254 67.959 ms !H *
16 * * 172.16.100.254 72.454 ms !H
17 * * *
18 172.16.100.254 63.849 ms !H * *
19 * 172.16.100.254 67.912 ms !H *
20 * * 172.16.100.254 66.873 ms !H
21 * * *
22 172.16.100.254 67.962 ms !H * *
23 * 172.16.100.254 68.038 ms !H *
24 * * 172.16.100.254 67.840 ms !H
25 * * *
26 172.16.100.254 68.554 ms !H * *
27 * 172.16.100.254 68.723 ms !H *
28 * * 172.16.100.254 68.051 ms !H
29 * * *
30 172.16.100.254 72.092 ms !H * *

Wenn ich als Gateway beim PC die FritzBox eintrage funktioniert natürlich der Internetzugriff.

Ich bin für jeden Hinweis dankbar.



Added TAGs
[edited by: Erick Jan at 1:00 AM (GMT -7) on 7 Oct 2024]
Parents
  • Wenn die Firewall kein NAT macht, bleibt die PC-IP unverändert, bis das Paket die FB erreicht.
    ... und die FritzBox müsste den Weg zu diesem Rechner/das Netz kennen, um Antwortpakete zustellen zu können.

    Dazu müsste dann eine Route in der FB eingetragen werden. Keine Ahnung, ob das geht.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Wenn die Firewall kein NAT macht, bleibt die PC-IP unverändert, bis das Paket die FB erreicht.
    ... und die FritzBox müsste den Weg zu diesem Rechner/das Netz kennen, um Antwortpakete zustellen zu können.

    Dazu müsste dann eine Route in der FB eingetragen werden. Keine Ahnung, ob das geht.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • ... allerdings müsste die FB ins Internet kommen. Dazu brauchst du aber keine SD-WAN-Route, da auf dem WAN-Interface ja das Gateway angegeben ist.

    Natürlich braucht die Firewall auch funktionierendes DNS, um an die Updates zu kommen.

    Wenns noch nicht geht ... Wie sieht ein Traceroute von der Firewall zu 8.8.8.8 aus? 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo,

    danke für die Info.
    Den Traceroute habe ich ja schon oben gepostet.

    Mittlerweile habe ich das SD-WAN-Profil und SD-WAN-Route wieder gelöscht und habe statt dessen als Statische Route das Gateway angegeben (default gateway):

    IP: 0.0.0.0
    Mask: 0.0.0.0
    Gateway: 172.16.100.97

    Jetzt kann die XGS ins Internet. Findet Firmware-Updates und der Proxy geht.

    Nur die NAT-Regel benötigt er noch. :-(

  • Wie gesagt, die fRITZBOX kennt das netz hinter der FW ja nicht ...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Das ist ja der Klassiker:

    in der Fritzbox einen Routeneintrag setzen für Netzwerk hinter der Firewall:

    unter "Heimnetz/netzwerk/Netzwerkeinstellungen" ganz runterscrollen bis "Tabelle für statische Routen", dort auf IPv4-Routen klicken.

    Das wäre die richtige Konfiguration für mein Beispielnetzwerk unten im Bild:

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,
    danke für die Antworten.
    Die LAN-Schnittstellen der XGS und FritzBox sind aber im selben Netz.

    XGS=172.16.100.254, FritzBox=172.16.100.97
    Die Fritzbox kennt also das 172.16.100.x-Netz.
    Ich habe der sogar mal explizit eine Route für das Netz mit GW .254 eingetragen.

  • Aha - was schützt den die Sophos? Doch sicher nicht die PCs Relaxed

  • Weiter oben wurde mal ein "Proxy" erwähnt. Also evtl. der, den man im Browser einträgt.

    Auch wenn der nicht viel bringt, manipulierbar ist und die meisten Anwendungen den eh umgehen, wenn es auch einen Direkten Weg gibt ... existieren tut er noch. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo motech,

    ich hab das schon verstanden, dass deine momentane Netzwerk-Topologie anders aussieht, als in meinem Vorschlag.

    Ich habe eher Dirks Hinweis aufgegriffen und mein Vorschlag zielt daher auf eine Konfiguration, wie sie später einmal aussehen sollte.

    Und die ich dir empfehlen würde. Eher früher, als später.

    Und ja, man kann einen "one armed router" als Proxy betreiben, aber wozu dann der Aufwand mit der FW-Maschine?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo PhillipRusch,

    die Lösung ist nur vorübergehen, bis die daran hängende Intrastruktur auf die SOPHOS angepasst wurde.

    Erster Step ist Rechner kommen nur noch mit Proxy ins Web. 

    Zweiter Step ist das tauschen mehrerer Router, die dann durch die XGS ersetzt werden.

    Gruß

    motech