Verwendung von Schnittstelle und Netzwerkdefinitionen

Hallo zusammen,

kurze grundsätzliche Verständnisfrage zur Sophos SG und die Frage zur Verwendung und Differenzierung von Schnittstellen und Netzwerkdefinitionen.

Die Schnittstelle bindet sich ja an einen physikalischen Port und stellt damit ein Netz bereit, wobei die IP das Gateway darstellt. Das man auch VLAN Schnittstellen erstellen und an eine physikalische Interface binden kann ist auch klar.

Für was setze ich dann aber die Netzwerkdefinitionen Typ Netzwerk ein? Hier definiere ich ja über die IP Adresse des Objekts ebenfalls mein Gateway für das jeweilige Netz. Aus dem Handbuch kann mal hierzu leider nicht viel zur Definition und Verwendung ablesen.

Gruß,
Bernd

  • Ergänzung....

    Ist die Schnittstelle ggf. als physikalische Verbindung zur Infrastruktur zu sehen und hinter jeder Schnittstelle kann es unterschiedliche Subnetze geben? Dann würde die Konfig bei der Sophos vermutlich so aussehen:

    - In einem Netzwerk gibt es nur ein Subnetz. Folglich erhält die Schnittstelle eine IP, um als Gateway zu arbeiten

    - In einem Netzwerk gibt es mehrere Subnetze. Folglich erhält die Schnittstelle keine IP (0.0.0.0) und alle Subnetze werden über die Netzwerkdefinition als Netzwerk angelegt mit Bindung zur physikalischen Schnittstelle. Man könnte ggf. dann vermutlich auch ein Netz durch eine Schnittstellen IP betreiben, das würde dann aber das Design etwas unrund aussehen lassen.

    Aber vielleicht ist die Vermutung ja falsch?

  • Hallo Bernd,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Yes, Network definitions are needed when subnets not connected directly to the UTM are in the topology.  An example would be:

         (172.21.1.0/24)Office<-->[UTM1]<-->[UTM2]<-->Warehouse(172.21.2.0/24)

    In that case, you would need a Network definition in UTM1 for 172.21.2.0/24 and one in UTM2 for 172.21.1.0/24.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    OK, dann kann man sagen Netzwerkdefinitionen sind Netzwerke, die in einem entfernten Netz oder hinter einem anderen Router liegen?

    Was ist dann mit weiteren Subnetzen, die auf der selben UTM liegen und die die selbe Schnittstelle nutzen? Werden diese dann als  zusätzliche Adressen einer Schnittstelle definiert?

    Hi Bob,

    so we can say networkdefinitions are networks who are located on an other site or behind another Router?

    Whats about additional subnets, in the same local network using the same interface? Do I define them as additional interface addresses?

    Regards,
    Bernd

  • OK, dann kann man sagen Netzwerkdefinitionen sind Netzwerke, die in einem entfernten Netz oder hinter einem anderen Router liegen?

    Genau.

    Was ist dann mit weiteren Subnetzen, die auf der selben UTM liegen und die die selbe Schnittstelle nutzen?

    I've not used Additional Addresses outside the "(Address)" subnet of an interface, but that should work.  Normally, one would use VLANs on an interface if one wanted it to have additional subnets on one interface.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo .

    Tatsächlich gibt es für die Netzwerkdefinitionen mehrere Anwendungsfälle. Ein klassisches Beispiel sind z.B. IPsec Site2Site-Verbindungen, um z.B. die entfernten Netze zu definieren. Also genau wie von Ihnen angemerkt.

    Ein weiteres komplexeres Beispiel sind Transfernetze, wenn es beispielsweise bei IPsec-Verbindungen überlappende Netze gibt.

    Noch ein Beispiel wäre Firewall-, NAT-regeln oder WAF-Zugriffsregelnt, die z.B. nur für bestimmte externe Netze greifen sollen.

    Zusätzliche IP Adressen auf einem Interfase:

    Wenn zusätzliche Adressen zu einer Schnittstelle definiert werden, dann werden automatisch entsprechende Objekte (Netzwerk, Broadcast, Adresse) angelegt. Da müsste man solche Objekte dann nicht mehr definieren.


    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.