This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kein Internet auf der SG230 mit UTM 9.711-5 und FritzBox 6591 mit 29er Subnetz

Hi,

Ich habe die SG230 mit UTM 9.711-5 und FritzBox 6591 mit 29er Subnetz.
Habe jetzt auf der Sophos den eth0 als WAN Port eingerichtet.
FritzBox IP Bereich 10.0.0.0/8.
Von der FritzBox Port 2 auf die Sophos ETH0 eingesteckt.
Setup FritzBox:
Netzwerk > IPv4 Routen:
10.10.10.0  255.255.255.0  10.0.0.254
10.20.20.0  255.255.255.0  10.0.0.254
10.30.30.0  255.255.255.0  10.0.0.254
10.40.40.0  255.255.255.0  10.0.0.254
10.55.55.0  255.255.255.0  10.0.0.254
Freigabe: 10.0.0.254   EXPOSED HOST
Setup Sophos:
Schnittstellen:
ETH0  10.0.0.254/8 mit GW: 10.0.0.1 DHCP Nein
ETH1 10.10.10.254/24  ohne  GW    DHCP Ja
ETH2 10.20.20.254/24  ohne  GW    DHCP Ja
ETH3 10.30.30.254/24  ohne  GW    DHCP Ja
ETH4 10.40.40.254/24  ohne  GW    DHCP Ja
ETH5 10.55.55.254/24  ohne  GW    DHCP Ja
Bei der Uplink-Überwachung steht auch die IP 10.0.0.254  WAN als ONLINE

Zusätzliche IPs
auf ETH5   10.55.55.55/24  für Proxmox Server
Netzwerkdienste -> DHCP -> Statische DHCP-Zuordnungen:
Als HOST:
Hostname: pve.domai.com  10.55.55.55/24 mit MAC und DHCP ETH5  Hostname pve.domain.com
Netzwerkdienste -> DNS:
Zugelassene Netzwerke
ETH1, ETH2, ETH3, ETH4, ETH5
 
Network Protection -> Firewall -> Regeln:
Bei allen Schnittstellen:
Quelle: ETH0 (das selbe bei den anderen dann ETH1, ETH2, ETH3, ETH4 und ETH5 auch)
Dienste: Any
Ziele: Any
Aktion: Zugelassen
Quelle: Any
Dienste: Any
Ziele: ETH0 (bei den anderen dann ETH1, ETH2, ETH3, ETH4 und ETH5)
Aktion: Zugelassen
Network Protection -> NAT-> Maskierung;
Netzwerk: ETH1       10.10.10.0  (das selbe bei den anderen dann ETH2, ETH3, ETH4 und ETH5 auch)
Schnittstelle: ETH0   10.0.0.254
Das ist jetzt ohne dem 29er Subnetz.
Ich würde gerne das es so läuft. Und noch dann die Öffentlichen IPs aus dem 29er Subnetz auf den Proxmox VMs einrichten.

Das 29er Subnetz hat ja 6 IPs die man nutzen kann. Die 1. IP davon ist ja schon die FritzBox.
Und so müsste ja das die Öffentliche IP vom Netz der Sophos auch die selbe IP haben.
Ich habe jetzt erstmal alles deaktiviert an Protection und aktiviere die erst nach dem alles online ist.
Kann es daran liegen das ich den WAN Port von ETH1 auf ETH0 geändert habe??

Weil vorher lief ja alles. Ich habe es nur geändert alles weil ich die 5 Öffentlichen IPs vom 29er Subnetz einstellen wollte.
Ich kann die ganzen IPs von den Schnittstellen und die 10.55.55.55 anpingen.
Bei der Proxmox Installation wurde die IP 10.55.55.55 automatisch erkannt.
 
der pve Rechner hat kein Internet und kann niemanden im Netzwerk anpingen.
Ich habe ein Laptop an den ETH1 angesteckt und der ist im Netzwerk aber nicht Online.
Der Laptop kann jeden anpingen.
Danach will ich auch VPN und meine Domains bei S.... auf dem Proxmox Server Betreiben.
Aber erstmal müsste ich mit der Aktuellen Konfiguration Online gehen können.
Muss ich irgendwelche Routen in der Sophos eintragen? oder einen Default GW(Gateway) einrichten?
Oder irgendwelche NAT Einstellungen??
Ich hätte jetzt auch Fotos gepostet, aber wusste nicht ob das hier erlaubt ist. Deswegen habe ich nur geschrieben.
Würde euch sehr dankbar sein wenn ihr mir hilft.
Vielen Dank


This thread was automatically locked due to age.
Parents
  • Also Internet Habe ich jetzt überall und auf dem PVE.

    Habe alles Zurückgesetzt und nur die Schnittstellen und den Forwarder auf dei Fritzbox und auf die Öffentlichen DNS IPs von VF eingestellt.

    Wenn mir nur noch jemand schreiben könnte wie ich die Statischen Öffentlichen IPs vom 29er Subnetzt einstellen kann das es funktioniert??

    Wäre ich euch sehr dankbar.

  • Irgendetwas stimmt da nicht ... falls ich die Schilderung richtig verstanden habe.

    Zwischen fritz-box und Sophos ist das Netz 10.0.0.0/8 definiert? Das geht von 10.0.0.1 bis 10.255.255.255 

    Hinter der Fritz-Box sind die Adressbereiche wie 10.10.10.0/24 , 10.10.10.0/8 bis 10.55.55.0724 ... aber alle diese Netze sind in 10.0.0.0/8 enthalten ...

    Vor und hinter der Firewall die gleichen (oder überlappende) Adressbereiche kann nicht auf Dauer gut gehen.

    Eigenartig, dass überhaupt etwas geht.

    Zwischen firewall und fritzBox das Netz auf 10.0.0.0/24 könnte das verbessern


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ok. ich dachte mir das es einfacher ist wenn ich 8er Subnetz nehme, weil die WLAN Geräte ja immer noch auf der FritzBox Laufen.

    Dachte das dann die interne Firewall Freigabe einfach Sophos Netzwerk zu Sophos Netzwerk direkt alle Geräte beinhaltet weil dann 10.0.0.0/8 any 10.0.0.0/8 ist.

    Wäre das dann besser wenn ich immer ein 24er Netzt auf der FritzBox und der Sophos einrichte??

    Also alles geht soweit mit interne IP Vergabe im Bereich 10.x.x.x  aber die Öffentlichen IPs da weiß ich keine Lösung ohne eine davon direkt bei der Installation als SOPHOS vergeben.

    Aber das wollte ich ja nicht.

    Gibt es da keine Möglichkeit die Statischen IPs als Zusätzliche IPs hinzuzugeben?

    Wenn ja auf welche Schnittstelle muss ich die vergeben?

    Auf die vom WAN Port oder auf die wo die IP dann laufen soll?

    Und muss ich noch irgendwie die IPs dann auf FritzBox per Portkonfiguration einrichten??

    Weil mir hatte jemand das ich alle Öffentliche IPs direkt auf der Sophos einrichten kann ohne die FritzBox.

    da hätte ich noch ein paar Fragen zur Maskerade, NAT und Statische Routen in der Sophos.

    Wann muss ich Maskerade einrichten und wie?

    das selbe: Wann muss ich NAT einrichten und wie?

    das selbe: Wann muss ich eine Statische Route einrichten und wie?

    Ich hatte im Vodafone Forum gelesen das die Öffentlichen IP direkt genutzt werden ohne NAT.

    Ich habe ja jetzt alle IP Bereiche die ich auf der Sophos nutze auf der FritzBox Statisch geroutet zum Sophos WAN IP.

    Und das 29er Subnetz auch auf der FritzBox Statisch geroutet zur Sophos WAN IP.

    Wäre Super wenn mir jemand Grundlegend die Konfiguration erklärt.

    Ich habe keine Vorerfahrung mit der Sophos

    Ich danke jeden der mir hier hilft.

  • "ich immer ein 24er Netzt auf der FritzBox und der Sophos " - würde ich so machen. Das ergibt ein sauberes einfaches Routing.

    "10.0.0.0/8 any 10.0.0.0/8 " kann in einer Firewall-Regel natürlich trotzdem verwendet werden, auch wenn die Subnetze kleiner sind.

    "aber die Öffentlichen IPs da weiß ich keine Lösung ohne eine davon direkt bei der Installation als SOPHOS vergeben" - sorry, das verstehe ich nicht. Die öffentlichen IP's enden doch sowieso an der externen Schnittstelle der FritzBox ... oder? Also müsste die FB die an die Sophos weiterleiten (Stichwort. portfreigabe) und die Sophos dann an interne Abnehmer (Stichwort DNAT)

    "Gibt es da keine Möglichkeit die Statischen IPs als Zusätzliche IPs hinzuzugeben?
    Wenn ja auf welche Schnittstelle muss ich die vergeben?
    Auf die vom WAN Port oder auf die wo die IP dann laufen soll?" - hier sehe ich leider nicht mehr durch, was dabei herauskommen soll.

    Der Rest der Fragen sieht nach einem mehrstündigen Gespräch (oder einem Netzwerkkonzept) aus. Ich denke, hier sollten wir einzelne spezifische Fragen behandeln.

    Sorry.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • "ich immer ein 24er Netzt auf der FritzBox und der Sophos " - würde ich so machen. Das ergibt ein sauberes einfaches Routing.

    "10.0.0.0/8 any 10.0.0.0/8 " kann in einer Firewall-Regel natürlich trotzdem verwendet werden, auch wenn die Subnetze kleiner sind.

    "aber die Öffentlichen IPs da weiß ich keine Lösung ohne eine davon direkt bei der Installation als SOPHOS vergeben" - sorry, das verstehe ich nicht. Die öffentlichen IP's enden doch sowieso an der externen Schnittstelle der FritzBox ... oder? Also müsste die FB die an die Sophos weiterleiten (Stichwort. portfreigabe) und die Sophos dann an interne Abnehmer (Stichwort DNAT)

    "Gibt es da keine Möglichkeit die Statischen IPs als Zusätzliche IPs hinzuzugeben?
    Wenn ja auf welche Schnittstelle muss ich die vergeben?
    Auf die vom WAN Port oder auf die wo die IP dann laufen soll?" - hier sehe ich leider nicht mehr durch, was dabei herauskommen soll.

    Der Rest der Fragen sieht nach einem mehrstündigen Gespräch (oder einem Netzwerkkonzept) aus. Ich denke, hier sollten wir einzelne spezifische Fragen behandeln.

    Sorry.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data