Eigenen AP (Raspberry Pi 3) durch Sophos UTM schützen (Update: Sophos UTM und FB 7490 - So gehts)

Hallo Chris,

wegen Umstellung auf All-IP habe ich seit kurzem auch eine FB7490. (Vorher hat die UTM die Einwahl gemacht und 2 AP10 sorgten für WLAN)

Jetzt macht die Fritzbox die Einwahl und reicht alles über Exposed Host an die UTM weiter. DHCP auf der FB ist ausgeschaltet.

WAN -- Fritzbox -- LAN1 (192.168.168.1) ---- EXT (192.168.178.10 fest) -- UTM

Auf der UTM wurde eine zusätzliche Adresse auf das externe Interface gelegt:
Additional Address on Interface EXTERNAL mit 10.10.10.1 genannt FritzboxWLAN. Für dieses Netzwerk wurde DHCP eingerichtet.

Meldet sich jetzt ein Gerät an der Fritzbox an (entweder LAN oder WLAN) bekommt es eine IP-Adresse aus dem 10.10.10.x-Raum und als Gateway die 10.10.10.1.

Somit läuft der ganze Traffic über die UTM und Du kannst die Geräte so fein verwalten wie Du willst. Es ist ein eigenes Subnetz der UTM mit allen Möglichkeiten.

Moin Walter,

danke schon mal! Ein paar Fragen hätt ich da noch...

1) Die FB als Exposed Host wurde in anderen Beiträgen hier als Sicherheitsrisiko eingestuft, da dadurch jeder, der an der FB vorbei kommt, sofort in deinem lokalen LAN landet. Wie schätzt du das Risiko ein?

2) Deinen Aufbau versteh ich im Moment noch nicht ganz. Ich hab dich so verstanden: Kabel aus LAN1 (FB) auf NIC der UTM (External WAN) mit fester IP aus dem FB-Netz (192.168.178.10). Dann Kabel aus zweitem NIC der UTM ins interne (Internal) Netz (Switch, PC, whatever) mit neuen Subnetz (192.168.168.1). Dann zusätzliches Interface auf das external WAN-NIC gelegt, mit ganz neuem Netz und eigenem DHCP (10.10.10.1). Wenn ich dich bis hierhin richtig verstanden habe, ergeben sich für mich zwei Fragen: Wie gibst du dem externen Interface zwei IPs? Das geht nur via Ethernet VLAN, oder? Und zweite Frage: Kann ich dann meinen internen DHCP für das Netz hinter der UTM weiterlaufen lassen?

3) Verschiedene SSIDs/separate Netze lassen sich mit deiner Methode aber nicht realisieren, oder?

Gerade wegen Punkt drei bin ich ja fast am überlegen, ob ich mir einfach ein paar mehr APs bastle, Raspberrys liegen hier genug rum :). Damit wäre auch das Eingangs skizzierte Problem gelöst. Statt einzelnen Rules für die angeschlossenen Geräte hätt ich dann für jedes Gerät nen eigenen AP...gut, zugegeben, effizient is was anderes :).

Letzte Frage: Die Eintragung als Exposed Host brauch ich doch NUR, wenn Geräte, die direkt über die Fritzbox connecten, auch hinter die UTM wandern sollen, oder? So wie ich es jetzt habe, hängt ja schon alles hinter der FB (komplettes Heim-LAN).

Vielen Dank für deine/eure Zeit,

Gruß, 

der Bastler mit Lichtblick

Guten Abend Chris,

alles kann ich Dir heute nicht mehr erklären, aber anfangen.

zu 1:
Ich nutze die Fritzbox in Bezug auf das Internet nur als eine Art Modem. Als Telefonzentrale ist sie voll in Funktion, aber für das Internet macht sie nur die Einwahl und gibt alles an den Exposed Host weiter. Dieser ist die UTM und daher eine starke Firewall, hinter der sich alles andere versteckt.

Da die Fritzbox nicht von aussen administrierbar ist, nur eine feste innere IP (192.168.178.1) hat und keine Adressen per DHCP vergibt kann sie nur von einem PC im LAN mit fester Adresse im gleichen Subnetz verändert werden.

zu 2:
Ich glaube, Du hast mich richtig verstanden.

Das anlegen einer 2. IP auf dem externen NIC geht ganz einfach. Unter "Interfaces & Routing"/"Interfaces" gibt es einen Reiter "Additional Addresses". Dort definierst Du eine neue Adresse auf dem externen Interface mit 10.10.10.1 und vergibst einen Namen.

Dann gehst Du zu "Network Services"/"DHCP", nimmst einen neuen DHCP-Server und vergibst einen Nummernbereich für das neu angelegte Interface.

Wenn sich jetzt ein Gerät mit DHCP-Client an der Fritzbox meldet (LAN oder WLAN) bekommt es eine IP auf dem 10.10.10.x-Netz. Die Fritzbox verhält sich hier wie ein Switch und keines dieser Geräte kann aus das 192.168.178.x-Netz von der Fritzbox wenn Du es nicht per Regel in der UTM freigibst. Genauso wenig kann jemand von aussen, wenn er es geschaft hat in das 192.168.178.x-Netz einzudringen, auf das 10.10.10.x-Netz zugreifen. Er muss durch die UTM.

Dein interner DHCP-Server auf dem internen Interface ist von diesen Aktionen nicht beeinflusst und kann normal weiterlaufen.

zu 3 kommen wir später, wenn Dich mein Aufbau überzeugt hat und Du es am laufen hast.

Gute Nacht und viel Erfolg.

Ich hätt das Ding von Anfang an als Diskussion markieren sollen...durch den grünen Haken siehts so aus, als wäre schon alles gesagt.

Ich bin kurz davor, deine Lösung auszuprobieren. Warte nur, bis die Freundin aus dem Haus ist...denn wenn ich das Internet am Handy versehentlich lahm lege, gibt es ordentlich Schelte.

Melde mich wieder (und 3 interessiert mich immer noch :)).

So, alles umgesetzt. War gut, dass ich gewartet hab, bis die Göttergattin außer Haus war. Ging nämlich erst mal gar nix :).

Was man zu den bisherigen Schritten ergänzen muss:

• Network Services --> DNS --> Reiter "Global" --> Das neue Netz (10.10....) unter Allowed Networks ergänzen
• Web Protection --> Web Filtering --> Reiter "Global" --> Das neue Netz (10.10....) unter Allowed Networks ergänzen

Danach flutschte die Sache.

Ich beweg mich hier auf einem Terrain, in dem ich noch nicht ganz trittfest bin. Ich hab mal meine Configs als Bilder angehängt und wäre dir/euch sehr verbunden, wenn ihr noch mal einen Blick drauf werfen könntet.

 Config Internal Interface:

 Config External WAN:

 Additional IP-Address:

 Config neuer DHCP-Server:

 Config Web Filter:

 Config DNS:

 Config FritzBox DHCP (keiner):

 Config FritzBox Exposed Host:

 So sieht es dann z.B. bei nem Notebook aus:

Ein Problem hab ich zudem noch: Kann mir jemand sagen, was das hier ist/was mir diese regelmäßigen Drops in der FW sagen wollen?

Vielen Danke für deine/eure Zeit,

Grüße vom Bastler!

Hallo Chris,

schön, dass es soweit geklappt hat. Mit den 'Allowed Networks' dachte ich ist klar. Man sollte es aber erwähnen.

Ich habe das Wochenende Gäste. Zu 3 kann ich frühestens ab Montag Stellung nehmen.

Vielleicht haben andere auch Gedanken dazu.

Moin Walter,

liebe "Mitbastler",

danke nochmal für deine Tipps. Wäre dir/euch sehr vebunden, wenn du dir/ihr euch an Hand der Screenshots weiter oben meine Config noch mal ansehen könntest/könntet, ob mit da evtl. ein "Schnitzer" unterlaufen ist (wie gesagt, bin da noch nicht trittsicher). 

Ausserdem versteh ich immer noch nicht diese ICMP-Drops (siehe letzter Screenshot weiter oben), da wäre ich für jede Hilfe dankbar.

Noch eine wertvolle Lektion: Obwohl der DHCP der UTM schon fleissig IPs verteilt hat, wurden in der GUI der FB immer noch die Geräte mit alter IP (FB-Netz) angezeigt. Ob das jetzt ne Art Anzeigefehler war oder aber die FB bekannte MACs auch ohne DHCP mit IPs versorgt, weiss ich nicht (wobei die Endgeräte schon einer 10er-IP anzeigt haben). Habe alle Endgeräte ausgeschalten, das jeweilige Gerät in der FB aus der "Bekannte Geräte"-Liste gelöscht und dann neu verbunden. Jetzt steht da ein befriedigendes "-" bei IP.

Leider fehlt mir die Zeit, sonst würd ich aus dem Thread hier ein kleines How-To basteln, interessiert sicher mehr, alá "Sophos UTM und FB7490 - so gehts richtig". Naja, wenigstens den Thread-Titel konnte ich anpassen.

Und für Frage 3) von oben hab ich auch noch ein offenes Ohr/Auge :).

Nochmals vielen Dank und einen guten Wochenstart,

Gruß Chris

PS: Sorry, aber eine Frage kam gerade noch auf. Sinnvollerweise adde ich das neue W-Lan-Netwerk (10.10....) auch bei der IPS, oder?

Hallo Chris,

andere user scheinen an unserem netten Konfigurationsspiel kein Interesse zu haben. Oder sie warten auf die vollkommene Lösung. ;-)

Deine Screenshot sehen für mich sehr gut aus und wenn es so funktioniert ist doch alles in Ordnung.

Jetzt zu Deinem Punkt 3:

Soweit ich die Fritzbox kenne (hier bin ich Neuling) sind nicht mehrere SSIDs möglich.

Aber soweit ich Dich verstanden habe, willst Du einzelnen Geräten oder Gruppen besondere Rechte geben oder entziehen.

Als einfachstes vergibst Du einem solchen Gerät eine feste IP im 10.10.10er-Netz, legst in der UTM einen Host mit dieser IP an und schon kannst Du in der UTM Regeln für dieses Gerät anlegen.

Du kannst aber auch per DHCP eine IP zuteilen lassen, dann auf der UTM unter Network Services/DHCP/IP4 Lease Table nach dem Gerät suchen und auf 'Make Static' drücken. Dann ist auch ein Host angelegt und das Gerät bekommt zukünftig immer diese IP zugeteilt.

Wenn Du willst, kannst Du das 10er-Netz auch noch in kleinere Subnetze mit unterschiedlichen Berechtigungen aufteilen und die IPs der Geräte dort vergeben.

Es gibt viele Möglichkeiten. Das waren nur Anregungen. Wenn Du weitere konkrete Probleme hast, helfe ich gerne weiter.

Von welchem Gerät die ICMP-Pakete kommen, kann ich nicht sagen. Was ist 10.10.10.4? Was hast Du unter Network Protection/Firewall/ICMP eingestellt?

Okay, das mit den W-Lan Clients leuchtet ein. Kann sie einzeln oder in Gruppen mit den entsprechenden Rechten ausstatten (oder eben nicht). Damit kann ich gut leben und auf eine zweite SSID oder separates Netz verzichten.

Neue Lesson learned: Einstellungen in der UTM greifen unter Umständen nicht sofort und manchmal scheint mir der Brotkasten oben drein recht "launisch" zu sein. Soll heissen, nachdem gestern Abend alles lief, lief es heute morgen nicht mehr. Ohne Änderung am System (jaja...das sagen sie immer [8-|]). Will hier aber ein "das Problem saß vor dem Monitor" nicht ganz ausschliessen...

Heute musste ich folgende Einstellungen nachziehen, damit alles wie gewohnt funktioniert:

Masquerading für das neue Netz (erscheint mir jetzt auch logisch...mir ist aber schleierhaft wie ich ohne diese Einstellung gestern überhaupt mit einem mobilen Endgerät rausgekommen bin):

Grundlegende FW-Rules fürs surfen (auch hier versteh ich wieder nicht, wie ohne diese Settings gestern überhaupt eine Seite geladen hat):

10.10.10.4 hab ich mittlerweile auch identifiziert, dass ist mein W-Lan Repeater im Wohnzimmer. Im Reiter Network Protection/Firewall/ICMP sieht es aktuell so aus:

Muss zu meiner Schande gestehen, dass ich mich mit dem ICMP kaum auskenne. Ein Protokoll für Fehlermeldungen, das wars dann leider schon mit meinem Latein.

Was ausserdem noch bleibt:

• Gerade hat mein Schatz nen alten Notebook ausgegraben. Der hat sich doch, dreist wie er is, ne alte FritzBox-IP geholt (192.168.178.XX) statt der 10.10.10.XX. Dynamic IP via DHCP war am Client an und das Gerät war der FritzBox auch nicht mehr bekannt. Wieso hat sich das blöde Ding dann doch wieder ne alte IP gekrallt? Ein Rätsel, das ich gern noch durchdringen würde.
• UE Smartradio (Logitech Squeezebox, WLAN) geht nicht, scheitert am Ping zu uesmartradio.com. FW meldet "Default DROP ICMP 10.10.10.28(Radio) → 54.78.37.234(Uesmartradio.com)". Das wäre vermutlich nen Thema für nen eigenen Thread ("FW Config für Anfänger"), aber ich vermute, es hängt wieder mit dem ICMP zusammen.

Ich muss gestehen, dieses "Projekt" ist hier und dar ne anstrengende Kiste, aber bislang obsiegt Ehrgeiz, Neugier und Spaß. Danke dir Walter für den kontinuierlichen Support, weiß ich sehr zu schätzen.

Grüße Chris...und Feierabend :)

Okay, das mit den W-Lan Clients leuchtet ein. Kann sie einzeln oder in Gruppen mit den entsprechenden Rechten ausstatten (oder eben nicht). Damit kann ich gut leben und auf eine zweite SSID oder separates Netz verzichten.

Neue Lesson learned: Einstellungen in der UTM greifen unter Umständen nicht sofort und manchmal scheint mir der Brotkasten oben drein recht "launisch" zu sein. Soll heissen, nachdem gestern Abend alles lief, lief es heute morgen nicht mehr. Ohne Änderung am System (jaja...das sagen sie immer [8-|]). Will hier aber ein "das Problem saß vor dem Monitor" nicht ganz ausschliessen...

Heute musste ich folgende Einstellungen nachziehen, damit alles wie gewohnt funktioniert:

Masquerading für das neue Netz (erscheint mir jetzt auch logisch...mir ist aber schleierhaft wie ich ohne diese Einstellung gestern überhaupt mit einem mobilen Endgerät rausgekommen bin):

Grundlegende FW-Rules fürs surfen (auch hier versteh ich wieder nicht, wie ohne diese Settings gestern überhaupt eine Seite geladen hat):

10.10.10.4 hab ich mittlerweile auch identifiziert, dass ist mein W-Lan Repeater im Wohnzimmer. Im Reiter Network Protection/Firewall/ICMP sieht es aktuell so aus:

Muss zu meiner Schande gestehen, dass ich mich mit dem ICMP kaum auskenne. Ein Protokoll für Fehlermeldungen, das wars dann leider schon mit meinem Latein.

Was ausserdem noch bleibt:

• Gerade hat mein Schatz nen alten Notebook ausgegraben. Der hat sich doch, dreist wie er is, ne alte FritzBox-IP geholt (192.168.178.XX) statt der 10.10.10.XX. Dynamic IP via DHCP war am Client an und das Gerät war der FritzBox auch nicht mehr bekannt. Wieso hat sich das blöde Ding dann doch wieder ne alte IP gekrallt? Ein Rätsel, das ich gern noch durchdringen würde.
• UE Smartradio (Logitech Squeezebox, WLAN) geht nicht, scheitert am Ping zu uesmartradio.com. FW meldet "Default DROP ICMP 10.10.10.28(Radio) → 54.78.37.234(Uesmartradio.com)". Das wäre vermutlich nen Thema für nen eigenen Thread ("FW Config für Anfänger"), aber ich vermute, es hängt wieder mit dem ICMP zusammen.

Ich muss gestehen, dieses "Projekt" ist hier und dar ne anstrengende Kiste, aber bislang obsiegt Ehrgeiz, Neugier und Spaß. Danke dir Walter für den kontinuierlichen Support, weiß ich sehr zu schätzen.

Grüße Chris...und Feierabend :)

Hallo Chris,

es gibt so viele Stellschräubchen. Da muss man sich halt mal durchbeissen.

Das mit dem Masquerading ist klar. Die Firewall-Rules sind zum Teil nicht notwendig.
Du hast doch den Geräten per DHCP die UTM als DNS-Server zugeteilt und dann in den Allowed Networks Dein Netz eingetragen. Dann brauchts Du keine Regel nach 'Any' mehr.
WebSurfen kannst Du ohne Regel, wenn Du den Proxy einstellst.

Ich bin kein DHCP-Guru, aber ich weiß, dass sich Geräte die letzte vergebene IP in einem Netzwerk merken und einen Request nach dieser IP starten. Dass die Fritzbox die aber wieder bestätigt hat, nachdem DHCP abgeschaltet war, kann ich mir auch nicht erklären.

Wenn Dein Radio ICMP zum Server braucht, dann lass doch einmal ICMP durch das Gateway zu. Du kannst es ja beobachten.

Weiterhin viel Spass. Die Abende im Winter sind lang.

Moin Walter,

schade, dass sich an unserem Gespräch keiner beteiligen möchte, aber ich finde, wir schlagen uns auch ganz gut :).

Das mit der "widerspänstigen IP" konnte ich lösen: Erst bekanntes Gerät in der FB löschen, dann feste IP im Laptop vergeben (10.10.10.XX) und connecten. Danach kann man die dynamische IP am Laptop wieder anschalten, holt dann auch einer 10er IP. Keine Ahnung, wo er die alte IP noch gespeichert hatte. Achja, ein "ipconfig /release" und ein "ipconfig /renew" kann evtl. auch helfen.

Im Moment läuft alles, aber ein paar Sachen sind mir noch nicht ganz klar und da würde ich mich sehr über ein paar Hinweise freuen:

1) Welche Regeln sind in der Firewall nicht notwendig und warum? Wenn ich dich richtig verstanden habe, "ersetzt" die Web Protection manche http-Freigaben, richtig? Ich glaub, hier komm ich nicht ganz mit.

2) Spräche etwas dagegen, wenn ich dem external WAN gleich die 10.10.10.1 zuweise (statt einer Additional Address)?

3) 10.10.10.XX-IPs sind Klasse A Netze. Sollte ich da nicht eher die Subnetz-Maske 255.0.0.0 verwenden? (https://de.wikipedia.org/wiki/Netzklasse, Google war hier mein Freund)

Danke vorab und einen guten Start ins Wochenende,

Chris

Hallo Chris,

schön, dass es langsam vorwärts geht und nur noch an den Feinheiten gebügelt werden muss.

zu 1:
Das mit der DNS-Regel habe ich schon beschrieben.
Wenn Du den Web-Proxy auf 'Standard' stellst und bei allen Geräten den Proxy, kannst Du auf diese Regel verzichten, da der gesamte Verkehr über den Proxy läuft. Ist Ansichtssache und nicht unbedingt notwendig.

zu 2:
Ja, da dann die UTM nicht weiß,wie sie nach aussen kommen soll. Denn sie hat kein Bein im 192.168.178.x-Netz.
Mit der Additional Address spart man sich ein zweites Kabel, das sonst die UTM mit der Fritzbox verbinden müsste.

zu 3:
Es ist klar, dass 10.xx.xx.xx ein Klasse A Netz ist und Du wirst nie so viele Clients haben um es zu füllen. Ich habe es für dieses Beispiel genommen, da es ein privates Netz ist, das man auch kleiner verwenden darf. Wichtig war mir der deutliche Unterschied der Netze, denn ich habe hier oft erlebt, das ellenlange Diskussionen geführt wurden, weil einer 192.168.13.xx geschrieben hat und der nächste 192.168.12.xx gelesen hat.

Es steht jedem frei, sich aus dieser Diskussion die Anregungen zu holen, aber für die eigenen Bedürfnisse ganz andere Netzwerke zu verwenden.  Besonders empfehlen würde ich, das 192.168.178.xx-Netz zu ändern, denn das ist das Standardnetz aller Fritzboxen und wäre jedem Angreifer sofort bekannt.

Auch Dir ein schönes Wochenende.

Hallo ihr zwei,

Ich hoffe man darf sich noch beteiligen... ;-)

Wenn ihr das Netz der Fritzbox auf /30 ändert würde es nur die FB und die UTM erlauben, wäre eventuell auch noch eine Möglichkeit, die Angriffsfläche zu verkleinern. Ich habe prinzipiell eine ähnliche Konfiguration laufen, eine FB Cable, dahinter die UTM als Exposed Host.

Im Moment noch eigene Netze und WLAN sowohl über die Fritz (Keller) als auch die Sophos laufen (OG, 1 AP15). Die Idee mit der additional Address auf dem WAN Interface finde ich klasse, muss man erst mal drauf kommen. Was das Thema Masquerading betrifft kommt man auch ohne aus. In Richtung Internet macht es die Fritzbox ohnehin, exposed host heißt ja nur 'leite Any from Any zur angegebenen IP durch', ausgehend bleibt alles beim Alten. Das ginge nur im Bridge Mode der Fritzbox, aber den deaktiviert mein Provider leider. Ist Bridge Modus aktiv hat die Box u.U. zwei externe IPs, zuletzt gesehen bei einem Kunden. Telefonie und Verwaltung der Box laufen über eine genatete IP, das Gerät am Bridgeport hatte in dem Fall die feste öffentliche IP bekommen.

Damit die Fritzbox routingtechnisch mit den auf der Sophos verwalteten Netzen klar kommt braucht man auf ihr nur statische Routen definieren, die die internen Netze zur 'WAN-IP' der Sophos schicken. Dann kann man sich das Masquerading komplett sparen, denn das ist für ausgehende Pakete auch nichts anderes als NAT und dadurch hat man doppeltes NAT, (1: interne IP auf WAN-IP Der UTM, 2: WAN-IP der UTM auf WAN-IP der Fritzbox) was zumindest bei mir zu mehr Problemen geführt hatte, als ich mir vorher vorstellen konnte. Aufpassen muss man nur, wenn man später mal die IP der Fritzbox intern ändern will, ich hatte die dummerweise in mein echtes internes Netz gehangen ohne vorher die Routen zu löschen, das Gerät war dann nur noch Briefbeschwerer und musste getauscht werden.

Für die internen Netze würde auch der Webfilter im transparenten Modus reichen, in dem Modus macht die Sophos automatisch Proxy für die erlaubten Services und man muss den Proxy an den Endgeräten nicht extra einstellen. Der transparente Modus hat aber auch hier und da seine Tücken... Alternativ könnte man die Autoconfig der Web Protection nutzen, die URL der daraus entstehende WPAD.dat kann man wiederum per DHCP-Server der Sophos verteilen. Die Autoconfig hat den Vorteil, dass man die ganzen Ausnahmen für den Proxy zentral verwalten kann und nicht auf jedem Client jedes Mal was definieren muss.

Zum Thema Firewall-Regeln für's Surfen noch: die braucht man nur dann, wenn der Proxy nicht genutzt wird oder aber für Ausnahmen vom Proxy. Im Proxymodus geht der gesamte http-Traffic, der die Sophos passiert über ihre eigene IP, sich selbst blockt die Gute nicht, daher kann man firewalltechnisch einen Gang runter schalten.

Gruß

Kevin

Hi Chris,

Class A Netz bedeutet nur, welcher Teil der IP fix ist (die erste 10., bzw. Subnetzmaskentechnisch 255.). Was Du dann dahinter machst, ob Du wirklich eine /8 Maske eines Class A Netzes benutzt oder eine /24 oder noch kleiner, ist vollkommen Dir überlassen. Du kannst problemlos 10.123.45.0/24 als Dein internes Netz nehmen. Wichtig ist an der Stelle immer nur, dass Du keine Netze benutzt, die sich überschneiden oder unterschiedliche Subnetzmasken für z.B. den DHCP-Bereich und feste IPs, dann knallt es bei den Broadcasts und die Geräte erreichen sich u.U. nicht richtig.

Ob man nun die privaten Netze aus dem A, B oder C Class Bereich nutzt hängt an der Zahl der Netze und Geräte, die man braucht (C ist selbst für kleinere Firmen schnell 'ausgereizt') und ist für private Heimnetze primär meist eher eine Geschmacksfrage. Dem einen reicht 192.168.0.0/24 fürs LAN und 192.168.1.0/24 fürs Gastnetzwerk, andere wollen das als 10.1.0.0/24 und 10.0.0.0/24 nutzen. Was die Maske betrifft gibt es im Consumer-Bereich leider immer noch viele Geräte, die nur /24er Maske können, da hätte man mit einem größeren Netz u.U. schlechte Karten.

Gruß

Kevin

Hallo Kevin,

natürlich darfst Du Dich beteiligen. Ist hier sogar erwünscht ;-)

Deine Idee mit dem /30er-Netz ist nicht schlecht und schränkt die Angriffsmöglichkeiten weiter ein.

Zur Erklärung für nicht so netzwerkgeübte: Es gibt nur noch 2 gültige IP-Adressen in diesem Netzwerk. Wenn die Fritzbox die 192.168.178.1 behält, muss die UTM die 192.168.178.2 bekommen.

Die Routen zum Verhindern des Doppel-NAT sind auch nicht schlecht.

Wenn Du Screenshots von den Routen hier postest, dann machen wir hieraus noch ein kleines Howto für UTM-User mit Fritzbox

Hallo Walter,

die Idee mit dem HowTo ist grundsätzlich nicht schlecht, der Threadtitel verwirrt aber ein wenig. Vielleicht sollten wir das am Ende nochmal in ein komplett neues Thema übertragen, was wir an Infos zusammengetragen haben.

Anbei der Screenshot zu den statischen Routen, erreichbar über die erweiterte FB-Ansicht - Heimnetz - Heimnetzübersicht - Netzwerkeinstellungen - IPv4-Routen.

Kurz die Erklärung meiner IP-Adressen, da weit mehr als üblicherweise benötigt aufgeführt sind:
- 10.0.0.0/24 ist mein über die zusätzliche IP am WAN-Interface der Sophos verwaltetes Fritzbox-WLAN (im Keller)
- 10.0.2.0/24 ist mein Remote Access VPN-Netz (rein logisches Netz ohne Interface auf der Sophos)
- 10.0.4.0/24 ist mein Gast-WLAN (im OG), welches direkt über die Sophos verwaltet wird (Konfiguration "Separate Zone")
- 192.168.13.0/24 ist mein eigentliches LAN, worin sich auch der Sophos-Accesspoint befindet und noch das interne WLAN bereitstellt (Konfiguration "Bridge To AP LAN")
- 192.168.113.0/30 ist mein Transfernetz zwischen der UTM und der Fritzbox

Für die grundsätzliche Funktion wird hier nur das interne LAN (üblicherweise eth0 der Sophos) als Eintrag benötigt. Das Gateway für diese Route muss die WAN-IP der Sophos UTM sein (üblicherweise eth1).

Ich habe gestern eine relativ umfangreiche Umkonfiguration durchgeführt, um das FB-WLAN über die Sophos verwaltbar zu machen, bei der Gelegenheit habe ich nochmal geprüft, was passiert, wenn nur Masquerading und keine statische Route vorhanden ist (Web-Protection nicht aktiviert, brauchte also Firewall-Regel zum Surfen). Es gab in der Konstellation relativ viele FIN-ACK, bzw. RST-Meldungen im Live-Log der Network Protection und auch der Seitenaufbau war eher zäh.

Kleiner Hinweis noch zur Firewall. Aus Sicht des internen Netzes entspricht das Network Object "Internet IPv4" normalerweise externen Adressen im Internet. Da hier aber am externen Netz auch das FB-Netz anliegt kann jeder interne Client mit diesem Ziel auch auf das Fritzbox-Webinterface zugreifen. Um das zu umgehen legt man am besten Gruppen bei den Firewall Regeln an und verbietet den Zugriff, bzw. erlaubt diesen nur bestimmten Rechnern (statische IP oder DHCP-Reservierung nötig):

Besser sieht man es noch bei folgenden Regeln. Hätte ich die Regel #11 nicht vorgeschaltet hätte die Regel #12 grundsätzlich auch den Zugriff auf die Fritzbox erlaubt (natürlich vorausgesetzt die aus dem vorherigen Screenshot gäbe es nicht). "Internet IPv4" betrifft von der Logik her grundsätzlich alles, was hinter dem Interface mit dem Default Gateway kommt, in der hier diskutierten Konstellation also auch die Fritzbox... was beim ohnehin eingeschränkten Gastnetz natürlich überhaupt nicht gewollt ist.

Ich muss mich nochmal korrigieren... die Verwendung eines /30 Netzes ist nicht zu empfehlen!

Hintergrund ist ein Automatismus der Fritzbox bzgl. dem eigenen NAS und der automatischen Bindung an die .254, bzw. die letztmögliche nutzbare IP Adresse.

Das hatte bei mir dann zur Folge, dass 'Exposed Host' nicht mehr funktionierte oder sich einrichten ließ. 'Ungültige Regel' meinte die Fritte dazu nur noch.

Hat sich auch nicht mehr geändert als ich auf /24 zurück bin, war sehr strange das Ganze. Hab die Box zurückgesetzt und neu eingerichtet, diesmal mit /29er Netz und da funktioniert alles wieder wie gewollt.

Ob das Zufall war oder reproduzierbar ist mag ich grad nicht testen. Aber wenn dem so sein sollte kann man sich das Ändern der Subnetzmaske im Transfernetz zur Fritzbox auch ganz schenken, da im /29er außer Fritz und Sophos noch 2 IPS frei sind...

Guten Abend die Herren!

Ich hoffe ich habe bald wieder mehr Luft, der UTM zu widmen. Verfolge aber den Thread mit großer Neugier :).

Die Routing-Idee von Kevin klingt für mich plausibel, allerdings nur für das W-Lan Netz. Wozu brauche ich ein extra Routing von der FB auf die UTM? Übernimmt das nicht quasi der Exposed Host?

Aktuell kämpfe ich noch sehr mit langsamen, verpixelten und manchmal gar nicht startenden Video-Streams (Netflix; Amazon Prime) und gelegentlichen DNS Problemen (beim surfen wird "plötzlich" ein Host nicht aufgelöst). Mein nächstes ToDo, von dem ich mir eine Verbesserung erhoffe, ist das hier: https://community.sophos.com/products/unified-threat-management/f/management-networking-logging-and-reporting/32566/solved-dns-best-practice

Melde mich wieder :) Und ja, bin auch stark für ein "HowTo" am Ende, unterstütze auch gerne.

Grüße und gute Rest-Woche

Chris

Hi Chris,

auf der Fritzbox an die Sophos routen musst Du alle über die Sophos verwalteten Netze, vorausgesetzt Du deaktivierst Masquerading auf der Sophos komplett. Exposed Host ist prinzipiell nur eine Firewall-Regel auf der Fritzbox (Allow Any from Any to Any), kombiniert mit einem DNAT (For Any Connection to WAN-IP Fritzbox change Destination to WAN-IP UTM). Würde die Fritzbox im Bridged Mode laufen und die UTM hinge an dem entsprechend konfigurierten Port sähe das Ganze etwas anders aus. Da steht das WAN Interface der Sophos wirklich auf der öffentlichen IP und ohne Masquerading in Richtung Internet würde nichts laufen. Leider deaktiviert mein Provider den Bridge Mode in Privattarifen und bietet ihn nur im Businesstarif an.

Hast Du aber Masquerading in der Exposed Host Config zusätzlich an wird eine Verbindung aus dem LAN erst auf die WAN-IP der Sophos ge-SNATed und dann auf der Fritzbox nochmal vom internen Netz in Richtung Internet. Das wäre doppeltes NAT und das würde ich wie gesagt wo es geht vermeiden.

Deaktiviere ich aber einfach das Masquerading ohne Routen auf der Fritzbox kommen dort Pakete aus dem LAN hinter der Sophos an und die Fritzbox kennt diese IP gar nicht, da am WAN der Sophos ja eine IP aus dem LAN der Fritzbox konfiguriert ist. Damit die Fritzbox Verbindungen mit einer IP aus einem Netz, welches über die Sophos verwaltet ist, verarbeiten kann muss jedes IP-Netz zurückgeroutet werden.

In der von Walter angeregten Fritzbox-WLAN Geschichte also einmal das Netz, welches auf der Additional IP des Sophos WAN-Interfaces hängt und zusätzlich das interne LAN hinter der Sophos. Bei mir sind es 4 Netze, weil ich SSL-VPN eingehend nutze und noch ein separate Zone WLAN auf der Sophos laufen habe.

Gruß

Kevin