This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Eigenen AP (Raspberry Pi 3) durch Sophos UTM schützen (Update: Sophos UTM und FB 7490 - So gehts)

Moin moin!

Ich steh gerade auf der Leitung und brauche dringend Hilfe. Die Suche hab ich mehrfach bemüht, bin aber leider nicht wirklich schlauer geworden.


Vielleicht zunächst kurz, was ich vor habe:


Fritz!Box 7490 --> (WAN) --> UTM --> (LAN) --> Switch mit Desktop-PC, NAS, Raspberry Pi 3 als AP

Mein grundsätzliches Problem war und ist, dass ich auf die Fritzbox wegen VoIP-Telefonie nicht verzichten kann. Daher war meine Idee, einfach alle relevanten Geräte hinter die UTM (welche wiederum hinter der FB hängt) zu klemmen. Von meinem laienhaften Verständnis her müssten die "bösen Buben" dann erst mal durch die Fritzbox und dann noch durch die UTM. Das heisst aber konsequenterweise auch, dass ich die FB nicht länger als W-Lan Router benutzen kann, sondern hinter der UTM einen Access Point einrichten muss.

Mit ist klar, dass die einfachste Lösung ein AP aus dem Hause Sophos wäre (soweit kam ich schon mal durch die Suche), allerdings ist mir das im Moment zu teuer. Daher, als eingefleischter Maker, dacht ich mir, bau ich mir selbst einen: https://frillip.com/using-your-raspberry-pi-3-as-a-wifi-access-point-with-hostapd/

Kurzum:
Mein Raspberry fungiert aktuell als AP und verteilt fleissig im eigenen Netz IPs via DHCP. Dank NAT von wlan0 auf eth0 funktioniert das hinter der UTM prima. eth0 hat eine IP aus dem DHCP-Pool des internen Interfaces der UTM, wlan0 eine eigene in einem neuen Subnetz.

Das heisst aber auch, dass in der UTM nur eth0 des AP als neues Gerät auftaucht, nicht aber die mit dem AP verbundenen Geräte. Und genau das ist das Problem.

Wie genau muss ich die UTM bzw. meinen AP konfigurieren, damit ich die mit dem AP verbundenen Geräte mit eigenen Filtern versorgen kann (so möchte ich z.B., dass meine IoTs nur an eine IP funken dürfen, aber das Smartphone der Freundin alles darf) und sich gleichzeitig die ganze Chose in einem separaten Netz abspielt (damit die bösen Buben nicht mein WPA2 hacken und dann gleich in meinem LAN sind).

Geht das überhaupt?

Vielen Dank für eure Zeit vorab,

ein frustrierter Bastler



This thread was automatically locked due to age.
Parents
  • Hallo Chris,

    wegen Umstellung auf All-IP habe ich seit kurzem auch eine FB7490. (Vorher hat die UTM die Einwahl gemacht und 2 AP10 sorgten für WLAN)

    Jetzt macht die Fritzbox die Einwahl und reicht alles über Exposed Host an die UTM weiter. DHCP auf der FB ist ausgeschaltet.

    WAN -- Fritzbox -- LAN1 (192.168.168.1) ---- EXT (192.168.178.10 fest) -- UTM

    Auf der UTM wurde eine zusätzliche Adresse auf das externe Interface gelegt:
    Additional Address on Interface EXTERNAL mit 10.10.10.1 genannt FritzboxWLAN. Für dieses Netzwerk wurde DHCP eingerichtet.

    Meldet sich jetzt ein Gerät an der Fritzbox an (entweder LAN oder WLAN) bekommt es eine IP-Adresse aus dem 10.10.10.x-Raum und als Gateway die 10.10.10.1.

    Somit läuft der ganze Traffic über die UTM und Du kannst die Geräte so fein verwalten wie Du willst. Es ist ein eigenes Subnetz der UTM mit allen Möglichkeiten.

     

    cu
    Walter

  • Moin Walter,

    danke schon mal! Ein paar Fragen hätt ich da noch...

    1) Die FB als Exposed Host wurde in anderen Beiträgen hier als Sicherheitsrisiko eingestuft, da dadurch jeder, der an der FB vorbei kommt, sofort in deinem lokalen LAN landet. Wie schätzt du das Risiko ein?

    2) Deinen Aufbau versteh ich im Moment noch nicht ganz. Ich hab dich so verstanden: Kabel aus LAN1 (FB) auf NIC der UTM (External WAN) mit fester IP aus dem FB-Netz (192.168.178.10). Dann Kabel aus zweitem NIC der UTM ins interne (Internal) Netz (Switch, PC, whatever) mit neuen Subnetz (192.168.168.1). Dann zusätzliches Interface auf das external WAN-NIC gelegt, mit ganz neuem Netz und eigenem DHCP (10.10.10.1). Wenn ich dich bis hierhin richtig verstanden habe, ergeben sich für mich zwei Fragen: Wie gibst du dem externen Interface zwei IPs? Das geht nur via Ethernet VLAN, oder? Und zweite Frage: Kann ich dann meinen internen DHCP für das Netz hinter der UTM weiterlaufen lassen?

    3) Verschiedene SSIDs/separate Netze lassen sich mit deiner Methode aber nicht realisieren, oder?

    Gerade wegen Punkt drei bin ich ja fast am überlegen, ob ich mir einfach ein paar mehr APs bastle, Raspberrys liegen hier genug rum :). Damit wäre auch das Eingangs skizzierte Problem gelöst. Statt einzelnen Rules für die angeschlossenen Geräte hätt ich dann für jedes Gerät nen eigenen AP...gut, zugegeben, effizient is was anderes :).

    Letzte Frage: Die Eintragung als Exposed Host brauch ich doch NUR, wenn Geräte, die direkt über die Fritzbox connecten, auch hinter die UTM wandern sollen, oder? So wie ich es jetzt habe, hängt ja schon alles hinter der FB (komplettes Heim-LAN).

     

    Vielen Dank für deine/eure Zeit,

    Gruß, 

    der Bastler mit Lichtblick

  • Okay, das mit den W-Lan Clients leuchtet ein. Kann sie einzeln oder in Gruppen mit den entsprechenden Rechten ausstatten (oder eben nicht). Damit kann ich gut leben und auf eine zweite SSID oder separates Netz verzichten.

    Neue Lesson learned: Einstellungen in der UTM greifen unter Umständen nicht sofort und manchmal scheint mir der Brotkasten oben drein recht "launisch" zu sein. Soll heissen, nachdem gestern Abend alles lief, lief es heute morgen nicht mehr. Ohne Änderung am System (jaja...das sagen sie immer [8-|]). Will hier aber ein "das Problem saß vor dem Monitor" nicht ganz ausschliessen...

    Heute musste ich folgende Einstellungen nachziehen, damit alles wie gewohnt funktioniert:

    Masquerading für das neue Netz (erscheint mir jetzt auch logisch...mir ist aber schleierhaft wie ich ohne diese Einstellung gestern überhaupt mit einem mobilen Endgerät rausgekommen bin):

    Grundlegende FW-Rules fürs surfen (auch hier versteh ich wieder nicht, wie ohne diese Settings gestern überhaupt eine Seite geladen hat):

     

    10.10.10.4 hab ich mittlerweile auch identifiziert, dass ist mein W-Lan Repeater im Wohnzimmer. Im Reiter Network Protection/Firewall/ICMP sieht es aktuell so aus:

    Muss zu meiner Schande gestehen, dass ich mich mit dem ICMP kaum auskenne. Ein Protokoll für Fehlermeldungen, das wars dann leider schon mit meinem Latein.

     

    Was ausserdem noch bleibt:

    • Gerade hat mein Schatz nen alten Notebook ausgegraben. Der hat sich doch, dreist wie er is, ne alte FritzBox-IP geholt (192.168.178.XX) statt der 10.10.10.XX. Dynamic IP via DHCP war am Client an und das Gerät war der FritzBox auch nicht mehr bekannt. Wieso hat sich das blöde Ding dann doch wieder ne alte IP gekrallt? Ein Rätsel, das ich gern noch durchdringen würde.
    • UE Smartradio (Logitech Squeezebox, WLAN) geht nicht, scheitert am Ping zu uesmartradio.com. FW meldet "Default DROP ICMP 10.10.10.28(Radio) → 54.78.37.234(Uesmartradio.com)". Das wäre vermutlich nen Thema für nen eigenen Thread ("FW Config für Anfänger"), aber ich vermute, es hängt wieder mit dem ICMP zusammen.

    Ich muss gestehen, dieses "Projekt" ist hier und dar ne anstrengende Kiste, aber bislang obsiegt Ehrgeiz, Neugier und Spaß. Danke dir Walter für den kontinuierlichen Support, weiß ich sehr zu schätzen.

     

    Grüße Chris...und Feierabend :)

  • Hallo Chris,

    es gibt so viele Stellschräubchen. Da muss man sich halt mal durchbeissen.

    Das mit dem Masquerading ist klar. Die Firewall-Rules sind zum Teil nicht notwendig.
    Du hast doch den Geräten per DHCP die UTM als DNS-Server zugeteilt und dann in den Allowed Networks Dein Netz eingetragen. Dann brauchts Du keine Regel nach 'Any' mehr.
    WebSurfen kannst Du ohne Regel, wenn Du den Proxy einstellst.

    Ich bin kein DHCP-Guru, aber ich weiß, dass sich Geräte die letzte vergebene IP in einem Netzwerk merken und einen Request nach dieser IP starten. Dass die Fritzbox die aber wieder bestätigt hat, nachdem DHCP abgeschaltet war, kann ich mir auch nicht erklären.

    Wenn Dein Radio ICMP zum Server braucht, dann lass doch einmal ICMP durch das Gateway zu. Du kannst es ja beobachten.

    Weiterhin viel Spass. Die Abende im Winter sind lang.

     

    cu
    Walter

  • Moin Walter,

    schade, dass sich an unserem Gespräch keiner beteiligen möchte, aber ich finde, wir schlagen uns auch ganz gut :).

    Das mit der "widerspänstigen IP" konnte ich lösen: Erst bekanntes Gerät in der FB löschen, dann feste IP im Laptop vergeben (10.10.10.XX) und connecten. Danach kann man die dynamische IP am Laptop wieder anschalten, holt dann auch einer 10er IP. Keine Ahnung, wo er die alte IP noch gespeichert hatte. Achja, ein "ipconfig /release" und ein "ipconfig /renew" kann evtl. auch helfen.

    Im Moment läuft alles, aber ein paar Sachen sind mir noch nicht ganz klar und da würde ich mich sehr über ein paar Hinweise freuen:

    1) Welche Regeln sind in der Firewall nicht notwendig und warum? Wenn ich dich richtig verstanden habe, "ersetzt" die Web Protection manche http-Freigaben, richtig? Ich glaub, hier komm ich nicht ganz mit.

    2) Spräche etwas dagegen, wenn ich dem external WAN gleich die 10.10.10.1 zuweise (statt einer Additional Address)?

    3) 10.10.10.XX-IPs sind Klasse A Netze. Sollte ich da nicht eher die Subnetz-Maske 255.0.0.0 verwenden? (https://de.wikipedia.org/wiki/Netzklasse, Google war hier mein Freund)

    Danke vorab und einen guten Start ins Wochenende,

    Chris

  • Hallo Chris,

    schön, dass es langsam vorwärts geht und nur noch an den Feinheiten gebügelt werden muss.

    zu 1:
    Das mit der DNS-Regel habe ich schon beschrieben.
    Wenn Du den Web-Proxy auf 'Standard' stellst und bei allen Geräten den Proxy, kannst Du auf diese Regel verzichten, da der gesamte Verkehr über den Proxy läuft. Ist Ansichtssache und nicht unbedingt notwendig.

    zu 2:
    Ja, da dann die UTM nicht weiß,wie sie nach aussen kommen soll. Denn sie hat kein Bein im 192.168.178.x-Netz.
    Mit der Additional Address spart man sich ein zweites Kabel, das sonst die UTM mit der Fritzbox verbinden müsste.

    zu 3:
    Es ist klar, dass 10.xx.xx.xx ein Klasse A Netz ist und Du wirst nie so viele Clients haben um es zu füllen. Ich habe es für dieses Beispiel genommen, da es ein privates Netz ist, das man auch kleiner verwenden darf. Wichtig war mir der deutliche Unterschied der Netze, denn ich habe hier oft erlebt, das ellenlange Diskussionen geführt wurden, weil einer 192.168.13.xx geschrieben hat und der nächste 192.168.12.xx gelesen hat.

    Es steht jedem frei, sich aus dieser Diskussion die Anregungen zu holen, aber für die eigenen Bedürfnisse ganz andere Netzwerke zu verwenden.  Besonders empfehlen würde ich, das 192.168.178.xx-Netz zu ändern, denn das ist das Standardnetz aller Fritzboxen und wäre jedem Angreifer sofort bekannt.

    Auch Dir ein schönes Wochenende.

    cu
    Walter

  • Hallo ihr zwei,

    Ich hoffe man darf sich noch beteiligen... ;-)

    Wenn ihr das Netz der Fritzbox auf /30 ändert würde es nur die FB und die UTM erlauben, wäre eventuell auch noch eine Möglichkeit, die Angriffsfläche zu verkleinern. Ich habe prinzipiell eine ähnliche Konfiguration laufen, eine FB Cable, dahinter die UTM als Exposed Host.

    Im Moment noch eigene Netze und WLAN sowohl über die Fritz (Keller) als auch die Sophos laufen (OG, 1 AP15). Die Idee mit der additional Address auf dem WAN Interface finde ich klasse, muss man erst mal drauf kommen. Was das Thema Masquerading betrifft kommt man auch ohne aus. In Richtung Internet macht es die Fritzbox ohnehin, exposed host heißt ja nur 'leite Any from Any zur angegebenen IP durch', ausgehend bleibt alles beim Alten. Das ginge nur im Bridge Mode der Fritzbox, aber den deaktiviert mein Provider leider. Ist Bridge Modus aktiv hat die Box u.U. zwei externe IPs, zuletzt gesehen bei einem Kunden. Telefonie und Verwaltung der Box laufen über eine genatete IP, das Gerät am Bridgeport hatte in dem Fall die feste öffentliche IP bekommen.

    Damit die Fritzbox routingtechnisch mit den auf der Sophos verwalteten Netzen klar kommt braucht man auf ihr nur statische Routen definieren, die die internen Netze zur 'WAN-IP' der Sophos schicken. Dann kann man sich das Masquerading komplett sparen, denn das ist für ausgehende Pakete auch nichts anderes als NAT und dadurch hat man doppeltes NAT, (1: interne IP auf WAN-IP Der UTM, 2: WAN-IP der UTM auf WAN-IP der Fritzbox) was zumindest bei mir zu mehr Problemen geführt hatte, als ich mir vorher vorstellen konnte. Aufpassen muss man nur, wenn man später mal die IP der Fritzbox intern ändern will, ich hatte die dummerweise in mein echtes internes Netz gehangen ohne vorher die Routen zu löschen, das Gerät war dann nur noch Briefbeschwerer und musste getauscht werden.

    Für die internen Netze würde auch der Webfilter im transparenten Modus reichen, in dem Modus macht die Sophos automatisch Proxy für die erlaubten Services und man muss den Proxy an den Endgeräten nicht extra einstellen. Der transparente Modus hat aber auch hier und da seine Tücken... Alternativ könnte man die Autoconfig der Web Protection nutzen, die URL der daraus entstehende WPAD.dat kann man wiederum per DHCP-Server der Sophos verteilen. Die Autoconfig hat den Vorteil, dass man die ganzen Ausnahmen für den Proxy zentral verwalten kann und nicht auf jedem Client jedes Mal was definieren muss.

    Zum Thema Firewall-Regeln für's Surfen noch: die braucht man nur dann, wenn der Proxy nicht genutzt wird oder aber für Ausnahmen vom Proxy. Im Proxymodus geht der gesamte http-Traffic, der die Sophos passiert über ihre eigene IP, sich selbst blockt die Gute nicht, daher kann man firewalltechnisch einen Gang runter schalten.

    Gruß

    Kevin

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Hi Chris,

    Class A Netz bedeutet nur, welcher Teil der IP fix ist (die erste 10., bzw. Subnetzmaskentechnisch 255.). Was Du dann dahinter machst, ob Du wirklich eine /8 Maske eines Class A Netzes benutzt oder eine /24 oder noch kleiner, ist vollkommen Dir überlassen. Du kannst problemlos 10.123.45.0/24 als Dein internes Netz nehmen. Wichtig ist an der Stelle immer nur, dass Du keine Netze benutzt, die sich überschneiden oder unterschiedliche Subnetzmasken für z.B. den DHCP-Bereich und feste IPs, dann knallt es bei den Broadcasts und die Geräte erreichen sich u.U. nicht richtig.

    Ob man nun die privaten Netze aus dem A, B oder C Class Bereich nutzt hängt an der Zahl der Netze und Geräte, die man braucht (C ist selbst für kleinere Firmen schnell 'ausgereizt') und ist für private Heimnetze primär meist eher eine Geschmacksfrage. Dem einen reicht 192.168.0.0/24 fürs LAN und 192.168.1.0/24 fürs Gastnetzwerk, andere wollen das als 10.1.0.0/24 und 10.0.0.0/24 nutzen. Was die Maske betrifft gibt es im Consumer-Bereich leider immer noch viele Geräte, die nur /24er Maske können, da hätte man mit einem größeren Netz u.U. schlechte Karten.

    Gruß

    Kevin

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Hallo Kevin,

    natürlich darfst Du Dich beteiligen. Ist hier sogar erwünscht ;-)

    Deine Idee mit dem /30er-Netz ist nicht schlecht und schränkt die Angriffsmöglichkeiten weiter ein.

    Zur Erklärung für nicht so netzwerkgeübte: Es gibt nur noch 2 gültige IP-Adressen in diesem Netzwerk. Wenn die Fritzbox die 192.168.178.1 behält, muss die UTM die 192.168.178.2 bekommen.

    Die Routen zum Verhindern des Doppel-NAT sind auch nicht schlecht.

    Wenn Du Screenshots von den Routen hier postest, dann machen wir hieraus noch ein kleines Howto für UTM-User mit Fritzbox

    cu
    Walter

  • Hallo Walter,

    die Idee mit dem HowTo ist grundsätzlich nicht schlecht, der Threadtitel verwirrt aber ein wenig. Vielleicht sollten wir das am Ende nochmal in ein komplett neues Thema übertragen, was wir an Infos zusammengetragen haben.

    Anbei der Screenshot zu den statischen Routen, erreichbar über die erweiterte FB-Ansicht - Heimnetz - Heimnetzübersicht - Netzwerkeinstellungen - IPv4-Routen.

    Kurz die Erklärung meiner IP-Adressen, da weit mehr als üblicherweise benötigt aufgeführt sind:
    - 10.0.0.0/24 ist mein über die zusätzliche IP am WAN-Interface der Sophos verwaltetes Fritzbox-WLAN (im Keller)
    - 10.0.2.0/24 ist mein Remote Access VPN-Netz (rein logisches Netz ohne Interface auf der Sophos)
    - 10.0.4.0/24 ist mein Gast-WLAN (im OG), welches direkt über die Sophos verwaltet wird (Konfiguration "Separate Zone")
    - 192.168.13.0/24 ist mein eigentliches LAN, worin sich auch der Sophos-Accesspoint befindet und noch das interne WLAN bereitstellt (Konfiguration "Bridge To AP LAN")
    - 192.168.113.0/30 ist mein Transfernetz zwischen der UTM und der Fritzbox

    Für die grundsätzliche Funktion wird hier nur das interne LAN (üblicherweise eth0 der Sophos) als Eintrag benötigt. Das Gateway für diese Route muss die WAN-IP der Sophos UTM sein (üblicherweise eth1).

     

    Ich habe gestern eine relativ umfangreiche Umkonfiguration durchgeführt, um das FB-WLAN über die Sophos verwaltbar zu machen, bei der Gelegenheit habe ich nochmal geprüft, was passiert, wenn nur Masquerading und keine statische Route vorhanden ist (Web-Protection nicht aktiviert, brauchte also Firewall-Regel zum Surfen). Es gab in der Konstellation relativ viele FIN-ACK, bzw. RST-Meldungen im Live-Log der Network Protection und auch der Seitenaufbau war eher zäh.

    Kleiner Hinweis noch zur Firewall. Aus Sicht des internen Netzes entspricht das Network Object "Internet IPv4" normalerweise externen Adressen im Internet. Da hier aber am externen Netz auch das FB-Netz anliegt kann jeder interne Client mit diesem Ziel auch auf das Fritzbox-Webinterface zugreifen. Um das zu umgehen legt man am besten Gruppen bei den Firewall Regeln an und verbietet den Zugriff, bzw. erlaubt diesen nur bestimmten Rechnern (statische IP oder DHCP-Reservierung nötig):

    Besser sieht man es noch bei folgenden Regeln. Hätte ich die Regel #11 nicht vorgeschaltet hätte die Regel #12 grundsätzlich auch den Zugriff auf die Fritzbox erlaubt (natürlich vorausgesetzt die aus dem vorherigen Screenshot gäbe es nicht). "Internet IPv4" betrifft von der Logik her grundsätzlich alles, was hinter dem Interface mit dem Default Gateway kommt, in der hier diskutierten Konstellation also auch die Fritzbox... was beim ohnehin eingeschränkten Gastnetz natürlich überhaupt nicht gewollt ist.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Ich muss mich nochmal korrigieren... die Verwendung eines /30 Netzes ist nicht zu empfehlen!

    Hintergrund ist ein Automatismus der Fritzbox bzgl. dem eigenen NAS und der automatischen Bindung an die .254, bzw. die letztmögliche nutzbare IP Adresse.

    Das hatte bei mir dann zur Folge, dass 'Exposed Host' nicht mehr funktionierte oder sich einrichten ließ. 'Ungültige Regel' meinte die Fritte dazu nur noch.

    Hat sich auch nicht mehr geändert als ich auf /24 zurück bin, war sehr strange das Ganze. Hab die Box zurückgesetzt und neu eingerichtet, diesmal mit /29er Netz und da funktioniert alles wieder wie gewollt.

    Ob das Zufall war oder reproduzierbar ist mag ich grad nicht testen. Aber wenn dem so sein sollte kann man sich das Ändern der Subnetzmaske im Transfernetz zur Fritzbox auch ganz schenken, da im /29er außer Fritz und Sophos noch 2 IPS frei sind...

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Guten Abend die Herren!

    Ich hoffe ich habe bald wieder mehr Luft, der UTM zu widmen. Verfolge aber den Thread mit großer Neugier :).

    Die Routing-Idee von Kevin klingt für mich plausibel, allerdings nur für das W-Lan Netz. Wozu brauche ich ein extra Routing von der FB auf die UTM? Übernimmt das nicht quasi der Exposed Host?

    Aktuell kämpfe ich noch sehr mit langsamen, verpixelten und manchmal gar nicht startenden Video-Streams (Netflix; Amazon Prime) und gelegentlichen DNS Problemen (beim surfen wird "plötzlich" ein Host nicht aufgelöst). Mein nächstes ToDo, von dem ich mir eine Verbesserung erhoffe, ist das hier: https://community.sophos.com/products/unified-threat-management/f/management-networking-logging-and-reporting/32566/solved-dns-best-practice

    Melde mich wieder :) Und ja, bin auch stark für ein "HowTo" am Ende, unterstütze auch gerne.

    Grüße und gute Rest-Woche

    Chris

Reply Children
  • Hi Chris,

    auf der Fritzbox an die Sophos routen musst Du alle über die Sophos verwalteten Netze, vorausgesetzt Du deaktivierst Masquerading auf der Sophos komplett. Exposed Host ist prinzipiell nur eine Firewall-Regel auf der Fritzbox (Allow Any from Any to Any), kombiniert mit einem DNAT (For Any Connection to WAN-IP Fritzbox change Destination to WAN-IP UTM). Würde die Fritzbox im Bridged Mode laufen und die UTM hinge an dem entsprechend konfigurierten Port sähe das Ganze etwas anders aus. Da steht das WAN Interface der Sophos wirklich auf der öffentlichen IP und ohne Masquerading in Richtung Internet würde nichts laufen. Leider deaktiviert mein Provider den Bridge Mode in Privattarifen und bietet ihn nur im Businesstarif an.

    Hast Du aber Masquerading in der Exposed Host Config zusätzlich an wird eine Verbindung aus dem LAN erst auf die WAN-IP der Sophos ge-SNATed und dann auf der Fritzbox nochmal vom internen Netz in Richtung Internet. Das wäre doppeltes NAT und das würde ich wie gesagt wo es geht vermeiden.

    Deaktiviere ich aber einfach das Masquerading ohne Routen auf der Fritzbox kommen dort Pakete aus dem LAN hinter der Sophos an und die Fritzbox kennt diese IP gar nicht, da am WAN der Sophos ja eine IP aus dem LAN der Fritzbox konfiguriert ist. Damit die Fritzbox Verbindungen mit einer IP aus einem Netz, welches über die Sophos verwaltet ist, verarbeiten kann muss jedes IP-Netz zurückgeroutet werden.

    In der von Walter angeregten Fritzbox-WLAN Geschichte also einmal das Netz, welches auf der Additional IP des Sophos WAN-Interfaces hängt und zusätzlich das interne LAN hinter der Sophos. Bei mir sind es 4 Netze, weil ich SSL-VPN eingehend nutze und noch ein separate Zone WLAN auf der Sophos laufen habe.

    Gruß

    Kevin

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Moin!

     

    Ganz komm ich noch nicht mit. Wenn ich dich richtig verstehe, brauchst du das Routing in der FB NUR, wenn du auf der UTM kein Masquerading machst. Hast du, so wie ich, Masquerading an, brauchts eigentlich auch kein dediziertes Routing an der FB. 

     

    Mir würde es sehr helfen, wenn du mir mal deine Masquerading-Regeln als Screenshot posten würdest.

     

    Anbei meine aktuelle Config der FB (mit Routing an die Secondary IP und Exposed Host auf die UTM) und meine Masquerading-Regeln.

     

    Gruß Chris

     

  • Hi Chris,

    mit diesen Masquerading Regeln brauchst Du keine Route setzen. Gesagt hast Du es falsch, aber richtig konfiguriert, die Route darf nicht zur secondary IP zeigen, denn die würde die Fritzbox ja nicht kennen. Screenshot meiner Masquerading Regeln erübrigt sich, da hat es keine ;-)

    In Deiner Config ist nun aber entweder die Route oder aber der zweite Masquerading Eintrag unnötig, beides brauchst Du nicht, entweder eine Route oder Masquerading für das jeweilige Netz.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Hi Chris,

    wie Dir Kevin schon sagte, Du musst das mit dem Routing nicht machen und kannst es beim Masquerading belassen.

    Das führt halt zum DoppelNAT. Das ist nicht schlimm, kann aber in machen Konstellationen zu Problemen führen. Darum hat Kevin die Möglichkeit aufgezeigt das DoppelNAT zu umgehen. Der Aufwand ist nicht groß.

    cu
    Walter

  • Etz hab ichs kaputt gemacht :)

     

    Wer will schon doppeltes NAT, also ich nicht...gesagt, getan. Erst mal die Routen in der FB angepasst:

    10.10.10.0 -> Secondary IP/Netz fürs W-Lan

    192.168.2.0 -> Internes Netz (LAN hinter der UTM; Internal)

    192.168.178.22 -> External WAN an der UTM (also FB -> UTM)

     

    Den Exposed Host gelassen wie er ist:

     

    Danach sämtliches Masquerading in der UTM abgeschalten. Zunächst ging alles...bis mir aufgefallen ist, dass meine beiden Squeezeboxen (Logitech Internet Radio) plötzlich nicht mehr wollen.

    Die Ursache glaube ich bereits gefunden zu haben:

    2017:03:06-21:52:10 firew_chris dhcpd: DHCPRELEASE of 10.10.10.28 from 00:XX:XX:XX:XX:XX via eth1 (not found)
    2017:03:06-21:52:17 firew_chris dhcpd: uid lease 10.10.10.12 for client 00:XX:XX:XX:XX:XX is duplicate on REF_IntEthExternaWan
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPDISCOVER from 00:XX:XX:XX:XX:XX via eth1
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPOFFER on 10.10.10.28 to 00:XX:XX:XX:XX:XX via eth1
    2017:03:06-21:52:17 firew_chris dhcpd: uid lease 10.10.10.12 for client 00:XX:XX:XX:XX:XX is duplicate on REF_IntEthExternaWan
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPREQUEST for 10.10.10.28 (192.168.178.22) from 000:XX:XX:XX:XX:XX via eth1
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPACK on 10.10.10.28 to 00:XX:XX:XX:XX:XX via eth1
    Die MAC hab ich entfremdet, ist jedes mal die Gleiche. Soweit ich diesen Log-Auszug des DHCP verstehe, konkurrieren hier zwei IPs um eine MAC. Die 10.10.10.28 ist die gewollte, via Static Mapping der Mac-Adresse zugewiesen und auch außerhalb des DHCP-Scopes. Woher die 10.10.10.12 kommt ist mir ein Rätsel (kommt aus dem DHCP-Pool). Gleiches Problem bei beiden Radios.
     
    Keine Ahnung, was das mit den neuen Routings zu tun haben könnte, aber diese waren nunmal die letzte Änderung an der UTM bevor an den Radios nix mehr ging. Ansonsten gabs nur noch nen kleines Firmware-Update vor ein paar Tagen.
     
    Hilfe!?! :)
     
    Gruß und vielen Dank
     
    Chris
  • Hi Chris,

    die Routen passen soweit, daran sollte es nicht scheitern. Die Sophos ist allerdings gerne etwas zickiger bei DHCP-Leases.

    Probier mal, deine Statischen Reservierungen noch mal zu löschen und stell dann den DHCP-Bereich für Dein WLAN so ein, dass Anfang und Ende identisch sind. Dadurch löschst Du alle Leases raus, löschen einzelner unterstützt der DHCP-Server leide noch nicht. Nach dem Speichern der Änderung gleich wieder bearbeiten und die alten Werte einstellen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Danke dir Kevin! Leider deinen Post ein paar Minuten zu spät gelesen:

    Nachdem die beiden Radios ausgefallen waren, quittierte auch noch der Chromecast die Arbeit. Hiernach habe ich mal alle Schritte rückwärts gemacht: Routen gelöscht und Masquerading wieder angeschmissen. Geht jetzt wieder alles.

    Werde dein Vorgehen die Tage testen, wenn die Göttergattin gerade keine Musik im Badezimmer braucht :).

  • Hast Du in der Konstellation auch einen Web Proxy aktiviert gehabt?

    Den würde ich zuerst mal ausschalten und erst, wenn  es grundsätzlich klappt wieder aktivieren.

    Interessant wäre auch, ob nur DNS nicht will und ob z.B. ein Ping auf eine externe IP wie 8.8.8.8 dennoch funktioniert. FQDN zu 8.8.8.8 ist google-public-dns-a.google.com für die Gegenprobe. Ping muss dann natürlich firewalltechnisch auch raus dürfen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner