xaero1982
Goto Top

Sophos SG135 - Routing

Moin Zusammen,

ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135.

Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.

Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.

Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.

Grüße und danke

Content-Key: 387450

Url: https://administrator.de/contentid/387450

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Pjordorf
Pjordorf 23.09.2018 um 17:03:14 Uhr
Goto Top
Hallo,

Zitat von @Xaero1982:
ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135.
Dir ist schon klar das eine Sophos SG 135 eine UTM ist, die auch Routen kann, DUAL Wan beherrschen kann usw. Die kann einiges mehr und oder anders und oder weniger als dein CISCO DualWAN Router.

Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Also ich greife mit einer Öffentlichen IP auf einer Öffentlichen IP von dir zu, du nimmst diese Anfrage entgegen und wilst diese IP an eine andere IP (Öffentlich, VPN, Intranet, DMZ) senden damit die dort geprüft wird ob die erlaubniss hat auf deine Öffentliche IP zuzugreifen (Odre get es um Dienste bei dir)?

Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.
Und dann frag dich einmal wer dann das Routing für dieses Szenario gemacht hat, wenn nichts dazu irgendwo Konfiguriert war.

Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.
Eigentlich genauso wie es vorher bei dir Konfiguriert war.

Gruß,
Peter
Mitglied: Xaero1982
Xaero1982 23.09.2018 um 17:09:52 Uhr
Goto Top
Hi,

ehm das ist mir klar?! Verstehe die Frage nicht um die es auch gar nicht geht?

Hä?
Wir benutzen bestimmte "Dienste", die aber nur genutzt werden können, wenn wir "von" unserer statischen IP kommen - da wir aber auch noch eine VDSL Leitung mit dynamischer IP haben, will ich sicher stellen und muss ich sicher stellen, dass dieser Dienst nur über die SDSL Leitung läuft, weil dort geprüft wird wer zugreift und nur bekannte - unsere SDSL IP - Zugriff bekommen.

Auf dem Cisco ist es konfiguriert und der fliegt raus und daher die Frage: Wie auf der Sophos?

Ich gehe auf static routing, erstelle eine neue Route,
Route Type: interface route
Network: das Ziel - die IP auf die zugegriffen werden soll
Interface: das SDSL Interface

Route aktiv - es geht nicht mal mehr ein Ping. Da die SDSL aktuell die primäre Leitung ist geht es zwar ohne die statische Route, aber ... ich würde gerne zur Sicherheit eine statische Route festlegen.

Wo ist also mein Denkfehler?

Grüße
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.09.2018 um 17:27:59 Uhr
Goto Top
Hallo,

vermutlich ist die Sophos nicht richtig konfiguriert. Kannst mir gerne schreiben, dann können wir das aus der Welt schaffen.

VG,

Christian
Mitglied: aqui
aqui 23.09.2018 aktualisiert um 17:53:27 Uhr
Goto Top
Die Formulierung...
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Ist recht unklar und verwirrt.
Die Frage die sich stellt ist ob du von außen, sprich Internet, auf die öffentliche SDSL IP zugreifen willst die an der Sophos anliegt oder ob das von innen (lokale LANs) geschehen soll.
Bei ersterem wäre die Frage des Routings Blödsinn, denn den Routing Weg im Provider Netz kannst du nicht beeinflussen.
Bleibt also nur die Option 2 aber da wäre dann der SDSL Port Unsinn, denn der spielt ja intern keine Rolle.
Das ist vermutlich die Unklarheit die nicht nur den Kollegen @Pjordorf verwirrt...!
Vielleicht bringt eine kleine Skizze Licht ins Dunkel oder eine etwas bessere Erklärung des Sachverhalts ?!
Mitglied: Xaero1982
Xaero1982 23.09.2018 um 18:00:11 Uhr
Goto Top
Ehm face-smile

Client - Router - SDSL - Google (der Dienst der erreicht werden soll als Beispiel)

und nicht Client - Router - SDSL/VDSL - Google (der Dienst der erreicht werden soll als Beispiel)

und dann:

Client - SDSL/VDSL - restliches www - völlig wurscht

Und natürlich geht es darum aus dem internernen Netz über die SDSL Leitung ein bestimmtes Ziel zu erreichen und das NUR über die SDSL und nicht mal so und mal so.

Grüße
Mitglied: em-pie
em-pie 23.09.2018 um 18:05:24 Uhr
Goto Top
Moin,

Ich Name an, du willst ein Policy-Based-Routing anhand eines Dienstes betreiben.

Schaue mal hier:
https://community.sophos.com/kb/en-us/123579


P.S.
Habe die im übrigen im ersten Post bereits verstanden ;)

Gruß
em-pie
Mitglied: Xaero1982
Xaero1982 23.09.2018 um 18:29:24 Uhr
Goto Top
Hi em-pie,

nur leider gibt es bei mir diese ganzen Einstellungen nicht? face-smile

Aber ich glaube der Knackpunkt ist, dass ich eine Gatewayroute anlegen muss mit dem SDSL GW als GW.

Nun noch eins:

Zwei Netze aktuell

192.168.0.x/24
172.16.10.x/24

wie bekomme ich Zugriff von einem ins andere?

Grüße
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.09.2018 um 18:30:07 Uhr
Goto Top
Firewallregel von A nach B erstellen, wenn beide an der Sophos anliegen?!
Mitglied: Xaero1982
Xaero1982 23.09.2018 um 18:42:53 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Firewallregel von A nach B erstellen, wenn beide an der Sophos anliegen?!

eh ich glaub ich hab was vergessen face-smile

es ist Sonntag ... mal sehen
Mitglied: Xaero1982
Xaero1982 23.09.2018 um 18:57:36 Uhr
Goto Top
Mh doch nicht. Regel ist da und die Netze sind beide dran.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.09.2018 um 19:02:41 Uhr
Goto Top
und nun? Händchen halten? face-smile

Zitiere:
vermutlich ist die Sophos nicht richtig konfiguriert. Kannst mir gerne schreiben, dann können wir das aus der Welt schaffen.
Mitglied: Xaero1982
Xaero1982 23.09.2018 um 19:10:01 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

und nun? Händchen halten? face-smile

Zitiere:
vermutlich ist die Sophos nicht richtig konfiguriert. Kannst mir gerne schreiben, dann können wir das aus der Welt schaffen.


Bitte bitte face-smile
Mitglied: aqui
aqui 23.09.2018 aktualisiert um 20:39:47 Uhr
Goto Top
Und natürlich geht es darum aus dem internernen Netz über die SDSL Leitung ein bestimmtes Ziel zu erreichen und das NUR über die SDSL
Na ja,...das ist ja nun eine Lachnummer und machst du über die Balancing Regeln im Router indem du dort mit einer Policy bestimmst das alles an Paketen was die Google IP als Zieladresse hat über den SDSL WAN Port geht.
Das sind doch simple Basics bei einem Balancing Router wo es eigentlich doch keinen Thread für bedarf.
vermutlich ist die Sophos nicht richtig konfiguriert.
Dem kann man nur beipflichten !!
Mitglied: ukulele-7
ukulele-7 24.09.2018 um 09:17:23 Uhr
Goto Top
Eventuell ist es einfacher das Anhand der Ziel-IP bzw. des IP-Adressbereiches zu definieren.

Beispiel:
Interfaces & Routing \ Static Routing \ Standard Static Routing
Route Type: Interface route
Network: <Ziel-IP-Netz>
Interface: <WAN-Schnittstelle mit pasender IP>

oder

Interfaces & Routing \ Static Routing \ Policy Routes
Route Type: Gateway route
Source interface: any
Source network: any
Service: any
Destination network: <Ziel-IP-Netz>
Gateway: <WAN-Schnittstelle mit pasender IP>
Mitglied: aqui
aqui 24.09.2018 um 11:02:31 Uhr
Goto Top
Wobei hier die Betonung auf Bereich liegt, denn jeder weiss das Google GeoIPs nutzt mit Load Balancern die die Requests je nach GeoIP auf die jeweils nächsten Hosts im Internet balanced. Davon gibt es dann pro Region auch noch mehrere.
Ganz so trivial wird die Policy Route also nicht face-wink
Mitglied: Xaero1982
Xaero1982 24.09.2018 um 13:55:39 Uhr
Goto Top
Das mit google war nur ein Beispiel face-smile

ich hab hier eine Registerbox vom Testamentsregister.

Intern: 192.168.0.223/24
GW: 192.168.0.103 (ehem Cisco Dualwanrouter)

Neues Netz:
172.16.10.x/24
gw: 172.16.10.1

Es gibt nun zwei Wege: Entweder ich schicke diese Box ein und lasse sie neu konfigurieren, weil man selbst nicht ran kommt oder ich finde einen Weg diese mit der alten IP nutzbar zu machen.

Also habe ich ein Interface genommen auf der SG135 und der die IP des alten Cisco verpasst . 192.168.0.103.

Wenn ich jetzt nen Rechner in das alte Netz packe geht auch alles wunderbar.

Die Registerbox geht aber ebenfalls nur dann wenn ich mir eine statische IP aus diesem Netz gebe. Noch hab ich nicht rausbekommen was da nicht stimmt.

Eine Route ist gesetzt an den Clients - musste man bisher so machen.
Ich kann aus dem 172.16.10.x Netz die 192.168.0.223 anpingen, aber mach ich einen Tracert auf die Zieladresse kommt er bis zur Registerbox und dann wars das. Auch wenn ich any - any - any anschalte ändert sich nichts.

Idee?
Mitglied: ukulele-7
ukulele-7 24.09.2018 um 15:37:56 Uhr
Goto Top
- Router ist in beiden IP Netzen mit der jeweiligen Netz-internen IP des Routers als Gateway eingetragen.
- Auf beiden Geräten blockt keine eigene Firewall den IPv4 Ping.
- In der Routerfirewall dürfen beide! Netze auf das jeweils andere zugreifen.
- Eventuell ist noch NAT konfiguriert oder nicht konfiguriert, kann deine Sophos diese Box direkt pingen und bekommt eine Antwort?

Ich würde außerdem nicht zwei Probleme in einem Thread besprechen...
Mitglied: Xaero1982
Xaero1982 24.09.2018 um 16:09:10 Uhr
Goto Top
Moin,

was meinste mit dem ersten?

- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
- Dürfen sie mit -any-
- die Box lässt sich pingen, aber die Webseite nicht auf die nur zugegriffen werden kann, wenn der Zugriff über die Box erfolgt.

Ich vermute fast das wird so nix. Die Box baut eine VPN Verbindung zum Testamentsregisterserver auf und nur wenn man als Gateway die Box hat geht der Zugriff. Sprich, wenn auf dem Client eine entsprechende Route gesetzt ist.
Mitglied: em-pie
em-pie 24.09.2018 um 16:15:01 Uhr
Goto Top
Kannst du mal bildlich skizzieren (zeichnen), wie jetzt was zusammenhängt?

Klingt so, als gäbe es bei die im LAN zwei WANs:
WAN1 ist direkt an der FW terminiert.
WAN2 hängt an der ominösen BOX, die wiederum an der FW terminiert ist!?

Wenn dem tatsächlich so ist, musst du doch nur die richtigen Routen setzen (sofern das Zielnetz zu dem Testamentsserver bekannt ist):
0.0.0.0/0 läuft über WAN 1, 47.118.15.0/ 30 (mal fiktiv als Netz der Testamentsserver) läuft über die IP private IP der Box, welche an WAN2 hängt....
Mitglied: Pjordorf
Pjordorf 24.09.2018 um 16:18:44 Uhr
Goto Top
Hallo,

Zitat von @Xaero1982:
- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
Wohin denn wird gepingt?

- Dürfen sie mit -any-
Wer darf mit -any-?

- die Box lässt sich pingen, aber die Webseite nicht
Erkläre uns dösbaddel mal wie du eine WebSeite anpingen tust?

Die Box baut eine VPN Verbindung zum Testamentsregisterserver auf
Warum haben wir den Verdacht gehabt das du uns wichtige Sachen verschweigen tust?

und nur wenn man als Gateway die Box hat geht der Zugriff. Sprich, wenn auf dem Client eine entsprechende Route gesetzt ist.
Und was in deinem Konstrukt funktioniert jetzt nicht?

Gruß,
Peter
Mitglied: ukulele-7
Lösung ukulele-7 24.09.2018 um 16:26:43 Uhr
Goto Top
Die Box selbst muss deinen Router als GW konfiguriert haben, und zwar mit der IP 192.168.0.103 also der Subnetz-internen IP der Sophos. Dein PC muss als Gateway die 172er IP der Sophos eingetragen haben. Das Gateway muss im eigenen IP-Netz liegen!

Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.
Mitglied: Xaero1982
Xaero1982 24.09.2018 um 17:38:12 Uhr
Goto Top
Zitat von @ukulele-7:

Die Box selbst muss deinen Router als GW konfiguriert haben, und zwar mit der IP 192.168.0.103 also der Subnetz-internen IP der Sophos. Dein PC muss als Gateway die 172er IP der Sophos eingetragen haben. Das Gateway muss im eigenen IP-Netz liegen!

Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.

Perfekt face-smile So hatte ich es dann gemacht - dacht es schon vorher mal so getestet zu haben ... aber nun geht es.

Habe allerdings eine GW Route hinzugefügt mit dem Ziel (die Ip die wir erhalten haben mit einem 23er Netz) und das GW ist die Registerbox und nun geht das auch.

Also klappt jetzt alles was gewünscht war.