13
Sophos UTM 9 Home Zugriff Webinterface
Hallo,
ich habe von meiner Firma eine Sophos UTM 110/120 Hardware geschenkt bekommen.
Nun habe ich eine Home Lizenz aufgespielt und sie für das Internet eingerichtet.
Leider habe ich hier ausschließlich mit Anleitungen aus dem Internet gearbeitet.
Also ich bin ein absoluter Anfänger und tu mich sehr schwer.
Ich wollte nun den Zugriff auf das Webinterface für meine Fritz Box einrichten. Jedoch bekomme ich es einfach nicht hin obwohl ich es exakt so gemacht habe wie
in dieser Anleitung hier.
Anleitung Sophos Webzugriff
Leider funktioniert das bei mir nicht.
Kurz zum Hintergrund.
Fritz.Box -> UTM -> Switch (Windows Server 2008, Clients, Drucker usw.)
192.168.22.1 ->192.168.189.1 (WAN) -> 192.168.22.6 (UTM LAN)-> Internes Netz 192.168.22...
Ich habe wie in der Anleitung beschrieben, die Fritz Box dem WAN Port zugeordnet und eine DNAT Regel eingefügt.
Laut der Anleitung soll man ja nicht die IP der Fritzbox dem WAN Port zuordnen.
Was mir aufgefallen ist, dass wen ich eine andere gebe zum Beispiel 192.168.22.8, dann kann ich die Fritz Box nicht anpingen.
Es wäre super wenn mir jemand von euch da helfen könnte. Am besten vielleicht auch ausführlicher wo ich genau was eintragen muss.
Bin halt noch ein Anfänger.
Danke euch schonmal im Voraus.
Gruß Michael
ich habe von meiner Firma eine Sophos UTM 110/120 Hardware geschenkt bekommen.
Nun habe ich eine Home Lizenz aufgespielt und sie für das Internet eingerichtet.
Leider habe ich hier ausschließlich mit Anleitungen aus dem Internet gearbeitet.
Also ich bin ein absoluter Anfänger und tu mich sehr schwer.
Ich wollte nun den Zugriff auf das Webinterface für meine Fritz Box einrichten. Jedoch bekomme ich es einfach nicht hin obwohl ich es exakt so gemacht habe wie
in dieser Anleitung hier.
Anleitung Sophos Webzugriff
Leider funktioniert das bei mir nicht.
Kurz zum Hintergrund.
Fritz.Box -> UTM -> Switch (Windows Server 2008, Clients, Drucker usw.)
192.168.22.1 ->192.168.189.1 (WAN) -> 192.168.22.6 (UTM LAN)-> Internes Netz 192.168.22...
Ich habe wie in der Anleitung beschrieben, die Fritz Box dem WAN Port zugeordnet und eine DNAT Regel eingefügt.
Laut der Anleitung soll man ja nicht die IP der Fritzbox dem WAN Port zuordnen.
Was mir aufgefallen ist, dass wen ich eine andere gebe zum Beispiel 192.168.22.8, dann kann ich die Fritz Box nicht anpingen.
Es wäre super wenn mir jemand von euch da helfen könnte. Am besten vielleicht auch ausführlicher wo ich genau was eintragen muss.
Bin halt noch ein Anfänger.
Danke euch schonmal im Voraus.
Gruß Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 328590
Url: https://administrator.de/contentid/328590
Printed on: May 14, 2024 at 17:05 o'clock
13 Comments
Latest comment
Hallo,
da du eine Kaskade betreibst, musst du dem WAN Interface der Sophos natürlich eine IP aus der Range der Fritzbox geben.
Wenn die Fritzbüchs also die IP 192.168.22.1 hat, dann würde ich dem WAN Interface der Sophos die 192.168.22.254 geben.
Dem LAN Interface der Sophos kannst du dann geben was du willst und dort den Switch dran hängen.
Gruß
da du eine Kaskade betreibst, musst du dem WAN Interface der Sophos natürlich eine IP aus der Range der Fritzbox geben.
Wenn die Fritzbüchs also die IP 192.168.22.1 hat, dann würde ich dem WAN Interface der Sophos die 192.168.22.254 geben.
Dem LAN Interface der Sophos kannst du dann geben was du willst und dort den Switch dran hängen.
Gruß
Moin,
ergönzend zu michis Post:
du kannst nicht hergehen und die IPs hinter der SOPHOS mit denen vor der SOPHOS mischen.
Was du machen kannst/ solltest:
Fritzbox (LAN): 192.168.178.1/ 24
SOPHOS (WAN) 192.168.178.2/ 24
SOPHOS (LAN) 192.168.22.1/ 24
Devices hinter SOPHOS LAN: 192.168.22.x/24 (aber x >1)
Und dann sollte alles gelingen.
Hinweis am Rande:
mach aus deiner fritz.box ein fritzbox.local oder sowas, denn https://www.heise.de/newsticker/meldung/Neue-Top-Level-Domain-box-bringt ...
ergönzend zu michis Post:
du kannst nicht hergehen und die IPs hinter der SOPHOS mit denen vor der SOPHOS mischen.
Was du machen kannst/ solltest:
Fritzbox (LAN): 192.168.178.1/ 24
SOPHOS (WAN) 192.168.178.2/ 24
SOPHOS (LAN) 192.168.22.1/ 24
Devices hinter SOPHOS LAN: 192.168.22.x/24 (aber x >1)
Und dann sollte alles gelingen.
Hinweis am Rande:
mach aus deiner fritz.box ein fritzbox.local oder sowas, denn https://www.heise.de/newsticker/meldung/Neue-Top-Level-Domain-box-bringt ...
Hallo,
als erstes mal vielen Dank für die Wahnsinns schnelle Antwort!
Was ich vielleicht noch kurz erklären sollte,
ich habe die IP der Box mit Absicht im gleichen Bereich wie auf dem Switch gelassen,
da ich gern möchte dass die Box weiter mein WLAN macht.
Es handelt sich hier um 1 IPhone und 1 Ipad. Ich weiß ist sicherheitstechnisch
nicht ganz sauber, da die Geräte an der Firewall vorbei gehen, aber ich habe halt
viele Geräte wie Heizung und Photovoltaik die ich vom IPAD steuern will.
Außerdem habe ich noch ein Paar Fritz Repeater mit DVP T. So kann ich vom IPAD TV Schauen.
Das hätte ich gern behalten.
Die Gäste gehen per Gast WLAN ins Netz. Meine UTM ist auch gerade über LAN4 der Box angeschlossen und hat durch das Gästenetz eine andere IP wie intern.
Sehr Ihr da eine Möglichkeit trotzdem auf das Interface drauf zu kommen?
Das Problem ist halt auch, dass wenn ich das IP Netz hinter der UTM ändern muss, es ein rießen Aufwand ist, da ja meine ganze Domäne usw. dahintersteckt.
Danke schonmal
als erstes mal vielen Dank für die Wahnsinns schnelle Antwort!
Was ich vielleicht noch kurz erklären sollte,
ich habe die IP der Box mit Absicht im gleichen Bereich wie auf dem Switch gelassen,
da ich gern möchte dass die Box weiter mein WLAN macht.
Es handelt sich hier um 1 IPhone und 1 Ipad. Ich weiß ist sicherheitstechnisch
nicht ganz sauber, da die Geräte an der Firewall vorbei gehen, aber ich habe halt
viele Geräte wie Heizung und Photovoltaik die ich vom IPAD steuern will.
Außerdem habe ich noch ein Paar Fritz Repeater mit DVP T. So kann ich vom IPAD TV Schauen.
Das hätte ich gern behalten.
Die Gäste gehen per Gast WLAN ins Netz. Meine UTM ist auch gerade über LAN4 der Box angeschlossen und hat durch das Gästenetz eine andere IP wie intern.
Sehr Ihr da eine Möglichkeit trotzdem auf das Interface drauf zu kommen?
Das Problem ist halt auch, dass wenn ich das IP Netz hinter der UTM ändern muss, es ein rießen Aufwand ist, da ja meine ganze Domäne usw. dahintersteckt.
Danke schonmal
Hallo,
Entweder Routerkaskade mit nutzen der UTM features, Routing ohne UTM features und wissen das vom Gastnetz deiner Fritte die nie niemals auf das Webinterface der fritte gelangst. Gastnetz ist Gastnetz und ausser Surfen ist dort nicht viel möglich. Dein Konzept passt vorne und hinten nicht. Du wirst etwas ändern müssen sonst bleiben deine Wünsche eben nur Wünsche.
Gruß,
Peter
Zitat von @MichiGrossmann:
ich habe die IP der Box mit Absicht im gleichen Bereich wie auf dem Switch gelassen,
Wird nicht gehenich habe die IP der Box mit Absicht im gleichen Bereich wie auf dem Switch gelassen,
da ich gern möchte dass die Box weiter mein WLAN macht.
Das geht, aber der Zugriff in dein LAN solltest du dann überlegen.Es handelt sich hier um 1 IPhone und 1 Ipad. Ich weiß ist sicherheitstechnisch
Ein einfacher AP (Unifi Pro AC) hinter deiner Sophos und fertignicht ganz sauber, da die Geräte an der Firewall vorbei gehen, aber ich habe halt
Warum willst du dann eine UTM verwenden wenn du dran vorbei läufts. Zu wenig Geräte die Strom verb allern?viele Geräte wie Heizung und Photovoltaik die ich vom IPAD steuern will.
Dann mach es richtig oder gar nichtAußerdem habe ich noch ein Paar Fritz Repeater mit DVP T. So kann ich vom IPAD TV Schauen.
Das hätte ich gern behalten.
dann überdenke dein Konzept. Entweder Routerkaskade oder nicht. Oder einfach nur Routen, aber was soll dann deine UTM tun - nur Routen?Das hätte ich gern behalten.
Die Gäste gehen per Gast WLAN ins Netz. Meine UTM ist auch gerade über LAN4 der Box angeschlossen und hat durch das Gästenetz eine andere IP wie intern.
Und damit hast du dein nächste Problem.Sehr Ihr da eine Möglichkeit trotzdem auf das Interface drauf zu kommen?
Nein, alleine schon weil aus dein Gästenetz der Fritte kein Zugriff möglich ist.Das Problem ist halt auch, dass wenn ich das IP Netz hinter der UTM ändern muss, es ein rießen Aufwand ist, da ja meine ganze Domäne usw. dahintersteckt.
Wenn einer einen Bentley fahren will muss der auch mehr vorraussetzungen schaffen als einer der nur ein Fahrrad fahren will.Entweder Routerkaskade mit nutzen der UTM features, Routing ohne UTM features und wissen das vom Gastnetz deiner Fritte die nie niemals auf das Webinterface der fritte gelangst. Gastnetz ist Gastnetz und ausser Surfen ist dort nicht viel möglich. Dein Konzept passt vorne und hinten nicht. Du wirst etwas ändern müssen sonst bleiben deine Wünsche eben nur Wünsche.
Gruß,
Peter
Kollege Pjordorf hat ja schon alles gesagt...
Mit deinen bisherigen Überlegungen/ Vorstellungen nicht möglich.
schon etwas... ungünstig.... so können deine Gäste ja mal schauen, welche Ports an dem WAN so offen sind
Der Aufwand ist dann eher "popelig", denn für dein LAN ist das erste Gateway die UTM, alles was davor kommt (aus sicht der Übergabe Provider->Kunde) interressiert dein LAN nicht, nur die UTM. Was vor der UTM sitzt, geht den LAN-Devices 'nen feuchten ... an
Mit deinen bisherigen Überlegungen/ Vorstellungen nicht möglich.
Was ich vielleicht noch kurz erklären sollte,
ich habe die IP der Box mit Absicht im gleichen Bereich wie auf dem Switch gelassen,
Und genau das ist dein Problem. Woher soll die UTM denn wissen, wohin Sie die Pakete für 192.168.22.x schicken soll? Soll das Paket im LAN oder (aus ihrer Sicht) ins WANich habe die IP der Box mit Absicht im gleichen Bereich wie auf dem Switch gelassen,
da ich gern möchte dass die Box weiter mein WLAN macht.
Kann Sie ja, aber dann halt nur für Gäste!Es handelt sich hier um 1 IPhone und 1 Ipad. Ich weiß ist sicherheitstechnisch
nicht ganz sauber, da die Geräte an der Firewall vorbei gehen, aber ich habe halt
viele Geräte wie Heizung und Photovoltaik die ich vom IPAD steuern will.
Außerdem habe ich noch ein Paar Fritz Repeater mit DVP T. So kann ich vom IPAD TV Schauen.
Das hätte ich gern behalten.
kaufe dir einen 50€ AP, hänge den in das LAN der UTM und dann geht auch das alles wiedernicht ganz sauber, da die Geräte an der Firewall vorbei gehen, aber ich habe halt
viele Geräte wie Heizung und Photovoltaik die ich vom IPAD steuern will.
Außerdem habe ich noch ein Paar Fritz Repeater mit DVP T. So kann ich vom IPAD TV Schauen.
Das hätte ich gern behalten.
Die Gäste gehen per Gast WLAN ins Netz. Meine UTM ist auch gerade über LAN4 der Box angeschlossen und hat durch das Gästenetz eine andere IP wie intern.
Demnach hängt der WAN-Port der UTM mit den Gästen im selben Netz?schon etwas... ungünstig.... so können deine Gäste ja mal schauen, welche Ports an dem WAN so offen sind
Das Problem ist halt auch, dass wenn ich das IP Netz hinter der UTM ändern muss, es ein rießen Aufwand ist, da ja meine ganze Domäne usw. dahintersteckt.
Dann ändere nicht das Netz hinter der UTM, sondern davor.Der Aufwand ist dann eher "popelig", denn für dein LAN ist das erste Gateway die UTM, alles was davor kommt (aus sicht der Übergabe Provider->Kunde) interressiert dein LAN nicht, nur die UTM. Was vor der UTM sitzt, geht den LAN-Devices 'nen feuchten ... an
Hallo,
sorry dass ich erst mich jetzt wieder melde.
Danke nochmal für eure Antworten.
Ich habe mittlerweile auf dem Dachboden eine alte FritzBox gefunden, und diese an die 7490 drangehängt in Kaskade.
Also Fritz Box 7490 = 192.168.22.1
und die Friz Box 3270 = 192.168.23.1
Nun meine Frage. Muss ich in der UTM noch irgendwie eine Freigabe eingeben, dass die beiden kommunizieren können?
Weil ich bekomme kein Internet, wenn ich auf meinen DNS Server (192.168.22.3) verweise. Gebe ich jedoch im Client die UTM (192.168.22.6) als DNS ein, erhalten ich auf den Clients Internet. Bzw. Webradio funktioniert mit dem DNS .....22.3. Aber Internetseiten kann ich keine aufmachen.
Im Log ist mir aufgefallen, dass er ROT anzeigt wenn der WAN Port 192.168.23.6 mit dem der Fritz Box 7490 kommunizieren will.
Was ich mir alternativ überlegt habe, ob ich nicht wirklich das Netz der 7490 ändere und die 3270 als AP ins LAN hänge.
Das müsste ja so gehen oder?
Dann könnte ich auch auf meine Geräte im Netz zugreifen und ich denke von der Portfreigabe wir einiges einfacher oder ?
Und da DECT müsste ja unberührt bleiben oder?
Danke nochmal für eure Geduld. Aber in dem Bereich bin ich echt ein Rookie.
Aber deswegen will ich ja lernen ;)
Gruß Michael
sorry dass ich erst mich jetzt wieder melde.
Danke nochmal für eure Antworten.
Ich habe mittlerweile auf dem Dachboden eine alte FritzBox gefunden, und diese an die 7490 drangehängt in Kaskade.
Also Fritz Box 7490 = 192.168.22.1
und die Friz Box 3270 = 192.168.23.1
Nun meine Frage. Muss ich in der UTM noch irgendwie eine Freigabe eingeben, dass die beiden kommunizieren können?
Weil ich bekomme kein Internet, wenn ich auf meinen DNS Server (192.168.22.3) verweise. Gebe ich jedoch im Client die UTM (192.168.22.6) als DNS ein, erhalten ich auf den Clients Internet. Bzw. Webradio funktioniert mit dem DNS .....22.3. Aber Internetseiten kann ich keine aufmachen.
Im Log ist mir aufgefallen, dass er ROT anzeigt wenn der WAN Port 192.168.23.6 mit dem der Fritz Box 7490 kommunizieren will.
Was ich mir alternativ überlegt habe, ob ich nicht wirklich das Netz der 7490 ändere und die 3270 als AP ins LAN hänge.
Das müsste ja so gehen oder?
Dann könnte ich auch auf meine Geräte im Netz zugreifen und ich denke von der Portfreigabe wir einiges einfacher oder ?
Und da DECT müsste ja unberührt bleiben oder?
Danke nochmal für eure Geduld. Aber in dem Bereich bin ich echt ein Rookie.
Aber deswegen will ich ja lernen ;)
Gruß Michael
Warum nicht einfach wie folgt:
Deine Server etc. bekommen als Gateway einfach die 192.168.22.1, als DNS-Server deinen Server, welcher selbst aber als DNS-Server die 192.168.22.1 eingeragen hat
DECT kann auf der der 7490 bleiben.
Zudem kannst du ggf. noch das Gästenetz (Wifi) auf der 7490 aktivieren, sodass deine Gäste hier WLAN haben.
Dann hängen die nicht in deinem LAN und fertig.
In der UTM eine Regel erstellen, welche es erlaubt (ggf. nur von deinem PC/ Laptop) auf die 192.168.178.1 zuzugreifen:
Regel:
Das sollte es dann gewesen sein...
- INTERNET -> FB 7490 WAN
- (FB 7490 LAN (192.168.178.1) -> GästeNetz (Wifi))
- FB 7490 LAN (192.168.178.1) -> SOPHOS WAN (192.168.178.254)
- SOPHOS LAN (192.168.22.1) -> SWITCH Port1 (192.168.22.254)
- SWITCH Port x -> FB 3270 LAN1 (192.168.22.2) (für WiFi) hier DHCP aus und als IP-Client ins Netz hängen
- SWITCH Port x -> SERVER (192.168.22.3)
Deine Server etc. bekommen als Gateway einfach die 192.168.22.1, als DNS-Server deinen Server, welcher selbst aber als DNS-Server die 192.168.22.1 eingeragen hat
DECT kann auf der der 7490 bleiben.
Zudem kannst du ggf. noch das Gästenetz (Wifi) auf der 7490 aktivieren, sodass deine Gäste hier WLAN haben.
Dann hängen die nicht in deinem LAN und fertig.
In der UTM eine Regel erstellen, welche es erlaubt (ggf. nur von deinem PC/ Laptop) auf die 192.168.178.1 zuzugreifen:
Regel:
- SOURCE DNS: Dein_laptop.local
- Service: Http/ HTTPS
- Target: 192.168.178.1
Das sollte es dann gewesen sein...
Hallo,
Und das soll funktionieren? Du hast dort 2 netze - wie verbinden die sich oder hast du vergessen den nötigen Router zu erwähnen....?
Male deine beteiligten Geräte mit ihren Anschlüßen auf ein grosses Blatt Papier, Schreibe an jedem Anschluß dessen IP und Subnetzmaske und DNS sowie GW an, Verbinde deine Anschlüße per Linien und zwar so wie deine (Patch)kabel laufen bzw so wie du möchtest das deinen Daten hin und her laufen. Stell das dann hier ins Forum. Bedenke das du schon wissen solltest wie TCI/IP und ein Netz Grundsätzlich funktioniert. Auch wenn du mehere Router in Kaskade schaltest, was denn passiert bzw wer dann wen sehen kann.
Gruß,
Peter
Und das soll funktionieren? Du hast dort 2 netze - wie verbinden die sich oder hast du vergessen den nötigen Router zu erwähnen....?
Male deine beteiligten Geräte mit ihren Anschlüßen auf ein grosses Blatt Papier, Schreibe an jedem Anschluß dessen IP und Subnetzmaske und DNS sowie GW an, Verbinde deine Anschlüße per Linien und zwar so wie deine (Patch)kabel laufen bzw so wie du möchtest das deinen Daten hin und her laufen. Stell das dann hier ins Forum. Bedenke das du schon wissen solltest wie TCI/IP und ein Netz Grundsätzlich funktioniert. Auch wenn du mehere Router in Kaskade schaltest, was denn passiert bzw wer dann wen sehen kann.
Nun meine Frage. Muss ich in der UTM
Ich kann bei deinen beiden Fritten keine UTM erkennen.Weil ich bekomme kein Internet
Dir ist schon klar das wenn du nicht grundlegend etwas änderst als nur eine gefunden 3270 irgendwie mit irgendeiner IP irgendwo anzuklemmen es nichts werden kann. Dann ist natürlich auch die Frage wie du deine 3270 anklemmst. Die hat welche RJ-45 Ports und kann was mit welchen Port anstellen? Dann soll die nur Routen oder einfach nur Bridgen (WLAN zu LAN) oder doch noch NATten? Kann sein das deine 3270 je nach OS das eine oder andere nicht kann (z.B. Internet per LAN1)Im Log ist mir aufgefallen, dass er ROT anzeigt
ROT = du kummst hier net reinDas müsste ja so gehen oder?
Wenn deine 3270 als Ersatz für einen herkömmelichen AP sein soll und die das auch so berherrscht, JaDann könnte ich auch auf meine Geräte im Netz zugreifen
Jaund ich denke von der Portfreigabe wir einiges einfacher oder ?
Welche Portfreigaben? Scgmeiss nicht immer neue Begriffe hier rein ohne das wir wissen was du machst. Bis jetzt ist kein Netzplan oder design erkennbat bzw. wer wo welchen stecker von welchem Kabel drin hat. damit ist ein möglicher Datenfluss nicht erkennbar, nur das du NAT und Router und WAN an LAN .... grusselig. Und da DECT müsste ja unberührt bleiben oder?
DECT hat nichts mit IP zu tun sofern deine DECT Basis eben nicht VOIP spricht um Telefonie (VOIP) per DECT zu verbreiten.Danke nochmal für eure Geduld. Aber in dem Bereich bin ich echt ein Rookie.
Nimm ein grosses Blatt Papier.....Aber deswegen will ich ja lernen ;)
Grundlagen von TCI/IP und Netzen hast du aber schon und weisst die unterschiede zwischen z.B. NAT und Router oder Switch? Gruß,
Peter
Hallo,
jetzt wieder was von mir.
@em-pie: Danke für deine Hilfe. Habe es so grob geplant. Nur die Regel um auf die Fritz Box zu kommen habe ich über eine zusätzliche Adresse auf der WAN Schnittstelle eingerichtet und es funktioniert. Geht halt nur über die IP und nicht mehr Fritz.Box aber das ist ja ok so.
@peter:
Also ich kenne mich schon ein bisschen aus würde ich behaupten. Was mir halt fehlt sind die Grundkenntnisse. Das merke ich immer, wenn ich mal nach längerer Zeit was an meinem Netz mache. Gerade in der UTM komme ich halt immer mit den Portfreigaben und Portweiterleitung durcheinander. Genauso beim erstellen von DNAT Regeln. Da bin ich mir nicht immer sicher was Quelle und Ziel usw. ist. Da merke ich einfach dass ich auch täglich nichts damit zu tun habe. Meinen Server habe ich anhand von Anleitungen eingerichtet. Und als ich das damals gemacht habe, war ich eher drin im Thema.
Gut, auf jeden Fall habe ich deinen Rat mit dem Zettel beherzigt und mal alles aufgezeichnet. Ich hoffe es ist einigermaßen verständlich und vor allem richtig, was die DNS Einträge in den jeweiligen Geräten betrifft.
Bei den Clients habe ich nun Internet. Das funktioniert. Und die Ports die ich geöffnet habe, wie zum Beispiel 443 oder 995 funktionieren.
Jetzt bin ich mir nur noch nicht sicher, wie ich auf meinen Server komme. So das meine Website wieder erreichbar ist und der VPN Server usw.
Habe auch im Firewall Live Log gesehen, dass die IP 192.168.23.2 geblockt wird. Aber das ist ja auch richtig, da dies nur die zusätzliche Adresse auf dem WAN ist für den Zugriff auf die Fritz Box.
Danke schonmal im Voraus.
jetzt wieder was von mir.
@em-pie: Danke für deine Hilfe. Habe es so grob geplant. Nur die Regel um auf die Fritz Box zu kommen habe ich über eine zusätzliche Adresse auf der WAN Schnittstelle eingerichtet und es funktioniert. Geht halt nur über die IP und nicht mehr Fritz.Box aber das ist ja ok so.
@peter:
Also ich kenne mich schon ein bisschen aus würde ich behaupten. Was mir halt fehlt sind die Grundkenntnisse. Das merke ich immer, wenn ich mal nach längerer Zeit was an meinem Netz mache. Gerade in der UTM komme ich halt immer mit den Portfreigaben und Portweiterleitung durcheinander. Genauso beim erstellen von DNAT Regeln. Da bin ich mir nicht immer sicher was Quelle und Ziel usw. ist. Da merke ich einfach dass ich auch täglich nichts damit zu tun habe. Meinen Server habe ich anhand von Anleitungen eingerichtet. Und als ich das damals gemacht habe, war ich eher drin im Thema.
Gut, auf jeden Fall habe ich deinen Rat mit dem Zettel beherzigt und mal alles aufgezeichnet. Ich hoffe es ist einigermaßen verständlich und vor allem richtig, was die DNS Einträge in den jeweiligen Geräten betrifft.
Bei den Clients habe ich nun Internet. Das funktioniert. Und die Ports die ich geöffnet habe, wie zum Beispiel 443 oder 995 funktionieren.
Jetzt bin ich mir nur noch nicht sicher, wie ich auf meinen Server komme. So das meine Website wieder erreichbar ist und der VPN Server usw.
Habe auch im Firewall Live Log gesehen, dass die IP 192.168.23.2 geblockt wird. Aber das ist ja auch richtig, da dies nur die zusätzliche Adresse auf dem WAN ist für den Zugriff auf die Fritz Box.
Danke schonmal im Voraus.
Hallo,
?!? Wasndat?
IPs und Subnetzmasken darfst du auch nach üblicher Schreibweise 192.168.23.1/24 Schreiben.
Dein VPN Server auf dein Server 2008 ist genauso fehl am Platz wie der WebServer und der FTP Server dort. VPN = Sophos. WEB und FTP eigener Rechner in einer DMZ.
.
Wenn du schon Routerkaskaden nutzt, dann muss natürlich jede Portweiterleitung in jedem Router konfiguriert sein durch den der Port weitergeleitet wird, und zwar immer aus sicht des jeweiligen Routers.
z.B. TCP 1723 vom WAN 7490 zur Sophos WAN = xxxx 1723 nach 192.168.23.6 1723 und dort in der Sophos dann vom WAN Sophos zum Rechner Server 2008 = Sophos WAN 1723 nach IP 192.168.22.3 1723 usw. Und das für jeden port den du tatsächlich weiterleiten willst und tust sowie jedes Protokoll z.B. GRE.
Deshalb auf dein Papier schauen und du siehst wer von wo nach wo will und welche Regeln du in welchen Router/Firewalls setzen musst. Hast du 12 Portweiterleitung in deine Fritte 7490 dann solltest du auch diese 12 Portweiterleitungen in deine Sophos eingetragen haben, sonst bleiben die einfach hängen bzw, du siehst Rot (FW Logs etc.)
Den Bereich LAN - WAN zwischen deiner Fritte und der Sophos kannst du ruhig als DMZ betrachten.
Und deine Weboberfläche deiner 7490 ist doch nur ein Gerät im Internet (aus sicht deiner Sophos) und sollte somit immer erreichbar sein, ausser du hast irgendwas eingetragen um das zu verhindern
Nur ein paar weinige anregungen und Gedanken.
Gruß,
Peter
?!? Wasndat?
Gut, auf jeden Fall habe ich deinen Rat mit dem Zettel beherzigt und mal alles aufgezeichnet. Ich hoffe es ist einigermaßen verständlich und vor allem richtig, was die DNS Einträge in den jeweiligen Geräten betrifft.
Wer ist den nun dein DNS? Die Sophos oder dein Server 2008 oder deine Fritte 7490? da du ein AD betreiben willst, wird dein DNS zwingend dein Server 2008 bzw. der DC sein müssen und die Sophos oder die 7490 (je nach) dein weiterleitungsziel sofern du der Sophos im DNS gesagt hast du hast schon ein DND (in dein DC)....IPs und Subnetzmasken darfst du auch nach üblicher Schreibweise 192.168.23.1/24 Schreiben.
Dein VPN Server auf dein Server 2008 ist genauso fehl am Platz wie der WebServer und der FTP Server dort. VPN = Sophos. WEB und FTP eigener Rechner in einer DMZ.
Und die Ports die ich geöffnet habe
Bedeutet jetzt was? Wasserkran aufgedreht? Ein und ausgehend, nur eingehend, nur ausgehend (immer aus sicht der Firewall)?wie zum Beispiel 443
Portweiterleitung fürn Webserveroder 995 funktionieren
Portweiterleitung MAIL?.
Jetzt bin ich mir nur noch nicht sicher, wie ich auf meinen Server komme
Die dortige Tastatur hilft dir weiterHabe auch im Firewall Live Log gesehen, dass die IP 192.168.23.2 geblockt wird. Aber das ist ja auch richtig, da dies nur die zusätzliche Adresse auf dem WAN ist für den Zugriff auf die Fritz Box.
Du brauchst keine 2te IP um auf deine Fritten zu kommen. Da reicht ganz genau 1 IP aus - deine 192.168.23.6.Wenn du schon Routerkaskaden nutzt, dann muss natürlich jede Portweiterleitung in jedem Router konfiguriert sein durch den der Port weitergeleitet wird, und zwar immer aus sicht des jeweiligen Routers.
z.B. TCP 1723 vom WAN 7490 zur Sophos WAN = xxxx 1723 nach 192.168.23.6 1723 und dort in der Sophos dann vom WAN Sophos zum Rechner Server 2008 = Sophos WAN 1723 nach IP 192.168.22.3 1723 usw. Und das für jeden port den du tatsächlich weiterleiten willst und tust sowie jedes Protokoll z.B. GRE.
Deshalb auf dein Papier schauen und du siehst wer von wo nach wo will und welche Regeln du in welchen Router/Firewalls setzen musst. Hast du 12 Portweiterleitung in deine Fritte 7490 dann solltest du auch diese 12 Portweiterleitungen in deine Sophos eingetragen haben, sonst bleiben die einfach hängen bzw, du siehst Rot (FW Logs etc.)
Den Bereich LAN - WAN zwischen deiner Fritte und der Sophos kannst du ruhig als DMZ betrachten.
Und deine Weboberfläche deiner 7490 ist doch nur ein Gerät im Internet (aus sicht deiner Sophos) und sollte somit immer erreichbar sein, ausser du hast irgendwas eingetragen um das zu verhindern
Nur ein paar weinige anregungen und Gedanken.
Gruß,
Peter
Hallo Peter,
erstmal danke dir.
Also zu demThema Portweiterleitung. Ich habe die Sophos in der FritzBox als Exposed Host eingetragen. Ich habe das so verstanden, dass ich nun keine Extra Portweiterleitung mehr einrichten muss, da die Sophos freie Bahn hat. Ist dies nicht korrekt?
Achja mit Port öffnen meinte ich, Portfreigabe, also das ein Client über diesen Port rauskommt.
Zum Beispiel habe ich eine Regel wo das Interne Netz - > Port 995 -> Any. Das Verstehe ich unter Portfreigabe.
Muss ich den wenn ich eine NAT Regel einrichte immer die extra für beide Richtungen anlegen?
Normal noch nicht oder?
Und Portweiterleitung wäre für mich, wenn ich zum Beispiel von aussen auf meine Heizung über den Port 1981 z.b. zugreifen möchte.
Oder sehe ich das falsch?
DNS: der DHCP vergibt den DNS Server 192.168.22.3. Und im Server habe ich die Sophos eingetragen 192.168.22.6.
Weil die doch die Anfragen an die Fritz Box und somit ans Internet weitergibt. Oder sehe ich das falsch?
Ich würde halt gern die VPN Geschichte auf dem Server lassen. Denn soweit ich weiß, muss ich ja dann immer den VPN Client von Sophos nehmen.
Und das wollte ich halt nicht. bzw. noch nicht.
Gruß Michael
erstmal danke dir.
Also zu demThema Portweiterleitung. Ich habe die Sophos in der FritzBox als Exposed Host eingetragen. Ich habe das so verstanden, dass ich nun keine Extra Portweiterleitung mehr einrichten muss, da die Sophos freie Bahn hat. Ist dies nicht korrekt?
Achja mit Port öffnen meinte ich, Portfreigabe, also das ein Client über diesen Port rauskommt.
Zum Beispiel habe ich eine Regel wo das Interne Netz - > Port 995 -> Any. Das Verstehe ich unter Portfreigabe.
Muss ich den wenn ich eine NAT Regel einrichte immer die extra für beide Richtungen anlegen?
Normal noch nicht oder?
Und Portweiterleitung wäre für mich, wenn ich zum Beispiel von aussen auf meine Heizung über den Port 1981 z.b. zugreifen möchte.
Oder sehe ich das falsch?
DNS: der DHCP vergibt den DNS Server 192.168.22.3. Und im Server habe ich die Sophos eingetragen 192.168.22.6.
Weil die doch die Anfragen an die Fritz Box und somit ans Internet weitergibt. Oder sehe ich das falsch?
Ich würde halt gern die VPN Geschichte auf dem Server lassen. Denn soweit ich weiß, muss ich ja dann immer den VPN Client von Sophos nehmen.
Und das wollte ich halt nicht. bzw. noch nicht.
Gruß Michael
Hallo,
OK. dann wird blind alles an die Sophos weitergereicht was die Fritte nicht selbst kennt. Achte drauf das an der Fritte kein Zugriff aus dem Internet möglich ist. Dann sollte die nur das für ihr VOIP nötige selbst nutzen. mehr braucht es dort nicht.
Die Sophos soll deinen Server fragen und der hat eine Weiterleitung für alles was er nicht kennt zur Fritte. damit nutzt du dann immer den DNS deines Providers. Es gibt hier und da immer wieder kleine häkchen welche gesetzt werden können und dein Schiff fährt dann in ganz andere Richtungen.
Client fragt Server, Server fragt Fritte. Und wen fragt deine Sophos oder verwendest du dort nur IPs statt FQDNs aus dein AD?
Auch die Sophos beherrscht mehr als ein VPN Protokoll und sogar noch welche die bei einen Client Grundsätzlich schon onboard sind. Und wer der Meinung ist sein PPTP wird täglich gehackt bzw. mitgeschnitten um per Anfrage in den USA (An einen Dienstleister der für USD 200) sich das PW raussuchen zu lassen (Nein, nicht die NSA) wird dann auf kostenlose Clients zurückgreifen müssen (Shrewsoft usw.) der kann auch sein Eierfon per IPSec (Kostenlos) anbinden wenn ihm IPSec over L2TP zu komplex erscheint. Ich denke nicht das du alle VPN Spielarten der Sophos ausnutzen wirst bzw tust bzw. kannst. Und Standort zu Standort brauchst du wohl auch nicht da bei dir es ja wohl nur Clients sind die mal zu dir nach Hause Telefonieren wollen (Heizungssteuerung usw.) Deine Sophos kann auch im AD eingebunden werden bzw. dessen AD nutzen - wenn du willst. Nur ohne VPN sollte sich niemand bei dir einwählen.
Ob der jetzt den Port 25 bzw. 443 usw. direkt auf dein Exchange / IIS legst musst du wissen. Eine Reverse Proxy für SMTP kann deine Sophos dir auch machen und zwischen Internet und Exchange sitzen damit der Exchange eben nicht direkt im Internet hängt. Die Sophos UTM ist eben wie alle UTMs ein Riesending mit tausenden von Stellschrauben. Das ist n icht mal eben nebenher gemacht....
Gruß,
Peter
OK. dann wird blind alles an die Sophos weitergereicht was die Fritte nicht selbst kennt. Achte drauf das an der Fritte kein Zugriff aus dem Internet möglich ist. Dann sollte die nur das für ihr VOIP nötige selbst nutzen. mehr braucht es dort nicht.
Achja mit Port öffnen meinte ich, Portfreigabe, also das ein Client über diesen Port rauskommt.
OK.Muss ich den wenn ich eine NAT Regel einrichte immer die extra für beide Richtungen anlegen?
Du musst schauen welche Ports du brauchst und wo diese geblockt werden. Das hängt auch von deinen verwendeten bzw. Konfigurierten Modulen ab wo du was einstellen musst. Die Firewall ist ja nur ein Aspkt einer UTM. Notfalls immer schön in den zugehörigen Logs schauen oder auch mit den Wireshark schauen (Auch evtl. den Traffic der Sophos UTM mitscheneiden lassen) und und und. Generell gilt, was du nicht explizit erlaubt hast - bleibt gesperrt.Und Portweiterleitung wäre für mich, wenn ich zum Beispiel von aussen auf meine Heizung über den Port 1981 z.b. zugreifen möchte.
Du willst nicht von Aussen direkt auf deine Heizung. Erst VPN in dein Netz und dann Heizung aufmachen.Oder sehe ich das falsch?
Nur da wo es wirklich keinerlei andere Möglichkeit gibt. Sonst hast du halt ein löchriges Sieb.DNS: der DHCP vergibt den DNS Server 192.168.22.3. Und im Server habe ich die Sophos eingetragen 192.168.22.6.
Und? Wie hast du die Sophos Konfiguriert. Der Sophos gesagt die soll den DNS vom Server verwenden oder kennt die nur die Fritte (Internetseite) als DNS der ihr sagt wie deine Clients sich alle nennen?Die Sophos soll deinen Server fragen und der hat eine Weiterleitung für alles was er nicht kennt zur Fritte. damit nutzt du dann immer den DNS deines Providers. Es gibt hier und da immer wieder kleine häkchen welche gesetzt werden können und dein Schiff fährt dann in ganz andere Richtungen.
Client fragt Server, Server fragt Fritte. Und wen fragt deine Sophos oder verwendest du dort nur IPs statt FQDNs aus dein AD?
Ich würde halt gern die VPN Geschichte auf dem Server lassen
Die Sophos ist besser geeignet.Denn soweit ich weiß, muss ich ja dann immer den VPN Client von Sophos nehmen.
Quatsch mit grüner Sosse Auch die Sophos beherrscht mehr als ein VPN Protokoll und sogar noch welche die bei einen Client Grundsätzlich schon onboard sind. Und wer der Meinung ist sein PPTP wird täglich gehackt bzw. mitgeschnitten um per Anfrage in den USA (An einen Dienstleister der für USD 200) sich das PW raussuchen zu lassen (Nein, nicht die NSA) wird dann auf kostenlose Clients zurückgreifen müssen (Shrewsoft usw.) der kann auch sein Eierfon per IPSec (Kostenlos) anbinden wenn ihm IPSec over L2TP zu komplex erscheint. Ich denke nicht das du alle VPN Spielarten der Sophos ausnutzen wirst bzw tust bzw. kannst. Und Standort zu Standort brauchst du wohl auch nicht da bei dir es ja wohl nur Clients sind die mal zu dir nach Hause Telefonieren wollen (Heizungssteuerung usw.) Deine Sophos kann auch im AD eingebunden werden bzw. dessen AD nutzen - wenn du willst. Nur ohne VPN sollte sich niemand bei dir einwählen.Ob der jetzt den Port 25 bzw. 443 usw. direkt auf dein Exchange / IIS legst musst du wissen. Eine Reverse Proxy für SMTP kann deine Sophos dir auch machen und zwischen Internet und Exchange sitzen damit der Exchange eben nicht direkt im Internet hängt. Die Sophos UTM ist eben wie alle UTMs ein Riesending mit tausenden von Stellschrauben. Das ist n icht mal eben nebenher gemacht....
Gruß,
Peter
Hallo,
also jetzt funktioniert es. Ein Kumpel von mir hat sich erbarmt mir per Fernwartung zu helfen.
Aber durch eure Tipps ist er auch auf die Fehler gekommen.
Das erste Problem war, dass die Fritz Box die Anfragen nicht von Außen an die UTM weitergegeben hat.
Das kuriose ist, dass selbst wenn man Exposed Host eingetragen hat, trotzdem die Freigaben noch setzen muss.
Und das war eigentlich das Hauptproblem! Um ehrlich zu sein verstehe ich das auch nicht, da ich wirklich unter Exposed Host verstehe, dass Ding ist offen und gut ist.
Dann habe ich noch den Fehler gemacht, dass ich in der DNS Weiterleitung auf meinem Server die FritzBox eingetragen hatte. Hier gehört die UTM rein. Ebenfalls war falsch, dass ich in den Netzwerkeinstellungen als DNS die UTM drin hatte und nicht meinen eigenen Server.
Dies haben wir korrigiert und siehe da es läuft. Als DNS Forwarders haben wir die Google Server gegeben die Fritz Box ausgetauscht.
Das mit dem VPN und FTP werde ich auf lange Sicht dann mal auf die UTM verlegen.
Muss mich damit mal beschäftigen wie das dann funktioniert.
Vielleicht helfen meine Fehler ja hier auch anderen Anfängern ;) Aber irgendwann hat ja jeder mal angefangen ;)
Aber Peter du hast Recht, das Ding ist echt der Wahnsinn was man da alles rumfummeln kann. Und vor allem als Laie sehr komplex.
Mir geht es aber hier wie jedem Hobbyhandwerker der einen Lichtschalter alle paar Jahre mal anschließt. Wenn man es macht beschäftigt man sich damit und dann vergisst man viel. Wenn man aber täglich damit zu tun hat, ist es vom Grundverständnis schon einfacher.
Hab ich ja bei meinem Kumpel gesehen. Der ist beruflich Fachinformatiker. Für den waren das keine 30 Minuten für was ich jetzt schon wirklich Tage gebraucht habe.
Aber ich danke euch nochmal für eure Hilfe.
Gruß Michael
also jetzt funktioniert es. Ein Kumpel von mir hat sich erbarmt mir per Fernwartung zu helfen.
Aber durch eure Tipps ist er auch auf die Fehler gekommen.
Das erste Problem war, dass die Fritz Box die Anfragen nicht von Außen an die UTM weitergegeben hat.
Das kuriose ist, dass selbst wenn man Exposed Host eingetragen hat, trotzdem die Freigaben noch setzen muss.
Und das war eigentlich das Hauptproblem! Um ehrlich zu sein verstehe ich das auch nicht, da ich wirklich unter Exposed Host verstehe, dass Ding ist offen und gut ist.
Dann habe ich noch den Fehler gemacht, dass ich in der DNS Weiterleitung auf meinem Server die FritzBox eingetragen hatte. Hier gehört die UTM rein. Ebenfalls war falsch, dass ich in den Netzwerkeinstellungen als DNS die UTM drin hatte und nicht meinen eigenen Server.
Dies haben wir korrigiert und siehe da es läuft. Als DNS Forwarders haben wir die Google Server gegeben die Fritz Box ausgetauscht.
Das mit dem VPN und FTP werde ich auf lange Sicht dann mal auf die UTM verlegen.
Muss mich damit mal beschäftigen wie das dann funktioniert.
Vielleicht helfen meine Fehler ja hier auch anderen Anfängern ;) Aber irgendwann hat ja jeder mal angefangen ;)
Aber Peter du hast Recht, das Ding ist echt der Wahnsinn was man da alles rumfummeln kann. Und vor allem als Laie sehr komplex.
Mir geht es aber hier wie jedem Hobbyhandwerker der einen Lichtschalter alle paar Jahre mal anschließt. Wenn man es macht beschäftigt man sich damit und dann vergisst man viel. Wenn man aber täglich damit zu tun hat, ist es vom Grundverständnis schon einfacher.
Hab ich ja bei meinem Kumpel gesehen. Der ist beruflich Fachinformatiker. Für den waren das keine 30 Minuten für was ich jetzt schon wirklich Tage gebraucht habe.
Aber ich danke euch nochmal für eure Hilfe.
Gruß Michael
