10
Sophos UTM und Hitron Kabelmodem (bridge mode)
Ich bin irgendwie unfähig und es ist Freitag. Vielleicht sehe ich einfach den Wald nicht.
Ich habe eine Sophos UTM 9 mit einem Anschluss an dem direkt ein DSL Modem hängt (physisch). Die Sophos wählt sich beim DSL Provider ein bekommt eine IP und trägt das Gateway des Providers als Default Gateway bei dem Interface ein, das sieht dann so aus:
WAN Provider #1 [Up]
on eth1 [92.xxx.xxx.xxx/32]
MTU 1492 DEFAULT GW 212.xxx.xxx.xxx.xxx
Läuft tadelos.
Jetzt habe ich von Unitymedia ein Hitron und einen Anschluss mit fester IPv4 bekommen. Das Hitron läuft im bridged mode und erlaubt einer IP (78.xxx.xxx.xx4/30) Ping auf das Modem und überall ins Internet. Wenn ich einen Windows Server nehme und das Netzwerk konfiguriere klappt alles:
Netzwerkverbindung
IP 78.xxx.xxx.xx4
Subnet 255.255.255.252
Gateway 78.xxx.xxx.xx3
Wenn ich jetzt aber an der Sophos einen weiteren Port physisch mit dem Modem verbinde und das Default Gateway entsprechend setze kann ich weder das Gateway noch ins Internet pingen.
WAN Unitymedia [Up]
on eth3 [78.xxx.xxx.xx4/30]
MTU 1500 DEFAULT GW 78.xxx.xxx.xx3
Die Firewall Regeln aus meinem internen Netz sind identisch, unabhängig vom Zielnetz. Für die Pings ins Internet habe ich nichtmal DNS benutzt.
Ich gebe zu ich habe noch nie eine Netzwerk-Bridge eingesetzt wenn ich mich recht erinnere. Was mache ich falsch?
Ich habe eine Sophos UTM 9 mit einem Anschluss an dem direkt ein DSL Modem hängt (physisch). Die Sophos wählt sich beim DSL Provider ein bekommt eine IP und trägt das Gateway des Providers als Default Gateway bei dem Interface ein, das sieht dann so aus:
WAN Provider #1 [Up]
on eth1 [92.xxx.xxx.xxx/32]
MTU 1492 DEFAULT GW 212.xxx.xxx.xxx.xxx
Läuft tadelos.
Jetzt habe ich von Unitymedia ein Hitron und einen Anschluss mit fester IPv4 bekommen. Das Hitron läuft im bridged mode und erlaubt einer IP (78.xxx.xxx.xx4/30) Ping auf das Modem und überall ins Internet. Wenn ich einen Windows Server nehme und das Netzwerk konfiguriere klappt alles:
Netzwerkverbindung
IP 78.xxx.xxx.xx4
Subnet 255.255.255.252
Gateway 78.xxx.xxx.xx3
Wenn ich jetzt aber an der Sophos einen weiteren Port physisch mit dem Modem verbinde und das Default Gateway entsprechend setze kann ich weder das Gateway noch ins Internet pingen.
WAN Unitymedia [Up]
on eth3 [78.xxx.xxx.xx4/30]
MTU 1500 DEFAULT GW 78.xxx.xxx.xx3
Die Firewall Regeln aus meinem internen Netz sind identisch, unabhängig vom Zielnetz. Für die Pings ins Internet habe ich nichtmal DNS benutzt.
Ich gebe zu ich habe noch nie eine Netzwerk-Bridge eingesetzt wenn ich mich recht erinnere. Was mache ich falsch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 325682
Url: https://administrator.de/contentid/325682
Printed on: April 25, 2024 at 20:04 o'clock
10 Comments
Latest comment
Hallo,
genau wie ein reines Modem!
Gruß
Dobby
Ich gebe zu ich habe noch nie eine Netzwerk-Bridge eingesetzt wenn ich mich recht erinnere. Was mache ich falsch?
Eigentlich nichts, denn der Hitron ist ein Router und wen der wirklich im so genannten Bridge Modus läuft verhält er sichgenau wie ein reines Modem!
Jetzt habe ich von Unitymedia ein Hitron und einen Anschluss mit fester IPv4 bekommen.
Und wer ist der andere ISP?...noch nie eine Netzwerk-Bridge eingesetzt .....
Hier ist hoffentlich der Hitron Router im Bridge Modus gemeint.Gruß
Dobby
Hi,
also du versucht an einer Verbindung die IP mäßig nur 2 freie IP`s hat eine weitere IP anzubinden?
denn du hast geschrieben das Du ein /30 Netzwerk hat, mit einer IP beim Kabelprovider und eine
zugewiesene IP für deine Sophos.
Denke mal das Du deine Sophos als Router nutzen mußt um dann hinter der Sophos liegende Systeme
ins Internet zu bringen.
Gruß
Hajo
also du versucht an einer Verbindung die IP mäßig nur 2 freie IP`s hat eine weitere IP anzubinden?
denn du hast geschrieben das Du ein /30 Netzwerk hat, mit einer IP beim Kabelprovider und eine
zugewiesene IP für deine Sophos.
Denke mal das Du deine Sophos als Router nutzen mußt um dann hinter der Sophos liegende Systeme
ins Internet zu bringen.
Gruß
Hajo
Zitat von @108012:
genau wie ein reines Modem!
So wie ich es jetzt konfiguriert habe würde ich das auch bei einem Router <-Subnetz-> Router -> Internet konfigurieren. Der Unitymedia-Support hat vom bridge mode gesprochen, vielleicht eine Verwechslung.Ich gebe zu ich habe noch nie eine Netzwerk-Bridge eingesetzt wenn ich mich recht erinnere. Was mache ich falsch?
Eigentlich nichts, denn der Hitron ist ein Router und wen der wirklich im so genannten Bridge Modus läuft verhält er sichgenau wie ein reines Modem!
Zitat von @108012:
Bitel - Eigentlich ist aber nur wichtig das ich hier ein Interface (eth1) des Typs "DSL (PPPoE)" handelt. Dort sind Einwahldaten hinterlegt und IP, DNS und Gateway kommen automatisch.Das Gateway war bisher default Gateway der Sophos, das nehme ich manuell raus.Jetzt habe ich von Unitymedia ein Hitron und einen Anschluss mit fester IPv4 bekommen.
Und wer ist der andere ISP?...noch nie eine Netzwerk-Bridge eingesetzt .....
Hier ist hoffentlich der Hitron Router im Bridge Modus gemeint.Nach meinem Verständnis müsste jetzt die Sophos Traffic aus dem lokalen Netzwerk (eigenes Interface eth0, eigener IP-Berreich, Sophos als Gateway) über das Gateway dieses Interface (eth3) in das Internet leiten. Die Firewall sagt das aus meinem lokalen Netz (eth0) alle Services in alle Netze dürfen, mir ist nicht klar was jetzt noch fehlt.
Hallo nochmal,
Dual WAN
Load Balancing and Fail over
Das sollte es gut erklären können je nach dem was man machen möchte, ist aber in englischer Sprache gehalten.
Gruß
Dobby
Dual WAN
Load Balancing and Fail over
Das sollte es gut erklären können je nach dem was man machen möchte, ist aber in englischer Sprache gehalten.
Gruß
Dobby
Bisher hatte ich versucht nur die neue Internetverbindung in Betrieb zu nehmen und die alte erstmal komplett raus zu nehmen. Aber das geht schon nicht, nur die Interface IP 78.xxx.xxx.xx4 ist pingbar, 78.xxx.xxx.xx3 nicht und das Internet auch nicht.
Es fehlte NAT
N
A
T
NAT*§%§&D=$ verdannt. Sry da hab ich die letzten 24h nicht dran gedacht und jetzt geht es.
N
A
T
NAT*§%§&D=$ verdannt. Sry da hab ich die letzten 24h nicht dran gedacht und jetzt geht es.
Du hast auf der UTM vermutlich ein Routing Problem.
Versteht man dich richtig willst du die UTM als Dual WAN Router/Firewall betreiben, sprich also die UTM soll Balancen auf den beiden Links und sie jeweils als Failover Interfaces nutzen im Falle eines Ausfalls, ist das so richtig ?
Da die UTM auf dem einen Interface per PPPoE vom Provider das Gateway bekommt "überrennt" das sehr wahrscheinlich das statisch konfigurierte Gateway auf dem Hitron Port.
Dan geht ein Ping auf das Hitron Interface natürlich ins Nirwana.
Relevant ist hier die Routing Tabelle der UTM !!!
Diese müsstest du dir mal ansehen oder hier ggf. mal posten. Dort steht genau wie sie mit dem Default Gateway umgeht.
Wenn du noch kein Policy Routing oder Gateway konfiguriert hast kann das Gerät natürlich niemals mit 2 Gateways umgehen. Es kann eben nur ein Gateway geben.
Da aber ein Port das Gateway dynamisch bekommt agieren viele dieser Endgeräte so das das ein ggf. stattisch definiertes Gateway sofort überschreiben.
Am einfachsten bekommst du das raus wenn du den PPPoE Port einfach mal abziehst. Damit erzwingst du dann ein Routing über den Hitron Port !
Hitron und Unitymedia hört sich so nach Kabel TV Anbindung an. Dort wird dann normalerweise DHCP gemacht ?!
Umso fataler da dann auch das Gateway dynmaisch definiert werden würde und es hier dann zu einer Race Condition kommt.
Relevant ist die Routing Tabelle des Gerätes aber genu die hast du uns ja leider vorenthalten so das wir auch zum Raten gezwungen werden...
Also...die hier posten oder den anderen Link schlicht und einfach mal abziehen !
Übrigens wenn die IP 78.xxx.xxx.xx3 nicht pingbar ist, ist das erstmal nicht verwunderlich, denn das ist ja der Provider Router. Vernüftige Provider deaktivieren auf diesen Geräten aus Sicherheitsgründen immer generell ICMP um eben Pings und Traceroutes zu unterbinden.
Kannst du ausschliessen das dein Provider das nicht gemacht hat ?
Um das querzuchecken kannst du die 78.xxx.xxx.xx3 IP mal von einem anderen Netzwerk oder Mobilfunknetz pingen.
Sollte das auch nicht gehen, dann ist vermutlich wirklich ICMP blockiert dort.
Leider hats bei dir zu diesem einfachen Test ja auch nicht gereicht..
Möglich natürlich auch das der Hitron gar nicht als Bridge sondern als Router arbeitet, oder die Leitung selber gestört ist.
Dann hast du aber eh ganz andere Probleme...
Auf sowas Banales kommt man gar nicht mehr...
Case closed !!
Versteht man dich richtig willst du die UTM als Dual WAN Router/Firewall betreiben, sprich also die UTM soll Balancen auf den beiden Links und sie jeweils als Failover Interfaces nutzen im Falle eines Ausfalls, ist das so richtig ?
Da die UTM auf dem einen Interface per PPPoE vom Provider das Gateway bekommt "überrennt" das sehr wahrscheinlich das statisch konfigurierte Gateway auf dem Hitron Port.
Dan geht ein Ping auf das Hitron Interface natürlich ins Nirwana.
Relevant ist hier die Routing Tabelle der UTM !!!
Diese müsstest du dir mal ansehen oder hier ggf. mal posten. Dort steht genau wie sie mit dem Default Gateway umgeht.
Wenn du noch kein Policy Routing oder Gateway konfiguriert hast kann das Gerät natürlich niemals mit 2 Gateways umgehen. Es kann eben nur ein Gateway geben.
Da aber ein Port das Gateway dynamisch bekommt agieren viele dieser Endgeräte so das das ein ggf. stattisch definiertes Gateway sofort überschreiben.
Am einfachsten bekommst du das raus wenn du den PPPoE Port einfach mal abziehst. Damit erzwingst du dann ein Routing über den Hitron Port !
Hitron und Unitymedia hört sich so nach Kabel TV Anbindung an. Dort wird dann normalerweise DHCP gemacht ?!
Umso fataler da dann auch das Gateway dynmaisch definiert werden würde und es hier dann zu einer Race Condition kommt.
Relevant ist die Routing Tabelle des Gerätes aber genu die hast du uns ja leider vorenthalten so das wir auch zum Raten gezwungen werden...
Also...die hier posten oder den anderen Link schlicht und einfach mal abziehen !
Übrigens wenn die IP 78.xxx.xxx.xx3 nicht pingbar ist, ist das erstmal nicht verwunderlich, denn das ist ja der Provider Router. Vernüftige Provider deaktivieren auf diesen Geräten aus Sicherheitsgründen immer generell ICMP um eben Pings und Traceroutes zu unterbinden.
Kannst du ausschliessen das dein Provider das nicht gemacht hat ?
Um das querzuchecken kannst du die 78.xxx.xxx.xx3 IP mal von einem anderen Netzwerk oder Mobilfunknetz pingen.
Sollte das auch nicht gehen, dann ist vermutlich wirklich ICMP blockiert dort.
Leider hats bei dir zu diesem einfachen Test ja auch nicht gereicht..
Möglich natürlich auch das der Hitron gar nicht als Bridge sondern als Router arbeitet, oder die Leitung selber gestört ist.
Dann hast du aber eh ganz andere Probleme...
NAT*§%§&D=$ verdannt. Sry da hab ich die letzten 24h nicht dran gedacht und jetzt geht es.
Oha...da warst du jetzt schneller...Auf sowas Banales kommt man gar nicht mehr...
Case closed !!
...noch nie eine Netzwerk-Bridge eingesetzt .....
Hier ist hoffentlich der Hitron Router im Bridge Modus gemeint.NAT*§%§&D=$ verdannt. Sry da hab ich die letzten 24h nicht dran gedacht und jetzt geht es.
Aha.Gruß
Dobby
Ja ich wollte erstmal wirklich nur Unitymedia als Uplink und schon das ging nicht. Ping auf den Router war per default erlaubt, ist mir auch recht so.
Jetzt wo das läuft geht auch Upload-Balancing ohne Probleme. Einzig die DATEV mag meine neue (statische) Route noch nicht aber das wird sich hoffentlich finden.
Jetzt wo das läuft geht auch Upload-Balancing ohne Probleme. Einzig die DATEV mag meine neue (statische) Route noch nicht aber das wird sich hoffentlich finden.
Das kann ja dann nur einzig am Endgerät liegen.
Wie gesagt...die Routing Tabelle schafft immer Klarheit !! (Auf dem PC übrigens route print (Winblows) oder ip route show (unixoide OS)
Wie gesagt...die Routing Tabelle schafft immer Klarheit !! (Auf dem PC übrigens route print (Winblows) oder ip route show (unixoide OS)
