108436
Goto Top

T-Online und die Sophos -Problem mit den Emails

Guten Abend
Folgendes Problem:
meine Clients können keine emails von t-online holen , wenn sie hinter der Sophos hängen.
es betrifft
-Apple Iphone
-Samsung Galaxy
-Windows und Mac Outlook

ich habe einen Exchange hier mit smtp proxy, firewall ist so weit ich sehen kann richtig konfiguriert, was die ports betrifft, trotzdem geht es nicht
habe ich etwas übersehen ?
wäre um einen kleinen tipp dankbar
Danke
Bootloader

Content-Key: 313728

Url: https://administrator.de/contentid/313728

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: Pjordorf
Pjordorf 26.08.2016 um 21:59:45 Uhr
Goto Top
Hallo,

Zitat von @108436:
meine Clients können keine emails von t-online holen , wenn sie hinter der Sophos hängen.
Ports gesperrt?

ich habe einen Exchange hier
Und was hat das jetzt mit deinen Clients zu tun die keine Post von den Anbietern holen können?
Oder holen die Clients nicht selbst die Post sonden ein POPper macht das für dein Exchange und die Clients melden sich bracv am Exchange an oder werden dir sämtliche Mails per MX (SMTP) zugestellt zu dein Exchange und deine Clients melden sich brav an oder oder oder?

habe ich etwas übersehen ?
Woher sollen wir das wissen mit deinen zurückhaltenden informationen? Vielleicht beschreibst du etwas genauer wie deine Apples, Samsungs, iMacs und Windowskisten den ihre mails holen, senden oder am Exchange angebunden sein sollen. Geht es nur bei McDonalds nicht oderauch nicht in ihren Wohungen oder in eurem Stanzwerk oder im Panzerschrank der Buchhaltung?

wäre um einen kleinen tipp dankbar
Frag uns mal face-smile (und ist nicht deine erste Frage hier)

Gruß,
Peter
Mitglied: Deepsys
Deepsys 27.08.2016 um 14:39:34 Uhr
Goto Top
Hi,

und was sagt die Sophos im Log wenn du E-Mails abholen willst?
Kann es sein das du die Ports nicht für die verschlüsselten POP oder IMAP geöffnet hast?

Was genau macht der Exchange?


VG,
Deepsys
Mitglied: 108436
108436 29.08.2016 um 17:22:14 Uhr
Goto Top
Hi
folgendes:

fritzbox---> lan karte" extern"sophos->>lan karte "intern" --->switch->>> clienten und exchange.
exchange ist ganz andere baustelle, ports freigegeben, past, ebenso die proxys aktiv.
firewallregel für:
1.dns
2.clients zu internet alles freigegeben
das wars

sobald aber ein client über den mailclient von zb ios, eine email abrufen / senden will geht nichts.
die firewall zeichnet hierzu nichts auf , hab das live log mitlaufen lassen
Mitglied: Pjordorf
Pjordorf 29.08.2016 um 18:36:40 Uhr
Goto Top
Hallo,

Zitat von @108436:
fritzbox---> lan karte" extern"sophos->>lan karte "intern" --->switch->>> clienten und exchange.
Das erklärt schon mal Verkabelung.

exchange ist ganz andere baustelle
?!? Was soll uns das sagen?

ports freigegeben
Welche ports wo und für was?

ebenso die proxys aktiv.
Die (Mehrzahl) proxys? Für was und wo und wie angebunden bzw. sind es Transparente proxys?

firewallregel für:
Wo? Sophos? Fritte? Clients?

2.clients zu internet alles freigegeben
?!? Was soll dann deine Fritte und Sophos? Wenn jeder sowieso alles darf? Was nutzen dann Proxys....

sobald aber ein client über den mailclient von zb ios
Meinst du jetzt ein iPhone/iPad/iPod oder ein Mac system? Erstes haben kein LAN, ergo muss also irgendwo ein WLAN AccessPoint sein oder nutzen die kein WLAN?

eine email abrufen / senden will geht nichts.
Wo ist deren Mailserver?
Wie kommen die zu diesen Mailserver wenn die nicht per 3G/4G/LTE dahin gehen?

die firewall zeichnet hierzu nichts auf , hab das live log mitlaufen lassen
Wundert mich nicht wenn die per 3G/4G/Lte gehen oder du hast dir ein falsche Live.log angeschaut falls du die von einer Sohos UTM meinst. Die Sophos UTM kennt mehr als ein Live.log Welches hast du genutzt und nutzen deine erwähnten Geräte auch diese Protokolle bzw. regeln und sind an diesen regeln auch das Logging eingetragen?

Gruß,
Peter
Mitglied: BirdyB
BirdyB 29.08.2016 um 19:05:37 Uhr
Goto Top
Hallo bootloader,

hast du irgendwelche Einstellungen bei E-Mail-Protection aktiviert? Arbeitet die Sophos als Mail-Gateway für deinen Exchange?

Beste Grüße!
Mitglied: 108436
108436 29.08.2016 um 21:48:06 Uhr
Goto Top
Hi
also die sophos srbeitet als exchange proxy
die fritte ist blos als modem und voip im einsatz, rest macht die sophos
die clients sind im wlan und können lediglich nicht tonline erreichen, exchange läuft alles wie gewünscht.
DIE proxys sind für smtp und web suft aktiv
Mitglied: theoberlin
theoberlin 01.09.2016 aktualisiert um 09:08:15 Uhr
Goto Top
Hi Bootloader,

Modem und VoIP verträgt sich ja schonmal nicht wenn ich richtig liege.
Entweder du nutzt die als Modem und eben nur als das, oder eben als Modem + Router wobei die fritzbox dann auch den VoIP Kram macht.

An welcher Stelle machst du die PPPoE Einwahl? Fritzbox oder Sophos?

Geht der restliche Internetkram bezüglich der Clients?

In welchem WLAN sind die Clients? Hast du eine AP an der Sophos?

Eine kurze Netzwerkskizze währe glaub ich hilfreich.

LG
Theo
Mitglied: 108436
108436 05.09.2016 um 19:59:20 Uhr
Goto Top
Hallo
also dir fritz ist modem und voip.
ich werde die skizze mal anfertigen
Mitglied: 108436
108436 05.09.2016 um 20:37:26 Uhr
Goto Top
so hier.

die IPTV müssen vor die utm, da diese sonst nicht mehr funktionieren, damit meine ich funktionen wie Recorder usw.

Die handys sind zwar an der Fritzbox , aber als gateway haben die die Sophos.

ich hoffe es ist besser zu erkennen
MfG
netzwerk
Mitglied: theoberlin
theoberlin 05.09.2016 aktualisiert um 21:06:45 Uhr
Goto Top
Also wenn du Entertain Clienten und Handys an der Fritzbox hast kann die KEIN reines Modem sein sondern muss ein Router sein.

Nochmal die Frage--> wo wählst du dich mit PPPoE ein? Fritzbox nehme ich an?

Funktioniert das normale Internet an den Clients hinter der Sophos?

Was für Netze sind verwendet? Separates Lan Segment an der Sophos? Server in der DMZ oder im Lan?

Ideal wäre wenn du deine Skizze um die verwendeten Netze und Adressen ergänzt.

LG
Theo
Mitglied: Pjordorf
Pjordorf 06.09.2016 um 01:28:31 Uhr
Goto Top
Hallo,

Zitat von @108436:
Die handys sind zwar an der Fritzbox , aber als gateway haben die die Sophos.
Und wie bitte soll das funktionieren. Laut deiner Zeichnung ist das Blödsinn da deine FritzBox ja vor der Sophos steht und somit nichts mit der Sophos zu tun haben. Alles was per WLAN an deine Fritte hängt hat nichts mit der Sophos zu tun.

Deine Clients hinter der Sophos können all das was du in der Sophos Erlaubt hast. Dein Exchange braucht TCP 25 zum erhalten seiner mails. Deine Clients welche Post selbststänfig ohne den exchange zu bemühen post abholen und senden nutzen Ports für SMTP, POP, IMAP und natüröich die S Varianten (SMTPs, POPs, IMAPs) dazu. Diese müssen natürlich für die Clients ausgehend erlaubt sein (eingehend natürlich auch). Deine Smartphones am WLAN der Fritte haben was du in der Sophos einstellst nichts zu tun. Das sind zwei grundlegend verschiedene Baustellen und können somit auch nicht daten in oder aus dein LAN (hinter der Sophos) nutzen. Dazu solltest du dann VPN nutzen und dir überlegen wie du von Ausserhalb deiner Fritte sowie vom Fritten netz per gleichen Namen dein VPN nutzen kannst. Dann geht auch Zugriff auf Daten innerhalb deines LANs (DC etc.). Web´nn deine Smartphones tatsächlich im LAN mitspielen sollen, einen AP im LAN integrieren und nicht das Fritten WLAN nutzen. Du hast auch kein Fritten Gastnetz über LAN 4 (Sophos) gemacht und in der Fritte sogar Mailports gesperrt?

Gruß,
Peter
Mitglied: 108436
108436 06.09.2016 um 09:10:58 Uhr
Goto Top
Hi
Der Exchange funktioniert das ist alles kein Problem

Problem macht die Telekom Email
Egal ob am Fritz WLAN oder am LAN hinter der sophos
Mitglied: Pjordorf
Pjordorf 06.09.2016 um 09:40:15 Uhr
Goto Top
Hallo,

Zitat von @108436:
Egal ob am Fritz WLAN oder am LAN hinter der sophos
Zuerst waren es doch nur die Clients hinter der Sophos. Was jetzt?

IP der Fritte
WAN IPO der Sophos
LAN der Sophos
IPConfig /all vom Client an der Fritte
IPConfig /all vom Client an der Sophos

Problem macht die Telekom Email
Fehlermeldung(en)?
Senden?
Empfangen?
WebMail?
SMTP?
POP?
IMAP?

Gruß,
Peter
Mitglied: theoberlin
theoberlin 06.09.2016 um 10:05:12 Uhr
Goto Top
Wie Gesagt, bitte ergänze die Skizze um die Netze damit wir einen Eindruck bekommen welche Geräte wo hängen und wo es Probleme gibt.

Beispiel:

Fritte ist normaler Router. Sophos macht kein Outgoing NAT. Keine Route in der Fritte zum Segment hinter der Sophos --> Ergo kein Internet an den Clients. Das muss natürlich nicht stimmen, aber ein Beispiel dafür, dass du Details zu deiner Konfig posten musst damit wir das Problem sehen.

lg
Theo
Mitglied: 108436
108436 23.09.2016 aktualisiert um 17:32:25 Uhr
Goto Top
Hallo
entschuldigt die lange auszeit, ich bin aber immernoch krank face-sad
hier die Erledigte Hausaufgabe face-smile


ergänzung:

DHCP vergibts folgendes:
"Clients Verkabelt"
IP:192.168.2.2-192.168.2.200
DNS:192.168.2.116(DC)
Standatgateway:192.168.2.100

DHCP vergibt folgendes bei "Drahtlos" und EBENSO bei den IPTV Geräten
IP:192.168.2.200-192.168.2.255
DNS:192.168.2.116(DC)
Standatgateway:192.168.2.1(fritzbox)

die Server selbst sind alle Reserviert.
DNS bekommt von der Sophos und die sophos von google Public DNS seine anfragen.


Problem:
ich kann von den Geräten die DRAHTLOS anhängen, also an der Fritz KEINEN zugriff auf die SERVER DC,EXCHANGE usw bekommen. wiso?
Wenn ich einen AP an die Sophos anschliesse kann ich nicht auf die Fritzbox zugreifen ...
netzwerk
Mitglied: BirdyB
Lösung BirdyB 23.09.2016 um 17:36:08 Uhr
Goto Top
Oh Backe, was für ein vergurktes Netzwerksetup...
Warum hast du vor und hinter der Sophos das gleiche Subnetz genommen? Da sind Probleme schon vorprogrammiert...

Zitat von @108436:
Problem:
ich kann von den Geräten die DRAHTLOS anhängen, also an der Fritz KEINEN zugriff auf die SERVER DC,EXCHANGE usw bekommen. wiso?
Woher soll die Fritzbox wissen, dass DC und Exchange hinter einer Firewall hängen?
Wenn ich einen AP an die Sophos anschliesse kann ich nicht auf die Fritzbox zugreifen ...
Ist klar, wenn du zwei mal das gleiche Subnetz verwendest...

Also: verschiedene Subnetze im Sophos- und Fritz-Netz verwenden, die richtigen Routen setzen und dann läuft das wie gewünscht...
Mitglied: 108436
108436 23.09.2016 aktualisiert um 17:48:44 Uhr
Goto Top
die e sophos ist erst nachher gekommen, deswegen.
also ich ändere das subnetz der fritzbox, richtig ?
dann stelle ich das standartgateway aud den wan port auch die neue ip um
dann im dhcp die WLAN einstellungen ändern ?!
Mitglied: BirdyB
Lösung BirdyB 23.09.2016 um 22:19:37 Uhr
Goto Top
Zitat von @108436:

die e sophos ist erst nachher gekommen, deswegen.
Kein Grund, es nicht direkt richtig zu machen...
also ich ändere das subnetz der fritzbox, richtig ?
Ja...
dann stelle ich das standartgateway aud den wan port auch die neue ip um
Ja und du gibst der Fritte eine Route für das 192.168.2.0/24 auf die WAN-IP der Sophos
dann im dhcp die WLAN einstellungen ändern ?!
Was willst du da ändern?
Mitglied: 108436
108436 24.09.2016 um 09:06:07 Uhr
Goto Top
Hi
Die fritte bekommt nun 192.168.1.0 als ip
Die Route in der sophos wie stelle ich das ein ? Stehe gerade auf dem Schlauch.
Im dhcp muss ich das standardgateway für die IPTV Geräte von 192.168.2.1 auf 192.168.1.0 andern
Mitglied: colinardo
Lösung colinardo 24.09.2016 aktualisiert um 09:36:16 Uhr
Goto Top
Moin bootloader,
Zitat von @108436:
Die fritte bekommt nun 192.168.1.0 als ip
Das ist wohl ein Scherz face-big-smile. Auch wenn du das noch so sehr versuchst, das klappt niemals face-smile die 0 ist reserviert als Netzadresse des Subnetzes, diese lässt sich niemals einem Gerät zuweisen!

Das was du da hast ist eine simple Routerkaskade, also Fritte ein anderes Subnetz als das jetzige und setze auf der FB eine statische Route ala
Netzwerk : 192.168.2.0
Netzmaske: 255.255.255.0
Gateway: 192.168.1.99 (IP der Sophos auf dem WAN ändern und NAT abschalten wenn du transparent von dem Netzwerk der Fritte auf das der Sophos zugreifen willst, denn sonst ist das eine Einbahnstraße)
Firewall der Sophos nicht vergessen!! Diese muss den Traffic natürlich durchlassen.
Grundlagen zu Routerkaskaden findest du wie immer hier
Kopplung von 2 Routern am DSL Port

Grüße Uwe
Mitglied: 108436
108436 25.09.2016 aktualisiert um 09:14:39 Uhr
Goto Top
Guten Morgen
Sorry meine natürlich 1 und nicht 0 face-smile
ich dachte an 192.168.1.1 für die fritzbox
Und an 192.168.1.99 für die wan Karte der UTM

Ich probiere das später ein mal

Bis bald
Mitglied: 108436
108436 25.09.2016 um 10:19:43 Uhr
Goto Top
Statische IPv4 Route an der fritzbox :
Es ist ein Fehler aufgetreten.
Fehlerbeschreibung: Die Route ist nicht zulässig.
Bitte geben Sie Ihre Daten noch einmal ein. Sollte der Fehler erneut auftreten, wenden Sie sich bitte an den AVM-Support.

Daten wurden nach den o.g adressen eingegeben
Mitglied: colinardo
Lösung colinardo 25.09.2016 aktualisiert um 10:46:17 Uhr
Goto Top
Dann hast du das Netzwerk der Fritte noch nicht auf das 192.168.1.X Netz angepasst, oder du hast eine veraltete Firmware auf der Fritte.
Die Route muss gehen, ansonsten hat deine Box einen Bug, in dem Fall die BOX resetten.

Das ist doch echt pillepalle
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Das sind simpelste Routinggrundlagen die du an jeder Ecke des Web nachlesen kannst, läuft 1000% ig ansonsten hast du den Fehler durch Fehlkonfiguration verursacht.
Mitglied: 108436
108436 25.09.2016 um 18:28:04 Uhr
Goto Top
Hi
danke für deine Mühe
ich habe die box ersteinmal Geupdatet.
dann habe ich die Route erstellt. Passt soweit.
Leider geht blos das Wlan nicht, also die ganzen gräte können den DNS nicht erreichen.
die geräte am kabel schon!
Mitglied: Pjordorf
Lösung Pjordorf 25.09.2016 um 18:50:05 Uhr
Goto Top
Hallo,

Zitat von @108436:
Leider geht blos das Wlan nicht
geht wirklich das WLAN nicht oder nur einige Zugriffe und Ziele?

also die ganzen gräte können den DNS nicht erreichen.
Woher bekommen die den dein DNS mitgeteilt welchen die verwenden sollen? Von der Fritte oder manuell?

die geräte am kabel schon!
Wundert dich das wenn die Geräte per LAN in ein ganz anderes Netz Zuhause sind und einen anderen DHCP verwenden?

Gruß,
Peter
Mitglied: 108436
108436 25.09.2016 um 18:52:28 Uhr
Goto Top
Alle Geräte bekommen die ip´s vom DHCP der auf dem DC installiert ist also 192.168.2.116
wenn ich das WLAN an dem Iphone 6 zB aktiviere dreht sich blos der kringel.seit etwa 5 minuten ...
Mitglied: colinardo
Lösung colinardo 25.09.2016 aktualisiert um 19:01:28 Uhr
Goto Top
DHCP findet auf Layer-2 Ebene statt DHCP Pakete werden nicht geroutet, sie sind also Subnetzgebunden! Du musst also entweder in dem einen Subnetz die Fritte die IPs und den DNS der Sophos verteilen lassen oder den DHCP der Fritte deaktivieren und den auf der Sophos auf zwei Interfaces lauschen lassen mit unterschiedlichen Subnetzeinstellungen (Pools) für das jeweilige Netz.
Mitglied: 108436
108436 25.09.2016 um 18:57:38 Uhr
Goto Top
Hallo
Hier ein Screenshot
Was ist das für eine komische ip?
Dhcp ist an der Fritz definitiv aus
img_1507
Mitglied: colinardo
Lösung colinardo 25.09.2016 aktualisiert um 18:59:58 Uhr
Goto Top
S.o. mein letztes Kommentar DHCP Pakete werden nicht geroutet !!! Du hast hier zwei Subnetze!

Was ist das für eine komische ip?
APIPA ! Ein Adressbereich wenn ein Client keine IP zugewiesen bekommt.

Hier fehlt mal wieder jegliches Grundlagenwissen face-sad
Mitglied: Pjordorf
Lösung Pjordorf 25.09.2016 aktualisiert um 18:59:27 Uhr
Goto Top
Hallo,

Zitat von @108436:
Alle Geräte bekommen die ip´s vom DHCP der auf dem DC installiert ist also 192.168.2.116
Und, was sagt dein Eierfon was es an IP Einstellungen denn nun bekommen hat? Und können diese IPs auch alle verwendet werden? Ein Wireshark löst deine zukunfts zukünftigen fragen face-smile

Gruß,
Peter
Mitglied: Pjordorf
Lösung Pjordorf 25.09.2016 um 19:03:48 Uhr
Goto Top
Hallo,

Zitat von @108436:
Was ist das für eine komische ip?
Da ist nichts komisches zu sehen. Das ist eine APIPA IP und die gibbet schon seit 15 - 20 Jahren.... Was hast du als beruf - nicht IT oder?

Dhcp ist an der Fritz definitiv aus
Schön, aber würde dein DHCP auf dein Server eh nicht stören wenn du nichts getan hast um DHCP über Broadcastgrenzen hinweg zu transportieren. Die Sophos ist da ein natürliches Hinderniss (NAT und oder Router Modus)

Gruß,
Peter
Mitglied: 108436
108436 25.09.2016 aktualisiert um 19:40:44 Uhr
Goto Top
Hi, danke Pjordorf & Cloinardo
ich mache eine Ausbildung zum Industriemechaniker. Bin übrigens erst 21 Jahre alt face-smile In der Freizeit Restauriere ich Sportboote der 70er Jahre
Seit ca. 2010 Betreibe ich zuhause Server. seit ca. 2 Jahren eine Funktionierendes AD und einen Exchange zuhause.
Soweit hatte ich relativ wenige Probleme mit dem Einrichter dieser Server.
blos Routing & Nat. , ipv6 usw., habe ich mich immer gedrückt, und konnte bis jetzt mit meinen pipifax viele Probleme Verhindern.
die Sophos habe ich seit ca. 60 tagen, nachdem mir das ESET Mail Security zu teuer war.(

nun bin ich an den Punkt angelangt. Routing und Subnetze .. man lernt ständig dazu, und ich bin heilfroh dass ihr mir hier hilft. Jeder fängt mal klein an und ich bin Gott sei Dank nicht in meiner Firma in der Situation.

nun zurück zu Meinem Problem.
ich habe in meinem DHCP Server eine neue Zone gemacht, und diese konfiguriert.
In der Sophos habe ich ein DHCP relay erstellt und den DC(DHCP) eben dort eingetragen.
Jetzt funktioniert schon mal die vergabe der ip´s
aber das internetz kann ich dennoch nicht auf den WLAN geräten besuchen... ich hab noch was vergessen oder???
Mitglied: colinardo
Lösung colinardo 25.09.2016 aktualisiert um 19:50:40 Uhr
Goto Top
ich habe in meinem DHCP Server eine neue Zone gemacht, und diese konfiguriert.
In der Sophos habe ich ein DHCP relay erstellt und den DC(DHCP) eben dort eingetragen.
Nope, erstens sind die Einstellungen auf dem Bild falsch, hier gehört dein WAN Interface rein und zweitens müsstest du dann auf deinem dem DHCP-Server(nicht der Sophoseigene) eine Richtlinie/Bedingung für den neuen Adressbereich (Bereich > Richtlinien) anlegen damit die Clients im anderen Subnetz auch eine IP aus dem 192.168.1.x Netz erhalten, wäre ja Blöd wenn diese eine 2.X Adresse bekämen.
https://blogs.technet.microsoft.com/teamdhcp/2012/10/01/dhcp-policies-ba ...

Ich würde hier aber stattdessen auf der Sophos einen extra DHCP-Server einrichten der die Settings nur auf dem WAN verteilt.
Mitglied: 108436
108436 25.09.2016 um 20:11:20 Uhr
Goto Top
Hi
also, das DHCP Problem habe ich nun behoben, es funktioniert .
Aber ich kann mit den WLAN geräten trotzdem nicht ins internet...
Muss ich hier auf der sophos auch eine statische route setzen ?
Mitglied: colinardo
Lösung colinardo 25.09.2016 aktualisiert um 20:24:13 Uhr
Goto Top
Zitat von @108436:
Aber ich kann mit den WLAN geräten trotzdem nicht ins internet...
Muss ich hier auf der sophos auch eine statische route setzen ?
Nein, erst Nachdenken: die Sophos ist mit beiden Netzen verbunden, kennt sie also bereits (hat beide Netze in der Routingtabelle), also ist eine Route Blödsinn.
Du hast bestimmt in der Firewall der Sophos Port 53 UDP/TCP (DNS Anfragen)nicht fürs Forwarding freigeschaltet damit die Clients DNS Anfragen an deinen DNS-Server schicken können. Richte dort erst mal eine Any-To-Any Regel für alles ein das macht es für dich als Anfänger erst mal einfacher.
Mitglied: 108436
108436 25.09.2016 um 20:30:27 Uhr
Goto Top
HI
also, DNS und von "INNEN-AUSSEN" hatte ich bereits davor schon aktiv.
bei "innen nach aussen" habe ich dienste auf any gestellt

jetzt habe ich eine ANY-any-ANY regel erstellt, das macht aber keinen unterschied, irgendwie komme ich trotzdem nicht ins internet face-sad

das gibts doch nichtface-sad bin ich echt sooo doof ?????
sophos
Mitglied: colinardo
Lösung colinardo 25.09.2016 aktualisiert um 20:40:39 Uhr
Goto Top
Ping erst mal von deinem Handy aus den DNS-Server, das muss funktionieren sonst brauchen wir hier erst gar nicht weiter zu machen. Achtung der DNS-Server sollte Anfragen aus allen Subnetzen annehmen (In der Firewall des Servers sicherstellen) damit das alles überhaupt funktioniert.

Default-Gateway für die Clients im WLAN stimmt (am Telefon checken (192.168.1.1)) ?

Wie immer ist Wireshark dein Freund wenn was nicht läuft wie es soll!

bin ich echt sooo doof ?????
Nein, aber du solltest dich vielleicht vorher erst weiter belesen denn nur mit Trial & Error kommst du hier nicht weit, hier musst du strategisch vorgehen, erst mal alle Firewalls aus und Schrittweise die Verbindungen via tracert & co überprüfen.

Schönen Sontagabend noch, I'm out.
Mitglied: 108436
108436 25.09.2016 aktualisiert um 20:50:18 Uhr
Goto Top
also, DNS geht nicht!
ich sitze an meinem laptop, habe zum schreiben hier ein lan kabel da, zum testen steck ich es einfach ab face-smile
Wie beim DHCP habe ich auch hier wieder WAN Schnittstelle hinzugefügt. -> die Garäte am Router also am WAN kabel müssen auch DNS anfragen zugelassen bekommen .
sophos
Mitglied: Pjordorf
Lösung Pjordorf 25.09.2016 um 21:03:44 Uhr
Goto Top
Hallo,

Zitat von @108436:
also, das DHCP Problem habe ich nun behoben, es funktioniert .
Bedeutet deine WLAN Geräte bekommen jetzt welche IP bzw. aus welchem Netz? Wie sehen die aus? Ein IPConfig /all mal hier ein stellen.
Dein Fritten Netz ist das 192.168.1.0/24?
Sein Sophos Netz ist das 192.168.2.0/24?
Nur deine IPTVs sollen wegen IPTV im Frittennetz bleiben und weil du keinen AP im Sophos Netz machen willst auch die WLAN Geräte? Welche funktion soll dann die Sophos UTM (unified Threat Management) dann noch haben?

Aber ich kann mit den WLAN geräten trotzdem nicht ins internet...
Was geneu geht nicht? Dein Ausbilder prügelt dich auch wenn du immer sagst "Die Schraube geht nicht".

Muss ich hier auf der sophos auch eine statische route setzen ?
Papp dir einen Access Point in dein Sophos Netz für deine WLAN Geräte, dann passt das alles.

Gruß,
Peter
Mitglied: Pjordorf
Lösung Pjordorf 25.09.2016 aktualisiert um 21:15:05 Uhr
Goto Top
Hallo,

Zitat von @108436:
das gibts doch nichtface-sad bin ich echt sooo doof ?????
Kein Kommentar face-smile

Die Regel Nummer 7 und 8 und 9 werden hier niemals angewendet da Regel Nummer 6 schon alles abdeckt und da in der Reihenfolge Nummer 6 zuerst kommt, wird dort dann alles abgefrühstückt. Die anderen Regeln werden gar nicht erst angeschaut oder angewendet. First match wins.

Wenn du wirklich nur einen Software Router haben willst, da gibt es andere Alternativen welche nur Routen....

ich sitze an meinem laptop, habe zum schreiben hier ein lan kabel da, zum testen steck ich es einfach ab
Mache mal dort ein IPConfig /all und stell uns das hier rein.

Gruß,
Peter
Mitglied: 108436
108436 25.09.2016 um 21:20:21 Uhr
Goto Top
Hi Peter

Also die WLAN geräte bekommen folgende einstellungen:
IP: 192.168.1.2 -192.168.1.200
DNS:192.168.2.116
STANDARTGATEWAY:192.168.2.100

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Philipp>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : PHILIPPSLAPTOP
   Primäres DNS-Suffix . . . . . . . : philipp.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : philipp.local

Ethernet-Adapter Ethernet:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: philipp.local
   Beschreibung. . . . . . . . . . . : Realtek PCIe FE Family Controller
   Physische Adresse . . . . . . . . : 74-86-7A-5A-F9-FD
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physische Adresse . . . . . . . . : 1A-5A-B6-3B-E2-1B
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter WLAN:

   Verbindungsspezifisches DNS-Suffix: philipp.local
   Beschreibung. . . . . . . . . . . : Dell Wireless 1705 802.11b|g|n (2.4GHZ)
   Physische Adresse . . . . . . . . : 48-5A-B6-3B-E2-1B
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::512e:5885:86a1:a007%5(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.8(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Sonntag, 25. September 2016 20:44:41
   Lease läuft ab. . . . . . . . . . : Montag, 26. September 2016 20:44:41
   Standardgateway . . . . . . . . . : 192.168.1.100
                                       
   DHCP-Server . . . . . . . . . . . : 192.168.2.116
   DHCPv6-IAID . . . . . . . . . . . : 71850678
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-DE-74-B3-74-86-7A-5A-F9-FD
   DNS-Server  . . . . . . . . . . . : 192.168.2.116
                                       
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Bluetooth-Netzwerkverbindung:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physische Adresse . . . . . . . . : 48-5A-B6-3B-E2-1C
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.philipp.local:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:philipp.local
   Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2001:0:9d38:6abd:303e:2450:a872:e34b(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::303e:2450:a872:e34b%40(Bevorzugt)
   Standardgateway . . . . . . . . . : ::
   DHCPv6-IAID . . . . . . . . . . . : 436207616
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-DE-74-B3-74-86-7A-5A-F9-FD
   NetBIOS über TCP/IP . . . . . . . : Deaktiviert

C:\Users\Philipp>


Dein Fritten Netz ist das 192.168.1.0/24?
Sein Sophos Netz ist das 192.168.2.0/24?

Richtig

ich kann den DNS nicht anpingen...
C:\Users\Philipp>nslookup
DNS request timed out.
    timeout was 2 seconds.
Standardserver:  UnKnown
Address:  192.168.2.116

C:\Users\Philipp>

ich steh grad so auf dem schlauch, peinlich...
Mitglied: Pjordorf
Lösung Pjordorf 25.09.2016 aktualisiert um 22:15:20 Uhr
Goto Top
Hallo,

Zitat von @108436:
ich kann den DNS nicht anpingen...
Lässt denn deine Sophos die ICMP Anfragen überhaupt durch? Normal werden die WAN aufgehalten..... Was sagt das Live Firewall Protokoll? Die Option ein Protokoll deiner regeln zu schreiben hast du gesetzt (für jede Regel individuell)? Wie ist deine Sophos Konfiguriert? Sicher dein deine netze eine IP haben sollen) Dein Regeln sagen es jedenfalls. Du hast am WAN einmal die IP vom Interface, dann einmal die Broadcast Adresse und einmal das Netz ind CIDR Schreibweise und das ganze auch für dein einziges LAN? In deine Regeln 6 -8 deutlich zu sehen das dort mit IPs und nicht mit den Netz gearbeitet wird. Sorry wenn es hart klingt. Bringe dir erstmal dein Basics bei bevor du dir gleich eine UTM nimmst und erwartest das durch ein Klicvk hier und ein Klick dort dein Szenario mal eben gelöst wird. Aus Sicht der Sophos hast du ein unsicheres und ein sicheres Netz. Das unsichere soll eigentlich immer draussen bleiben und genau das tut die UTM erstmal. Du brauchst aber auch die richtige grundlegende Konfiguration nämlich pro Interface ein eine Intern LAN IP (192.168.2.100, ein Intern LAN Netz (192.168.2.0/24) und ein Intern LAN Broadcast (192.168.2.255) und das ganze auch für dein WAN. Dann musst du zwingend dich entscheiden ob die Sophos ICMPs grundätzlich weg tut (Firewall Sttings Reiter ICMP) oder durchlassen soll und eventuell auch Firewall Regeln dafür bauen.

Eine Sophos UTM ist eben keine Fritte und erwartet das der Bediener tatsächlich weiß was er tut...

Auch ein Wireshark auf beiden seiten wird dir sagen ob ein Paktet überhaupt ankommt und nur die Antwort falsch läuft oder ob erst ga kein Paket (ICMP Anfrage) ankommt.

Gruß,
Peter
Mitglied: colinardo
Lösung colinardo 25.09.2016, aktualisiert am 26.09.2016 um 00:13:41 Uhr
Goto Top
STANDARTGATEWAY:192.168.2.100
Falsch! Das Standardgateway muss eine IP aus dem selben Subnetz in dem der Client sich befindet sein, also sollte dies die Fritte 192.168.1.1 sein. Die Fritte kennt Ihrerseits das 2.X Netz durch die statische Route und Routet dann alle Anfragen für das 2.X Netz an die Sophos.
Mitglied: 108436
108436 25.09.2016 aktualisiert um 22:37:40 Uhr
Goto Top
img_1511
img_1508
Hi
Also die icmp werden durchgelassen
Die Einstellung habe ich beim einrichten damals schon gemacht.
Das mit den firewallregeln sieht komisch aus , das liegt daran , dass ich bei der Beschreibung der Netzwerkkarte die ip auch noch mal rein geschrieben habe.
Ich mache noch mal schnell Fotos
Mitglied: Pjordorf
Lösung Pjordorf 25.09.2016 um 22:50:22 Uhr
Goto Top
Hallo,

Zitat von @108436:
Also die icmp werden durchgelassen
Also kannst du jetzt den DNS anpingen und bekommst auch eine Antwort. Vorhin hies es noch
ich kann den DNS nicht anpingen...
Was den nun, und welchen NS meinst du überhaupt, die ist bekannt das es Weltweit gaaanz viele DNServer gibt.

dass ich bei der Beschreibung der Netzwerkkarte die ip auch noch mal rein geschrieben habe.
Und damit machst du dir selbst dein Leben schwer. Es ist nicht deine Netzwerkkarte welche die regeln braucht, es sind deine Netze. Für einzelnen IPs oder Interfaces mag es noch passen. Aber irgendwann hast du kein überblick mehr. Schau mal in 3 Monate wieder in deine Sophos und du fragst dich was ist was.

Gruß,
Peter
Mitglied: 108436
108436 25.09.2016 um 23:06:49 Uhr
Goto Top
Hallo Peter
Trotz icmp können die WLAN Geräte nicht meinen DC und DNS erreichen .
Mitglied: colinardo
Lösung colinardo 26.09.2016 aktualisiert um 00:14:15 Uhr
Goto Top
Zitat von @108436:
Trotz icmp können die WLAN Geräte nicht meinen DC und DNS erreichen .
Kein Wunder... hast du meinen letzten Kommentar zum Standardgateway nicht gelesen ? Der ist falsch und der Grund warum du keine Verbindung zu nichts bekommst.
Mitglied: 108436
108436 26.09.2016 aktualisiert um 09:13:49 Uhr
Goto Top
Hi
Das habe ich bereits berichtigt
Jetzt geht es , Gestern nacht ist es nicht gegangen.. hat isich wohl etwas gesetzt