Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 28 subscribers
  • Views 13271 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

zweites Netz ins Internet routen

michael hens

Hallo Forumsgemeinde,

 

in den letzten Tagen wurde unser Firmennetzwerk in ein Verwaltungsnetz (192.168.1.X) und ein Maschinennetz (192.168.10.X) unterteilt.

Aus dem Verwaltungsnetz kann ich problemlos auf Internetseiten zugreifen und die entsprechenden Firewall Regeln in der SOPHOS SG230 greifen korrekt.

Die SOPHOS befindet sich hinter einem LANCOM Router welche die Internetanbindung aufrecht erhält. (10.10.10.10)

Für das Routing zwischen Maschinen- und Verwaltungsnetz wird ein zusätzlicher LANCOM Route verwendet. (IP 192.168.1.200 und 192.168.10.200)

 

Mein Problem besteht nun darin, das ich aus dem Maschinennetzwerk bis zur SOPHOS gelange, es aber nicht möglich ist eine Internetseite zu öffnen.

An der SOPHOS habe ich eine statische GATEWAY-Route eingerichtet mit

Netzwerk (192.168.10.0/24)

Gateway (192.168.1.200)

 

Allem Anschein nach werden die Pakete aus dem 192.168.10.X Netz zwar raus, aber leider nicht mehr zurück geroutet.

Was muss ich neben der statischen Route und entspr. Firewall Regel noch einstellen damit die SG230 (192.168.1.253) die Pakete in beide Netze routet?

 

MfG

Michael



This thread was automatically locked due to age.
Parents
  • 0

    Was dir fehlen wird ist die NAT-Maskierung

     

    Network Protection -> NAT -> Maskierung -> Neue Maskierungsregel

    Und dann bei Netzwerk dein Maschinennetz und als Schnittstelle dein Uplink Interface

  • 0 in reply to Steve Lang

    Die folgenden NAT Einträge habe ich nun.

    Leider ist es weiterhin nicht möglich aus dem Maschinennetz ins Internet zu gelangen.

  • 0 in reply to michael hens

    Hallo Michael,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I would get rid of the LANCOM router and connect the 192.168.10.0/24 subnet to another interface on your UTM.  That will simplify your routing problems and allow a more-elegant configuration.

    Do you see anything related to this in the Firewall log?  What about the Web Filtering log?  If not, then please show a simple diagram of your topology including IP addresses.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Guten Morgen!

     

    Sorry, komme aktuell zeitlich nur bedingt dazu das Thema weiter zu verfolgen.
    Ich werde die Idee mit dem Routing über ein anderes Interface an der SOPHOS einmal testen und mich anschl. wieder melden.

     

    Euch bis hierher schon einmal vielen Dank für die Unterstützung.

Reply
  • 0 in reply to BAlfson

    Guten Morgen!

     

    Sorry, komme aktuell zeitlich nur bedingt dazu das Thema weiter zu verfolgen.
    Ich werde die Idee mit dem Routing über ein anderes Interface an der SOPHOS einmal testen und mich anschl. wieder melden.

     

    Euch bis hierher schon einmal vielen Dank für die Unterstützung.

Children
  • 0 in reply to michael hens

    Guten Morgen!

    Nachdem der Fehler beim LANCOM Router vermutet wurde, habe ich nun ein neues Gerät inkl. der vorherigen Konfiguration testweise eingerichtet.
    Mit diesem LANCOM ist die Internetanbindung an der SOPHOS vorbei nun schon mal problemlos möglich.


    Ändere ich die Konfiguration so ab, das der Datenverkehr Richtung Internet über die Sophos 192.168.1.253 läuft, so bekomme ich weiterhin keine Websites aufgerufen.
    Ein TRACERT und/oder PING auf die IP der Sophos wird aus dem 192.168.10...er Netz kommend sauber aufgelöst.

    Innerhalb der Sophos ist eine statische Route zwischen Maschinennetz 192.168.10... und LANCOM Router 192.168.1.200 eingerichtet.
    Muss ich eine weitere statische Route einrichten damit der zurück kommende Datenverkehr durchgereicht wird? oder reicht diese statische Route?

  • 0 in reply to michael hens

    Ich kann Bob nur zustimmen, wenn es keine triftigen Gründe dafür gibt, das Maschinennetz an dem Lancom zu betreiben wäre die bessere Variante Internet -> LANCOM -> SOPHOS < Netz 1 / Netz 2. Oder den LANCOM gleich komplett eliminieren ;-)

    Und wie er schon meinte, eine kleine Skizze deiner aktuellen Config mit entsprechenden IP-Adressbereichen wäre für das Verständis mehr als nur hilfreich.

  • 0 in reply to kerobra_retired

    Hi!


    Vielen Dank erst einmal an alle die hier versuchen mir bei meinem Thema zu helfen. 

    Ich habe versucht in Word eine Konfiguration zu skizzieren.
    Hoffe diese hilft etwas mein Problem zu verstehen.
    Es geht darum, das PC's (Maschinen) einen Internetzugriff (oder zumindest Teamviewer) ins Internet benötigen.
    Dazu müssten die Pakte aus dem 192.168.10... Netz, in welchem sich alle Maschinen befinden über die Sophos nach draußen und wieder zurück geroutet werden.
    Stelle ich am LANCOM Router in der Produktion die Sophos als DNS und Gateway auf dem eth3 Port ein, so bekomme ich keinen Internetzugriff hin.
    Ist die Konfiguration so hinterlegt, dass das Routing an der Sophos vorbei geht, so werden auch Internetseiten an den Maschinen aufgebaut.
    Somit sieht es für mich danach aus, das die Sophos die Pakete nicht sauber raus und wieder zurück routet.

    Den besagten Lancom Router würde ich gerne innerhalb der Netzwerkstruktur behalten da er das komplette Routing zwischen den genannten Netzen sowie WLAN abwickelt.

    Hier meine Skizze.

  • 0 in reply to michael hens

    Ich kapiere nicht ganz das Konstrukt mit dem Lancom-Router, bzw. seinen 2 Interfaces, wie das eth4 dann "an der UTM vorbei" ins Internet kommen kann.

    Prinzipiell sieht der Rest ganz OK aus, Du musst halt den verschiedenen Routern die für sie fremden Netze als statische Route mitteilen, da sonst alles an das jeweilge Gateway des Geräts gesendet wird. Sprich:

    - der Modemrouter braucht 2 Routen, 192.168.1.0/24 -> 10.10.10.11 sowie 192.168.10.0/24 -> 10.10.10.11

    - die UTM braucht 1 Route, 192.168.10.0 -> 192.168.1.244

    - dem LANCOM reicht die Default Route, eth4 würde ich ausstecken.

    Masquerading ist in dieser Konstellation nicht nötig, ebensowenig irgendwelche SNAT/DNAT Konstrukte. Der Modemrouter wird in Richtung Internet zwangsläufig (S)NATen, doppeltes NAT würde ich wenn es möglich ist vermeiden, da es Probleme machen kann.

     

    DNS ist jetzt nochmal ein anderes Thema. Wenn Du einen internen DNS-Server hast würde ich den für die internen Netze als DNS-Server angeben, dort ein Forwarding zur UTM und die letztlich über root hints arbeiten lassen oder dort ein weiteres Forwarding zu einem DNS-Server Deines Vertrauens.

  • 0 in reply to kerobra_retired

    Hi kerobra,

     

    neben dem Router inkl. Modem und der Sophos haben wir nach einen zweiten Lancom Router welcher im Normalfall nur für VPN Einwahl und VPN Verbindung zu unserem externen Standort eingesetzt wird.
    Hiterlege ich nun am Router für das Maschinennetz diesen VPN Lancom, so bekomme ich direkt eine Verbindung ins Internet hergestellt.
    Daher sagt unser externer Dienstleister welche das Lancom Netz eingerichtet hat, es muss an der Konfiguration der Sophos liegen.
    Ich verstehe nur leider absolut nicht, was die Sophos anders macht als der Lancom welcher die Pakete tadellos ins Internet und zurück routet.

    Ich werde nochmals Kontakt mit unseren externen Dienstleister aufnehmen und die Thematik durchgehen.

     

    Dir schon mal vielen Dank bis hierher.