Sophos Firewall XG Firewall Routing Modus und als Gateway

Hallo Leon,

es gibt keinen Unterschied zwischen Routing Modus und Gateway.

Die XG kennt drei Betriebsmodi:

Routing / Gateway Mode:

- Die Firewall arbeitet als Router / Gateway Firewall, hat also in jedem Netzsegment eine eigene IP Adresse und arbeitet dort als (default-) Gateway.

Inline / Bridge Mode:

- Die Firewall hat keine aktiven IP Adressen (ja klar, eine für das Management) in den abzugrenzenden Netzsegmenten und wird transparent (wie ein Switch mit zwei Ports) innerhalb eines L2 Netzsegments eingesetzt.

- Einsatz z.b. vor einem bestehenden Router oder einer bestehenden Firewall --> Uplink der XG wird mit dem "Downlink" des bestehenden Router / Firewall verbunden, "Downlink" der XG mit dem Switch / dem VLAN was eigentlich an den bestehenden Router angebunden war.

Kann so ohne Änderung an der bestehenden Infrastruktur das Schutzniveao erhöhen.

Discovery / TAP Mode:

- Es wird auf dem Switch ein Mirror Port eingerichtet, der allen Traffic Spiegelt, der zur eigentlichen Firewall geschickt wird. An diesen Mirror Port wird nun die XG angeschlossen, hier kann sie (passiv) mögliche Bedrohungen aufzeichnen und spuckt regelmäßig schöne Reports aus ("wäre ich deine Primäre Firewall hätte ich folgende Bedrohungen abhalten können").

Gruß Lukas

Guten Tag Lukas,

vielen Dank für deine Schnelle Antwort.

Also mein Szenario stellt sich wie folgt dar.Ich habe einen Switch Layer 2 mit 9 Vlans. Ich habe einen Router der Quasi nur  das Internet bereitstellt sollte. Dahinter würde ich gerne die Firewall ansetzten und die Vlans Konfigurieren und die dazugehörigen Routen. Verstehe ich das richtig dass ich die Firewall in dem Fall als  Router / Gateway konfigurieren müsste?

Habe hier mal ein Netzplan hinzugefügt.

<<<und liege ich da richtig dass ich indem Fall am Internetrouter quasi nichts weiter konfigurieren müsste?

Währe dir Mega Dankbar über irgend welche Informationen diesbezüglich.

Gruß

Leon

Hallo Leon,

ja, Gateway Modus ist hier richtig.

Wenn im Transfernetz zwischen Firewall und Bitec Router keine weiteren Geräte vorhanden sind, ist alles bestens und das Routing einfach.

Dann brauchst du auf dem Router nichts machen.

Auf der XG konfigurierst du das Interface, was zum Bitec geht als WAN Port und vergibst eine IP aus dem Bitec-Netz.

Auf der XG legst du für deine VLANs eine Regel an "Vlans nach WAN (any)" (bzw. so granular wie du es brauchst - nicht vom Beispiel abschrecken lassen.

Auf dieser wird NAT (Masquerading) aktiviert.

Damit wird aller Traffic der am Bitec vorbei richtung Internet geht mit der WAN IP der XG maskiert, sodass du auf dem Bitec keine Routen setzen musst.

auch der Traffic zum Bitec, den kannst du dann weiterhin managen, wenn deine Firewallregeln das erlauben.

Für die VLANS (die sind ja "direct Connected") brauchst du in der XG auch keine Routen einstellen, nur Firewallregeln, die den Zugriff zwischen den Vlans und von den VLANs zum Internet regeln.

Gruß Lukas

Hallo Lukas ,

Danke dir für die super Information.

Mir ist etwas nuk unklar, meine Clients die in verschiedenen Subnetzen sind bekommen von einen DHCP Ip Adressen , darin sind auch die Gateways definiert.

Verstehe ich das richtig dass die Clients indem Fall keine Gateways brauchen ?

Da du meintest dass ich keine Routen definieren muss oder habe ich das falsch verstanden und müsste zumindest die Gateways auf der Firewall festlegen für verschiedenen Vlans?

Danke dir vielmals für Dir hilfreichen Informationen.

Gruß

Leon

Hi Leon,

der Client braucht immer ein Gateway - (z.b. die Firewall im Gateway-Modus ;) ).

Damit es klarer wird habe ich mal in Anlehnung an deine Beschreibung eine Netzstruktur aufgezeichnet und versuche daran Beispiele zu bilden.

Es gibt eine Firewall, diese wird im Gateway Modus betrieben und hat Interfaces in drei Vlans sowie im Internet.

Der Einfachheit halber hat die Firewall in jedem Vlan / Subnetz immer die Adresse .254. Ob die Firewall mit drei Kabeln in die drei Vlans verbunden ist, oder mit einem vlan-Trunk ist unerheblich.

VLAN 2:

Der DHCP Server ist mit VLAN 2 Verbunden.

Der Client 2 in Vlan 2 hat vom DHCP Server in VLAN 2 die IP Adresse 192.168.2.2/24 und das Default Gateway 192.168.2.254 erhalten.

Er kann (soweit die Firewall es zulässt) mit den anderen Vlans sowie dem Internet kommunizieren.

VLAN 3:

Es ist kein DHCP Server in VLAN 3 vorhanden - der Client bekommt keine IP und kann nicht kommunizieren.

Alternativ: Auf dem DHCP Server in VLAN 2 ist ein Scope für VLAN 3 eingerichtet, zusätzlich ist auf der Firewall ein DHCP-Relay konfiguriert

z.b.

zweite Alternative: Auf der Firewall ist ein DHCP Server für VLAN 3 eingerichtet, dieser verteilt die Passende Konfiguration

- der Client bekommt die 192.168.3.2/24 sowie das Default Gateway 192.168.3.254

Er kann (soweit die Firewall es zulässt) mit den anderen Vlans sowie dem Internet kommunizieren.

in VLAN 4 gibt es keinen DHCP Server, der Client4 hat die notwendigen Infos fest eingetragen:

- IP 192.168.4.55/24, Gateway 192.168.4.254

Er kann (soweit die Firewall es zulässt) mit den anderen Vlans sowie dem Internet kommunizieren.

verständlich?

Gruß Lukas

Hallo Lukas vielen lieben Dank für die Erklärung und entschuldige meine verspätete Antwort hätte leider einen etwas längeren Krankenhausaufenthalt.

Ich bin gerade bei der Umsetzung und mir ist leider eines nicht klar !? Ich habe diesbezüglich einen Bitec Router .Nur verstehe ich nicht ganz wo ich den am besten anschließen soll !? Am Wan Port der Firewall ? Und sind da indem Fall irgend welche Einstellung am Router zum machen ? Sollte der wan Port der Firewall eine ip über den Router empfangen ? Oder besser gesagt statisch eingestellter werden ?

Danke dir vieeeel mals.

Lieben Gruß

Leon

Hi Leon,

der Bintec kommt an den WAN Port der Firewall.

die Firewall kann Ihre Adresse per DHCP vom Bintec bekommen oder statisch eingestellt werden - der WAN Port der Firewall muss halt konfiguratorisch zum LAN Port des Bintec passen.

alternativ - schmeiß das teil raus besorg dir ein passendes Modem und lass die Firewall die Einwahl selbst machen.

Am Bintec muss nur dann etwas konfiguriert werden, wenn du Dienste Hosten möchtest (z.b. SSL Remote Access VPN ), dann brauchst du da entsprechende NAT Regeln.

Gruß Lukas

Super vielen Dank Lukas ,

ich werde mich die Tage an der Konfiguration wagen :)

Mir ist da noch eines unklar !? Für was kann ich den Port DMZ am besten nutzen ? Hast du diesbezüglich irgend welche Informationen. Hatte mir im Internet was durchgelesen nur ist das auch nicht so ausführlich erklärt. Bin leider noch ein halber Anfänger was Firewalls betrifft daher meine Frage .

Danke dir vielmals im Voraus.

Einen super lieben Gruß

Leon

Hi Leon,

eine DMZ ist ein bereich in dem Services betrieben werden, die sowohl aus dem Internet, als auch aus dem internen Netz erreichbar sein sollen.

Wenn ein System aus dem Internet erreichbar ist, ist es potentiell einfacher anzugreifen, daher möchte man es klassisch nicht mit anderen Services im selben Netzsegment betreiben und die Zugriffe zwischen diesen Segmenten über eine Firewall regulieren.

Die aufgedruckte Beschriftung DMZ, LAN, WAN ist als Vorschlag zu betrachten (die am häufigsten vorkommenden Zonen). du kannst jeden dieser Ports für jeden dieser Zwecke verwenden. --> also aus DMZ auch LAN2 machen.

Gruß Lukas