Route zu weiteren Subnetzen im Remotenetz der RED

Hi,

kannst Du ein kleines Schaubild machen?

Verzeiht mir meine "Zeichenkünste" xD

Aber ich hoffe der Aufbau wird dadurch etwas transparenter.

Welches Gerät macht denn die Einwahl vor der RED? Das wird ja auch ein Router sein. Kennt der denn die einzelnen Subnetze?

Was gibt ein Traceroute von einem Client zu z.B. 8.8.8.8 raus?

Funktioniert DNS?

Was vor der RED hängt kann ich im Moment nicht genau sagen. Versuche ich aber in Erfahrung zu bringen. Schätze aber mal dass ein Router davor hängt. Ich gehe davon aus dass die RED die Adressen per NAT umsetzt, somit sollte das kein Problem sein.

Ein Tracert/Pathping von den VLAN 2-5 geht bis zum Switch durch, von der RED kommt dann ein Timeout. 

Anbei ein Beispiel aus einem weiteren VLAN mit 10.4.1.0/24. Dieses ist wie die anderen VLANs ebenfalls durch den L3 Switch geroutet.

Ein Tracert vom VLAN1 geht durch bis zum Ziel:

Was mir etwas seltsam vorkommt, ist dass hier die 10.4.0.128 als Hop angegeben wird, was laut mac Adresse ebenfalls die Sophos Red ist. Die Red verteilt per DHCP das Gateway 10.4.0.1. Auf dem Client sind keine routen mit dem Gateway 10.4.0.128 gepflegt.

Beim Tracert zu z.b. google.com wir die Adresse korrekt aufgelöst. 

Was vor der RED hängt kann ich im Moment nicht genau sagen. Versuche ich aber in Erfahrung zu bringen. Schätze aber mal dass ein Router davor hängt. Ich gehe davon aus dass die RED die Adressen per NAT umsetzt, somit sollte das kein Problem sein.

Ein Tracert/Pathping von den VLAN 2-5 geht bis zum Switch durch, von der RED kommt dann ein Timeout. 

Anbei ein Beispiel aus einem weiteren VLAN mit 10.4.1.0/24. Dieses ist wie die anderen VLANs ebenfalls durch den L3 Switch geroutet.

Ein Tracert vom VLAN1 geht durch bis zum Ziel:

Was mir etwas seltsam vorkommt, ist dass hier die 10.4.0.128 als Hop angegeben wird, was laut mac Adresse ebenfalls die Sophos Red ist. Die Red verteilt per DHCP das Gateway 10.4.0.1. Auf dem Client sind keine routen mit dem Gateway 10.4.0.128 gepflegt.

Beim Tracert zu z.b. google.com wir die Adresse korrekt aufgelöst. 

Ok,

also die RED maskiert eigentlich nicht. Du hast ja den Modus Standart/Getrennt, dann sollte die RED auch nur die Netze zum Hauptstandort routen. Der Rest wird unbehandelt zum lokalen Router geschickt.

Deine RED wird ja auf dem WAN-Port via DHCP oder fix ein Gateway hinterlegt haben. Ist das aus einem Vlan erreichbar? Wenn nein, fehlt vermutlich die Rückroute auf dem lokalen Router.

OK, Vielen Dank für den Tip!

Das werde ich gleich prüfen. 

Gibt es eine Möglichkeit die IP Konfiguration der RED WAN Schnittstelle auszulesen?

Eine SSH Verbindung lässt die RED zu, aber wie sind hier die Login Daten?

(EDIT: per SSH konnte ich mich einloggen, aber die Auswahl der Befehle ist sehr eingeschränkt)

Leider ist dort niemand vor Ort, der mir nähere Auskünfte erteilen kann.

Weiß ich so jetzt nicht. Aber Du kannst das RED einmal im Webmin deaktivieren und wieder aktiveren. Im Livelog steht dann irgendwo, welche Adresse es auf dem WAN-Port hat.

Also z.B. so:

command '{"data":{"wan1_ip":"192.168.178.20","mobile_signal_strength":"","wan2_ip":"","uplink":"WAN1","uplink_state":"0"},"type":"STATUS"}'

GW kann man vielleicht errarten.

Hat geklappt, die Red hat direkt eine öffentliche Adresse 212.x.x.x bekommen.

Hi,

wohin zeigt denn die Null Route vom L3 Switch ?

Auf die RED ?

Was ist das für ein Switch ?

Oder habe ich was überlesen und es läuft schon ?

[EDIT] Hast du ACLs auf dem Switch, welche den Traffic von den gerouteten Netzen erlauben?
Bei Juniper z.B muss man das extra erlauben,
da die büchsen default deny any haben. [/EDIT]

Cheers,
Chris

Hi!

nein, funktioniert leider noch nicht.

der Switch ist ein HP 2920-48G, die default Route zeigt auf die RED.

ACL ist per default deaktiviert.

Mich lässt der Gedanke nicht los dass die RED die Route in die VLANs nicht kennt, denn wenn ich die RED aus den VLAN2-5 anpinge läuft dies gegen einen Timout. Andere IPs im VLAN1 kann ich problemlos pingen sofern diese die Route in die entsprechenden Netze gepflegt haben.

Da die RED nicht maskiert, vermute ich, dass hier das Problem ist. Soweit ich weiß muss folgender Aufbau gewährleistet sein: Router -> RED -> Switch. Bei Dir ist die RED direkt am WAN verbunden.

Falls sich dies nicht so ohne Weiteres lösen lässt, mach doch den Modus Standart/Vereint.

Bist du dir sicher, dass die RED nicht maskiert? Denn dann dürfte der Internetzugang aus dem VLAN1 auch nicht funktionieren, oder?

Nicht zu 100% aber kannst Du noch ein show run vom HP-Switch posten und ein Screenshot von den Routen auf der UTM?

Klar hier die Screenshots: