Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 0 replies
  • Subscribers 26 subscribers
  • Views 495 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with Sophos XG's

Freddy86

Hallo zusammen,

wir setzen bei uns mehrere Sophos XG's ein und diese verhalten sich nicht ganz so wie ich mir das vorstelle :) Ich dachte mir ich schreib das einfach mal, vielleicht gibt es ja leidensgenossen die für das ein oder andere Problem eine Lösung kennen.

Zu unserer Infrastruktur:

Wir haben am Hauptstandort eine XG330 an der die Internetleitungen hängen. Darüber gibt es Portweiterleitungen, VPN Zugriffe, Niederlassungen die per IPSec kommen und ca. 20 RED Devices. Dahinter kommt eine XG450 an der die internen Netze und unsere beiden MPLS Netze hängen. Unsere MPLS Standorte sind mit jeweils zwei MPLS Netzen ausgestattet, um eine Redundanz zu schaffen. Die Standorte selbst sind mit XG125 ausgestattet.

Ein Mitarbeiter in einem unserer Außdenstandorte, der per MPLS angebunden ist, kommt also über die XG125 -> (MPLS Netz) -> XG450 -> XG330 -> ins Internet.

Die WAN-Sophos (XG330) hab ich mit reinen Zonenbasierten Firewallregeln konfiguriert. (Zone XY, Host ANY).

Die LAN-Sophos (XG450) mit Netzregeln (Zone XY, Netzwerk 1.2.3.4/24).

Ich hoffe damit ein halbwegs verständliches Bild geschaffen zu haben.

Problem 1: Wenn ich ein neues Netz in einem Außenstandort öffne, muss ich einen Traceroute laufen lassen, bis die XG330 (WANRouter) es versteht mich ins Internet zu lassen. Einfaches aufrufen einer Webseite funktioniert nicht, ping funktioniert nicht. Es muss immer aus dem neuen Netz ein traceroute auf eine Internetadresse gemacht werden damit ich es dann wenige Miunten später geht.

Als Background noch soviel, ich nutze derzeit noch Static Routing.

Müsste ich hier vielleicht weg von denen Zone Regeln hin zum eintragen aller Netze in die Firewall regeln?

Problem2: SD-WAN Routing

Da wir derzeit ein zweites MPLS Netz in den Niederlassungen einführen muss ich die XG 125 in den Niederlassungen so konfigurieren, dass bei einem Ausfall MPLS Gateway 2 verwendet wird. Dazu möchte ich SD-WAN Routing nutzen, da mir sonst keine Alternative einfällt.

Frage A: Welche Lizenz brauche ich damit das funktioniert? Ich habe irgendwo etwas von Webprotect gelesen, kann mir das jemand bestätigen?

Frage B: Wenn ich SD-WAN Routing nutze und die Static Route in der Außenstellen (0.0.0.0/0) lösche, dann kommen die Clients dahinter zwar in unsere Zentralle aber die Sophos XG 125 selbst kommt nicht in die Zentralle und ist von dort aus auch nicht erreichbar. Routing Precedence ist bei beiden Systemen auf SD-WAN, VPN, Static gestellt.

Vielleicht hat ja jemand ähnliche Konstrukte und kann mir ein paar hilfreiche Tipps geben.

 

VG

Freddy



This thread was automatically locked due to age.