Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 15 replies
  • Subscribers 27 subscribers
  • Views 7444 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netze trennen

flo86
Hallo,

ich habe folgende Frage:
Bisher hatte ich ein Internes Netz in dem sich alle Clients befinden.
Jetzt möchte ich zweites Netz auf einem anderen Interface anlegen. Das hat soweit alles geklappt, ich komme mit dem neuen Netz auch ins Internet. Leider kann ich aber vom neuen Netz ins alte pingen und eine Remotedesktopverbindung funktioniert auch. Wie kann ich diese beiden Netze jetzt trennen damit sie sich gegenseitig nicht mehr erreichen können ich aber auch mit dem neuen Netz ins Internet (nur ins Internet) komme?

Vielen Dank im Voraus

Viele Grüße
flo86


This thread was automatically locked due to age.
Parents
  • 0
    Versuche mit folgender Paketfilterregel:

    Position: Top
    Source:  Netz 1
    Service:  Any 
    Destination:  Netz 2 
    Action: Drop


    Und eine zweite fur Netz 2 -> Netz 1

    MfG - Bob
    PS Wenn Du willst, zeige alle Paketfilterregeln, und wir finden die die diese Verkehr erlaubt.
  • 0 in reply to BAlfson
    @BAlfson

    guter ansatz, allerding wird 
    Network Security » Packet Filter » ICMP
    vorrangig benutzt. Wird dort das Pingen erlaubt, gilt es generell.
    Erst wenn man es dort abstellt so funktionieren die Packetfilter rulez.

    Einfachste möglichkeit (sofern die von BAlfson nicht klappt, und ich falsch liege) die ich dort sehe:

    Network Security » Packet Filter » ICMP Ping einstellungen deaktivieren!!!!!

    In den PAcketfilter regeln:
    ANY--> ping--->internal interface allow
    netz1--> ANY services--> netz2 drop
    netz2--> ANY services--> netz1 drop
  • 0 in reply to Tigershark
    [Entschuldige, kann nicht auf Deutsch schreiben im Augenblick...]
    ANY--> ping--->internal interface allow

    Did you mean 'ANY -> ping ->Internal (Network)'?  Also, you need to have the drop rules before the ping allow rule; I know you know that, but some beginners who look here might not.

    Thanks for responding back about this, I now know that the ping settings on the ICMP tab are applied before the packet filter rules.

    If Netz 1 and Netz 2 are not in the same subnet, I don't think the Astaro automatically allows traffic.  I suspect you have a packet filter rule like '[Netz 2] -> Any -> ANY : Allow'.  If you want, you can replace that with an "interface rule" for access to the Internet: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/p/39088/133143#133143

    MfG - Bob
    PS I always worry when Gert posts after me that I missed something.  It's comforting, for a change, that he detailed in the following post the exact same solution described in the post I linked to.  Cool! [;)]
Reply
  • 0 in reply to Tigershark
    [Entschuldige, kann nicht auf Deutsch schreiben im Augenblick...]
    ANY--> ping--->internal interface allow

    Did you mean 'ANY -> ping ->Internal (Network)'?  Also, you need to have the drop rules before the ping allow rule; I know you know that, but some beginners who look here might not.

    Thanks for responding back about this, I now know that the ping settings on the ICMP tab are applied before the packet filter rules.

    If Netz 1 and Netz 2 are not in the same subnet, I don't think the Astaro automatically allows traffic.  I suspect you have a packet filter rule like '[Netz 2] -> Any -> ANY : Allow'.  If you want, you can replace that with an "interface rule" for access to the Internet: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/p/39088/133143#133143

    MfG - Bob
    PS I always worry when Gert posts after me that I missed something.  It's comforting, for a change, that he detailed in the following post the exact same solution described in the post I linked to.  Cool! [;)]
Children
  • 0 in reply to BAlfson
    Hallo zusammen, 

    ich wuerde Dir vorschlagen eine neue Netzwerkdefinition zu erstellen namens "Internet", welche die Base IP 0.0.0.0 hat, die Netzmaske 0.0.0.0 und das Interface (DSL oder Kabel).

    Bitte benutze dann dieses Object um den beiden internen netzen zugriff auf das internet zu geben. Wenn du das so machst, dann koennen sich die netze gegenseitig nicht mehr sehen und du brauchst keine explizite DROP regel. 

    ping und icmp kannst du auch ausschalten und explizit ping per firewall regel erlauben. 

    war das verstaendlich?

    Mit freundlichen Gruessen
    Gert Hansen
  • 0 in reply to Gert Hansen
    Habe es gestern abend (bevor ich die letzte Antwort gelesen habe) noch ausprobiert.
    Nachdem ich die zwei Regeln erstellt und ICMP bzw ping ausgeschalten habe hat alles super funktioniert, Remotedesktop und pingen war beides unterbunden.
    Das mit einer neuen Netzwerkdefintion werde ich evtl auch noch testen, wenn ich mir dadurch die Regeln sparen könnte.

    Auf jeden Fall vielen Dank an euch drei für eure schnelle Hilfe

    Viele Grüße
    flo86
  • 0 in reply to flo86
    @BAlfson
    thanks for correction [;)]
  • 0 in reply to Tigershark

    Hallochen,

     

    ich habe ein ähnliches Thema. Ich habe ein (altes) Netz 192.68.10.xxx und möchte ein (neues) Netz 192.168.10.xxx aufbauen.

    Dabei handelt es sich um eine VMwareumgebung mit Windows 2003 Servern und die neue Umgebung geht auch Windows Server 2016.

    Ich möchte die neue Umgebung parallel zur alten aufbauen und dann einfach an einem Wochenende umschalten. Nur sollen die ganzen Server die selben IPs haben wir vorher nur eben neuer sein.

    Da denke ich kann mir das helfen was oben geschrieben wurde. Ich finde nur Network Security in meiner UTM nicht. :-(

    Könnt ihr bitte ein Screenshot posten oder genauer beschreiben wo das zu finden ist.

     

    Ganz herzlichen Dank im Voraus!

  • 0 in reply to Thomas Steguweit

    Hallo Thomas,

    Wir haben Tigershark seit fast 9 Jahren nicht mehr gesehen.  Heute heißt es "Network Protection" statt "Network Security".

    Ich würde eher etwas anderes empfehlen - füge einfach den neuen Server im "alten" Netz hinzu.  Nachher kannst Du die IPs ändern.

    MfG - Bob

  • 0 in reply to BAlfson

    Hallo Bob,

     

    danke für deine Antwort. Ich versuche mal zu skizzieren was ich vor habe.

    Ich habe ein "altes" Netz welches derzeit in Betrieb ist -> 192.168.10.xxx/24

    Dort gibt es DC, Exchange, SharePoint, etc alles VMs auf Windows 2008er Basis.

     

    Nun möchte ich parallel dazu neue VMs aufsetzen und die gleiche Domänenstruktur aufbauen wie vorher.

    DC, Exchange, SharePoint, etc alles VMs auf Windows 2016er Basis im "neuen" Netz 192.168.10.xxx/24

    Somit spare ich mir einen Haufen an Dokumentation, wenn die IP Adresse so sind wie sie vorher waren und die Server vom Namen her sich nicht ändern.

     

    Ich habe einen vSwitch angelegt und dort eine physische Netzwerkkarte angebunden. Des Weiteren habe ich an diesen vSwitch die ganzen neuen VMs dran gehangen.

    Dann habe ich der Sophos VM eine weitere Netzwerkkarte hinzugefügt die mit diesem vSwitch verbunden ist.

    Nun müsste ich nur wissen wie ich verhindern kann das vom "neuen" 192.168.10er Netz in das "alte" 192.168.10er Netz Datenverkehr fließt. Beide Netze brauchen Internetzugriff aber dürfen sich unter einander nicht in die quere kommen. Das wäre dann Domänen technisch nicht so der Bringer :-)

     

    Danke für einen Tipp

  • 0 in reply to Thomas Steguweit

    Hallo Thomas,

    das wird nicht funktionieren. Du kannst zwei verschiedenen Interfaces nicht gleichzeitig die selbe IP / das selbe Netzwerk zuweisen.

    Grüße Thomas

  • 0 in reply to ThomasBachmaier

    Hallo Thomas,

     

    danke für deine Info. Das hat mich auf eine Idee gebracht.

    Was wäre, wenn ich für das neue Netz einen Router einsetzen würde.

    Der bekäme auf der "neuen" Netzseite die 192.168.10.1 und auf der Seite zur Sophos die 192.168.11.xxx.

    Dann hätte ich doch das Problem umgangen. Richtig?

     

    Gruß Thomas

  • 0 in reply to Thomas Steguweit

    Hallo Thomas,

    wenn die Rechner nicht von außen erreichbar sein sollen, müsste es gehen.
    Du hast zwar dann ein doppeltes NAT aber das dürfte in den meisten Fällen kein Problem sein. Es kann höchstens bei VoIP Probleme geben.

    Ich persönlich würde aber einfach einen neuen IP Bereich nehmen und nach der Umstellung falls wirklich nötig die IP Adressen ändern.

    Grüße Thomas

  • 0 in reply to ThomasBachmaier

    Alles klar! Habe ich mir auch schon gedacht.

    Macht das nicht aber Probleme beim Domänencontroller, wenn der sagen wir, die 192.168.11.10 hat und dann später umgestellt wir auf die 192.168.10.10?

    Ich meine ja. Oder?

     

    Gruß Thomas