Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 25 subscribers
  • Views 2928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 Internetverbindung aus verschiedenen VLANs

Wotan
Hallo Zusammen,

wir haben in der Firma momentan noch SonicWALL im Einsatz und würden gerne auf Sophos umsteigen. Konkret testen wir aktuell eine Sophos SG310 mit UTM  9.205-12.

Dabei haben wir folgendes Problem:

Unser Firmennetzwerk besteht aus 3 VLANs:

192.168.144.0/24 Client-VLAN
192.168.143.0/24 Server-VLAN
192.168.132.0/24 WLAN-VLAN

Im VLAN 144 ist auch die SG310 platziert, mit der IP-Adresse 192.168.144.252. Diese ist mit einer statischen, öffentlichen IP-Adresse mit dem Internet verbunden. Das Routing zwischen den VLANs und somit auch das Gateway für die VLANs übernimmt ein Layer 3 Switch. Auf diesem ist u.a. die folgende statische Route konfiguriert: 

0.0.0.0 | 0.0.0.0 | Static | 192.168.144.252

D.h. der Internetverkehr wird an die SG310 geroutet. Unser Problem ist nun, dass die Server und Clients in den VLANs 143 und 132 nicht in das Internet kommen. Die Clients aus dem VLAN 144 kommen ohne Probleme in das Internet. Interessant hierbei ist, dass z.B. ein Ping von der IP-Adresse 192.168.143.1 z.B. auf 8.8.8.8 (Google DNS) nicht funktioniert. Schau ich in das Live Log der SG310, ist aber zu erkennen, dass z.B. die DNS-Anfragen von 192.168.143.1 an 8.8.8.8 mit dem Port 53 durchgelassen werden. Es blockiert also nicht die Firewall der SG310. Kann es sein, dass die SG310 ein Problem mit VLANs hat? Muss man hierbei noch irgendwas beachten? [:S]

Ein tracert vom VLAN 144 auf 8.8.8.8 zeigt mir auch alle Abschnitte mit den beteiligten IP-Adressen an, aus dem VLAN 143 sehe ich nur das Gateway 192.168.143.254 (Layer 3 Router) und die 192.168.144.252 (SG310), dann folgen nur noch Sternchen.

Hänge ich wieder die SonicWALL dran, können alle VLANs normal in das Internet. Auch die SonicWALL hängt einfach nur mit der IP-Adresse 192.168.144.80 im VLAN 144, es gibt keinen VLAN-Trunk o.ä.

Ich bin für jede Antwort dankbar!

Viele Grüße
Kevin


This thread was automatically locked due to age.
Parents
  • 0
    Vielen Dank für eure schnellen Antworten!

    Warum schließt du nicht alle VLANs direkt an die SG?
    Dann hast du alle VLANs direkt an der Sophos und kannst dann wunderbar routen.

    Oder spricht da etwas dagegen?


    Das wäre bestimmt eine feine Sache, allerdings wäre dies für uns zunächst etwas umständlich und kompliziert. Der Switch vernetzt sternförmig unsere komplette Infrastruktur, also Kupfer, Glasfaser, VLANs, virtuelle Umgebung. Mir wäre es lieber, zunächst die Sophos nur als reine Firewall einzusetzen und dann später das Routing und die VLANs auf der UTM zu konfigurieren. 

    Soweit ich gelesen habe hast du auf der UTM keine statischen Routen eingetragen. Ohne diese wissen die Pakete, welche an die VLANs möchten die nicht an der UTM angschlosse sind, nicht wohin.


    Sorry, hatte ich vergessen! Die statischen Routen sind natürlich auf der UTM eingetragen. Man kann die UTM vom VLAN 143 auch erreichen und umgekehrt natürlich auch. Wie gesagt: Das komische ist, dass der DNS-Verkehr aus dem VLAN 143 durch die Firewall geht. Auch HTTP-Anfragen werden im Live Log aus diesem VLAN geloggt, nur kann eben keine Seite per HTTP aufgerufen werden. 

    Mit der SonicWALL funktioniert alles, trotz gleicher Konfiguration.

    Bin schon etwas verzweifelt [:(]

    Nochmals vielen Dank und viele Grüße
    Kevin
Reply
  • 0
    Vielen Dank für eure schnellen Antworten!

    Warum schließt du nicht alle VLANs direkt an die SG?
    Dann hast du alle VLANs direkt an der Sophos und kannst dann wunderbar routen.

    Oder spricht da etwas dagegen?


    Das wäre bestimmt eine feine Sache, allerdings wäre dies für uns zunächst etwas umständlich und kompliziert. Der Switch vernetzt sternförmig unsere komplette Infrastruktur, also Kupfer, Glasfaser, VLANs, virtuelle Umgebung. Mir wäre es lieber, zunächst die Sophos nur als reine Firewall einzusetzen und dann später das Routing und die VLANs auf der UTM zu konfigurieren. 

    Soweit ich gelesen habe hast du auf der UTM keine statischen Routen eingetragen. Ohne diese wissen die Pakete, welche an die VLANs möchten die nicht an der UTM angschlosse sind, nicht wohin.


    Sorry, hatte ich vergessen! Die statischen Routen sind natürlich auf der UTM eingetragen. Man kann die UTM vom VLAN 143 auch erreichen und umgekehrt natürlich auch. Wie gesagt: Das komische ist, dass der DNS-Verkehr aus dem VLAN 143 durch die Firewall geht. Auch HTTP-Anfragen werden im Live Log aus diesem VLAN geloggt, nur kann eben keine Seite per HTTP aufgerufen werden. 

    Mit der SonicWALL funktioniert alles, trotz gleicher Konfiguration.

    Bin schon etwas verzweifelt [:(]

    Nochmals vielen Dank und viele Grüße
    Kevin
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?