Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 25 subscribers
  • Views 2928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 Internetverbindung aus verschiedenen VLANs

Wotan
Hallo Zusammen,

wir haben in der Firma momentan noch SonicWALL im Einsatz und würden gerne auf Sophos umsteigen. Konkret testen wir aktuell eine Sophos SG310 mit UTM  9.205-12.

Dabei haben wir folgendes Problem:

Unser Firmennetzwerk besteht aus 3 VLANs:

192.168.144.0/24 Client-VLAN
192.168.143.0/24 Server-VLAN
192.168.132.0/24 WLAN-VLAN

Im VLAN 144 ist auch die SG310 platziert, mit der IP-Adresse 192.168.144.252. Diese ist mit einer statischen, öffentlichen IP-Adresse mit dem Internet verbunden. Das Routing zwischen den VLANs und somit auch das Gateway für die VLANs übernimmt ein Layer 3 Switch. Auf diesem ist u.a. die folgende statische Route konfiguriert: 

0.0.0.0 | 0.0.0.0 | Static | 192.168.144.252

D.h. der Internetverkehr wird an die SG310 geroutet. Unser Problem ist nun, dass die Server und Clients in den VLANs 143 und 132 nicht in das Internet kommen. Die Clients aus dem VLAN 144 kommen ohne Probleme in das Internet. Interessant hierbei ist, dass z.B. ein Ping von der IP-Adresse 192.168.143.1 z.B. auf 8.8.8.8 (Google DNS) nicht funktioniert. Schau ich in das Live Log der SG310, ist aber zu erkennen, dass z.B. die DNS-Anfragen von 192.168.143.1 an 8.8.8.8 mit dem Port 53 durchgelassen werden. Es blockiert also nicht die Firewall der SG310. Kann es sein, dass die SG310 ein Problem mit VLANs hat? Muss man hierbei noch irgendwas beachten? [:S]

Ein tracert vom VLAN 144 auf 8.8.8.8 zeigt mir auch alle Abschnitte mit den beteiligten IP-Adressen an, aus dem VLAN 143 sehe ich nur das Gateway 192.168.143.254 (Layer 3 Router) und die 192.168.144.252 (SG310), dann folgen nur noch Sternchen.

Hänge ich wieder die SonicWALL dran, können alle VLANs normal in das Internet. Auch die SonicWALL hängt einfach nur mit der IP-Adresse 192.168.144.80 im VLAN 144, es gibt keinen VLAN-Trunk o.ä.

Ich bin für jede Antwort dankbar!

Viele Grüße
Kevin


This thread was automatically locked due to age.
Parents
  • 0

    D.h. der Internetverkehr wird an die SG310 geroutet. Unser Problem ist nun, dass die Server und Clients in den VLANs 143 und 132 nicht in das Internet kommen. Die Clients aus dem VLAN 144 kommen ohne Probleme in das Internet. Interessant hierbei ist, dass z.B. ein Ping von der IP-Adresse 192.168.143.1 z.B. auf 8.8.8.8 (Google DNS) nicht funktioniert. Schau ich in das Live Log der SG310, ist aber zu erkennen, dass z.B. die DNS-Anfragen von 192.168.143.1 an 8.8.8.8 mit dem Port 53 durchgelassen werden. Es blockiert also nicht die Firewall der SG310. Kann es sein, dass die SG310 ein Problem mit VLANs hat? Muss man hierbei noch irgendwas beachten? [:S] 
     Kann es sein, dass auf der SG310 die NAT Rules fuer die IP Netze von VLAN143 & 132 fehlen ? Ich vermute mal, dass Du auf die DNS Anfragen (VLAN143) keine Antworten im Log findest, dass wuerde zumindest die fehlenden NAT Rules erklaeren.

    Ein tracert vom VLAN 144 auf 8.8.8.8 zeigt mir auch alle Abschnitte mit den beteiligten IP-Adressen an, aus dem VLAN 143 sehe ich nur das Gateway 192.168.143.254 (Layer 3 Router) und die 192.168.144.252 (SG310), dann folgen nur noch Sternchen.
    Das zeigt eindeutig, dass eine NAT Rule fuer das VLAN143 fehlt.

    Hänge ich wieder die SonicWALL dran, können alle VLANs normal in das Internet. Auch die SonicWALL hängt einfach nur mit der IP-Adresse 192.168.144.80 im VLAN 144, es gibt keinen VLAN-Trunk o.ä.
    Das wundert mich allerdings schon sehr, da die Sonicwall eine andere IP Adresse hat. Ist denn jedesmal auch das Routing auf dem Layer 3 Switch geaendert worden ? (192.168.144.80  192.168.144.252)
  • 0 in reply to ClausP
    Hast du die web protection eingeschaltet?


    Ja, die war angeschaltet. Die habe ich test weise aber abgeschaltet - leider ohne Erfolg.

    Kann es sein, dass auf der SG310 die NAT Rules fuer die IP Netze von VLAN143 & 132 fehlen ? Ich vermute mal, dass Du auf die DNS Anfragen (VLAN143) keine Antworten im Log findest, dass wuerde zumindest die fehlenden NAT Rules erklaeren.


    Das zeigt eindeutig, dass eine NAT Rule fuer das VLAN143 fehlt.


    Das hört sich sinnvoll und logisch an. Werde es heute Abend gleich noch mal testen. Vermutlich müsste ich das dann im Masquerading einstellen, oder? Da steht momentan: Internal -> External, was so viel heißt wie: VLAN 144 -> External. Hier müsste dann wahrscheinlich das Netz 143 und 132 hinzugefügt werden.

    Verstehe ich das richtig?

    Vielen Dank! 

    Gruß
    Kevin
  • 0 in reply to Wotan
    Das hört sich sinnvoll und logisch an. Werde es heute Abend gleich noch mal testen. Vermutlich müsste ich das dann im Masquerading einstellen, oder? Da steht momentan: Internal -> External, was so viel heißt wie: VLAN 144 -> External. Hier müsste dann wahrscheinlich das Netz 143 und 132 hinzugefügt werden.

    Verstehe ich das richtig?

    Vielen Dank! 

    Gruß
    Kevin
    Genau das fehlt dir.
    Hier genügt es die zusätzlichen Netze (.143 und .142) als Definition anzulegen und die Masquerading-Regel .143 -> External (WAN) zu definieren. 

    Ich lasse auch den zentralen Switch alle VLANs routen. Ist einfach um ein vielfaches schneller als alle Pakete durch ein Kabel zu pressen und die UTM mit dem hausinternen Routing zu belasten.
Reply
  • 0 in reply to Wotan
    Das hört sich sinnvoll und logisch an. Werde es heute Abend gleich noch mal testen. Vermutlich müsste ich das dann im Masquerading einstellen, oder? Da steht momentan: Internal -> External, was so viel heißt wie: VLAN 144 -> External. Hier müsste dann wahrscheinlich das Netz 143 und 132 hinzugefügt werden.

    Verstehe ich das richtig?

    Vielen Dank! 

    Gruß
    Kevin
    Genau das fehlt dir.
    Hier genügt es die zusätzlichen Netze (.143 und .142) als Definition anzulegen und die Masquerading-Regel .143 -> External (WAN) zu definieren. 

    Ich lasse auch den zentralen Switch alle VLANs routen. Ist einfach um ein vielfaches schneller als alle Pakete durch ein Kabel zu pressen und die UTM mit dem hausinternen Routing zu belasten.
Children
  • 0 in reply to GMF
    Genau das fehlt dir.
    Hier genügt es die zusätzlichen Netze (.143 und .142) als Definition anzulegen und die Masquerading-Regel .143 -> External (WAN) zu definieren. 

    Ich lasse auch den zentralen Switch alle VLANs routen. Ist einfach um ein vielfaches schneller als alle Pakete durch ein Kabel zu pressen und die UTM mit dem hausinternen Routing zu belasten.


    Super, vielen Dank euch allen! Nachdem die zwei Netze dem NAT hinzugefügt wurden, hat alles wunderbar funktioniert!

    Nochmals besten Dank für die schnelle und kompetente Hilfe!

    Viele Grüße
    Kevin
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?