Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 6 subscribers
  • Views 1116 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAN Interface wird als down markiert.

Blacksmith

Hallo zusammen.

Folgendes Problem begleitet mich mit dem Umstieg auf eine virtualisierte ESX-Instanz der aktuellen XG Home Firewall:

Ich nutze 2 unterschiedliche ISPs. Einmal Telekom, einmal Deutsche Glasfaser.

Der VM habe ich 3 Netzwerkkarten mit auf den Weg gegeben.



GW sind wie folgt konfiguriert:



Das Problem ist, das mir das Telekom-GW als nicht verfügbar angezeigt wird wie beim Routing und auch im WAN-LINK-MANAGER:



Ich habe keine Ahnung mehr, was hier falsch läuft.

Die IP der Fritzbox für die Glasfaser ist erreichbar, die der Telekom (im selben LAN wie die XG) nicht..?

Über sachdienliche Hinweise würde ich mich freuen.

Danke und Gruß



This thread was automatically locked due to age.
  • 0

    Wenn du das Gateway TK öffnest, siehst du, wie das Interface überprüft wird, ob es Grün angezeigt wird oder nicht. 

    Der Health Check ist das ausschlaggebende. Dieser muss von der Firewall erreichbar sein. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Da fangen die Probleme schon an. Ich pinge und erhalte solange eine Antwort, wie ich die Netzwerkkarte für DG nicht deaktiviere. Sobald ich diese mal im VCenter deaktiviere und einen Ausfall simuliere: Keine Antwort mehr. Die IP-Adresse ist eine externe oder interne, das scheint egal zu sein. Ich nutze natürlich eine externe IP-Adresse meiner eigenen Domain. Fällt die Glasfaser also aus, sollte die Telekom übernehmen...nur das GW ist ja beständig rot, leider.

  • 0

    Es wird immer bekloppter mit diesem Stück Software der Extraklasse!!!

    Da konfiguriert man ein WAN-Interface mit der IP 192.168.1.6 für die Telekom!

    Ein LAN-Interface mit der IP 192.168.1.4!

    Und über welches Interface will diese bescheidene Software nun konfiguriert werden? Über die 1.6!!!!!

    Ein Testclient, dessen GW auf die IP 1.4 zeigt: FEHLANZEIGE! Es will zur 1.6!!!

    Noch NIE, bei all den Firewalls im Leben, die so installiert und konfiguriert wurden, derart bescheidene Biomasse gesehen!!

    Kann doch nicht so schwer sein, den Fachkräftemangel innerhalb der Abteilung DEVELOPER aufzulösen..?!

    Und da es scheinbar keine Lösung gibt, wird das Projekt Sophos eingestampft und ein anderer Hersteller wird wohl den Zuschlag auf 4 Kontinenten erhalten...!!!

  • 0 in reply to Blacksmith

    Hast du denn mal einen Sophos Partner angesprochen? 

    Ich kann leider deine Anfrage nicht nachvollziehen. Wie kann ein LAN Interface und ein WAN Interface das selbe Subnetz verwenden? 

    Der Linux Kernel mag solche Konfigurationen nämlich nicht. 

    Eine Installation benötigt immer ein LAN und ein WAN Interface. Typischerweise für Linux sollte man vermeiden, dass zwei Interfaces in einem Subnetz sich befinden. Wenn man unbedingt das machen möchte, sollte man eine Netzwerk Bridge verwenden, die eben nur eine IP besitzt. 

    Ich bin mir unsicher, welcher Hersteller so ein Konzept unterstützt. Der Routing Stack wird dadurch ziemlich durcheinander gebracht. 

    __________________________________________________________________________________________________________________

  • 0 in reply to Blacksmith

    Hallo,

    das ist auch nicht normal, dass man LAN und WAN in dasselbe Netzwerk legt, oder?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to LuCar Toni

    Das Problem ist:

    Wir haben eine Zweigniederlassung übernommen. Die hatte bisher einen Telekom-Anschluss mit einer FB. IP:

    192.168.1.2

    Nun kam ein DG-Anschluss dazu. Ebenfalls mit einer FB. IP hier:

    192.168.2.1

    Clients im Netz nutzen die 192.168.1.xyz

    Mit der UTM funktionierte das bisher vorzüglich.

    Nun aber soll umgestellt werden auf eine neue Lösung, Sophos XG.

    Die Netze kann ich derzeit noch nicht umkonfigurieren, steht aber auch noch auf der Agenda.

    Bis dahin ist diese Niederlassung ein Test für die neue XG...und wenn der nicht funktioniert, muss man sich dahingehend keinerlei Gedanken mehr machen.


  • 0 in reply to Blacksmith

    Entschuldigung: das wird auch mit einer SG-UTM nicht funktionieren.

    Ursache ist in beiden Fällen der Linux-Kernel, der für das Routing verantwortlich ist, so wie es Lucar Toni bereits gesagt hat.

    Man kann nicht mit "zwei Beinen" im selben Netzwerk stehen und dann erwarten, dass das Routing "irgendwie" den Weg zum richtigen Gateway herausfindet.

    Vorschlag: Anstatt auf die XG zu schimpfen, lass uns bitte deinen Anwendungsfall ansehen und dann können wir dir eventuell helfen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Blacksmith

    Eine UTM sollte genau die gleiche Probleme mit diesem Konzept haben. Jedoch überprüft die UTM das Interface nicht auf "online". Wenn du das Interface Uplink Monitoring auf der UTM aktivierst, kann es auch kaputt gehen. Wenn du einfach ohne Health Check auf der UTM arbeitest, könnte es funktionieren.

    Könntest du uns die Konfiguration der UTM zeigen? Wenn du von der UTM die IP von dem Router der Telekom anpingst, wirst du auch seltsame Verhältnisse sehen.

    Ein Linux Kernel kann damit nicht gut umgehen, wenn er zwei IP Addressen bzw. zwei Routen direkt anliegend an unterschiedlichen Interfaces hat. 

    Siehe: https://serverfault.com/questions/415304/multiple-physical-interfaces-with-ips-on-the-same-subnet 

    https://access.redhat.com/solutions/30564#:~:text=When%20there%20are%202%20interfaces,not%20associated%20with%20the%20interface.

    Ich würde daher die interne IP ändern, wenn schon die Telekom nicht die IP des Routers ändern kann. 

    __________________________________________________________________________________________________________________

  • 0 in reply to jprusch

    Wenn es sich nur um ein Transfernetz zwischen Router und Firewall handelt UND man die Macht über den Router besitzt (Login-Passwort usw.), wo ist das Problem, das zu ändern? Hauptsache, es ist keine 192.168.1.x

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Wir haben es nicht verbrochen...wie geschrieben...es wurde übernommen. Ich werde mal schauen, das ich die FB-Kennwörter bzw. Zugangsdaten für die entsprechende Telekom-Leitung irgendwo her bekomme zur Neukonfiguration und dann dem LinuX-Kernel seiner Schuldigkeit huldigen. Und ja...bisher läuft hier ne UTM, die macht das bisher unfallfrei und schaltet sogar um, falls eine der Leitungen wegbricht.

    Leider aber haben wir nicht alle Kennwörter jeglicher Systeme...der Admin war bei Übernahme wohl leise angepisst und hat mal alles gelöscht, was uns hätte weiterbringen können und ist seither auch nicht mehr erreichbar...;-/.

Cookie Information Banner