Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 947 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AirFiber Bridge zwischen 2 UTM

WIT91

Hallo Community,

folgende Ausgangssituation

Standort A:

Sophos SG210

eth0 Internal Network

192.168.10.0

255.255.255.0

eth1 Internet Gateway (Vodafone 1Gbit)

192.168.9.0

255.255.255.0

eth4 AirFiber Ubiquiti

192.168.20.0

255.255.255.0

DHCP(192.168.20.100-192.168.20.200)

Standort B:

eth0 Internal Network

192.168.40.0

255.255.255.0

eth1 Internet Gateway (Telekom 16 Mbit)

192.168.41.0

255.255.255.0

eth5 AirFiber Ubiquiti

192.168.20.102 (via DHCP)

255.255.255.0

Info:

Eth4 von Standort A zu eth5 Standort B (200Mbps sync ) ist eine Ubiquiti AirFiber Bridge

AirFiber1 192.168.20.101

AirFiber2 192.168.20.104

AirFiber 1 ist der Master.

Aufgrund der langsamen Telekom Internetanbindung an Standort B, möchte ich die AirFiber Schnittstelle zu Standort A als Internet Gateway nutzen.

Aktuell nutze ich einen S2S iPsec Tunnel von A zu B um die Netze 192.168.10.0 und 192.168.40.0 zu verbinden.

Ich möchte die S2S als Backup Option beibehalten, falls die AirFiber mal unterbricht. Diese VPN würde ich auch manuell verbinden. Meine Überlegung eine vollständige Bridge mit dem gleichen Netz (192.168.10.0) auf beiden Seiten fällt durch den Plan eines Backup VPN daher aus.

Meine Überlegung:

Ich benötige ein statisches Routing sämtlicher Datenpakete vom Netzwerk 192.168.40.0(Standort B) via eth5(AirFiber Standort B)

Weiter benötige ich am Standort A eine Regel zur Weiterleitung der Pakete von AirFiber mit dem Ziel 192.168.10.0 zu eth0 (Standort A) und alle anderen Pakete zu eth1 (Internet GW Vodafone 1GBit).

Somit hätte ich zwischen beiden Standorten eine 200Mbit synchron Leitung sowie ein Internetgateway für Standort B von ebenfalls 200Mbit synchron.

Wo ist mein Denkfehler? Mit dieser Config komme ich nicht weiter..

Welche Maskierungsregel benötige ich?

Welche Firewall Regeln?

Welche Routen?

Wunsch wäre im Falle des Ausfalls der AirFiber Verbindung, ein Internet Failover auf die Telekom 16Mbit und manuelles starten der VPN.

Vielen Dank vorab.

Grüße

WIT91



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    ein Blick hier ist sicher hilfreich:

    https://community.sophos.com/products/unified-threat-management/f/general-discussion/118093/internet-crossed-failover-between-two-branchs-with-sophos-utm-sg-over-ptp-link-wireless#pi2353=2

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Vielen Dank für den Link jprusch.

     

    Ich habe es soweit hinbekommen, dass ich aus Standort B das Vodafone GW von Standort A verwenden kann. Allerdings schaffe ich es nicht, Standort B auf das Internal Netz von Standort A zuzugreifen.

     

  • 0 in reply to WIT91

    Wenn Du von Standort B auf das interne Netz des Standortes A zugreifen willst, dann muss das GW dafür eth4 sein.

    Da sind deine bisherigen Infos etwas lückenhaft.

    Ich würde dem Interface eth4 zur Funkstrecke am Standort A die IP 192.168.20.1 ( /24) geben und dem Interface eth5 zur Funkstrecke am Standort B die IP 192.168.20.254 ( /24)

    Das Ganze sieht dann also so aus:

    Standort A - eth4 - 192.168.20.1 -----  AirFiber1 - 192.168.20.101 -----//-----AirFiber2 - 192.168.20.104 -------  eth5 - 192.168.20.254 - Standort B

    Das GW zu Standort A ist von Standort B aus gesehen 192.168.20.1

    Das GW zu Standort B ist von Standort A aus gesehen 192.168.20.254

    Du musst entsprechende Routen setzen und natürlich Firewallregeln definieren, NAT benötigst du nicht, weil es alles private IP-Ranges sind.

    Alles klar?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • 0 in reply to WIT91

    Wenn Du von Standort B auf das interne Netz des Standortes A zugreifen willst, dann muss das GW dafür eth4 sein.

    Da sind deine bisherigen Infos etwas lückenhaft.

    Ich würde dem Interface eth4 zur Funkstrecke am Standort A die IP 192.168.20.1 ( /24) geben und dem Interface eth5 zur Funkstrecke am Standort B die IP 192.168.20.254 ( /24)

    Das Ganze sieht dann also so aus:

    Standort A - eth4 - 192.168.20.1 -----  AirFiber1 - 192.168.20.101 -----//-----AirFiber2 - 192.168.20.104 -------  eth5 - 192.168.20.254 - Standort B

    Das GW zu Standort A ist von Standort B aus gesehen 192.168.20.1

    Das GW zu Standort B ist von Standort A aus gesehen 192.168.20.254

    Du musst entsprechende Routen setzen und natürlich Firewallregeln definieren, NAT benötigst du nicht, weil es alles private IP-Ranges sind.

    Alles klar?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  • 0 in reply to jprusch

    Vielen Dank für die Infos vorab!

    Ich habe es jetzt so konfiguriert wie du beschrieben hast: 

     

    Standort A - eth4 - 192.168.20.1 -----  AirFiber1 - 192.168.20.101 -----//-----AirFiber2 - 192.168.20.104 -------  eth5 - 192.168.20.254 - Standort B

    --------

    Standort B:

    Zusätzlich diese Statische Gatewayroute festgelegt:

     

    (CD Test Network) ist eine Schnittstellen 192.168.91.0 mit einem Client PC zum Test am Standort B

    • NAT Regel sind entsprechend keine für CD Test und AirFiber2 festgelegt.

    Wie würde eine korrekte Firewall Regel nun aussehen?

     

    Das Zielnetzwerk am Standort A ist 192.168.10.0. Das Gateway dazu 192.168.10.1

     

    Vielen Dank!

     

    Grüße

     

  • 0 in reply to WIT91

    bzw. zur Korrektur: Diese Route wäre denke ich korrekt:

     

    (WIT-NETZ-TANNE ist 192.168.10.0) und AirFiber Tanne ist 192.168.20.1

  • 0 in reply to WIT91

    Vielen Dank. Ich habe es geschafft.

     

    Grüße

  • 0 in reply to WIT91

    Super! Schönes WE!

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML