VLAN Netzwerk zu einzelnen Servern verbinden

IP-Routing? Gateway? Tracert? Subnetzmaske?

Im Firewall Live-Log mit lesen, wenn du die Server zu erreichen versuchst, gibt es da DROPs?

Routen habe ich nicht angelegt. Vielleicht bin ich auch falsch informiert, aber ich habe irgendwo gelesen, dass die Routen automatisch angelegt würden, analog zu den Regeln.

Subnetmaske stimmt.

Im Live-Log sind keine DROPs zu sehen.

Tracert endet von der Serverseite am Gateway.

Tracert geht von der Client-VLAN-Seite aus über den VLAN Gateway und zeigt dann endlos Hops an mit Zeitüberschreitung.

Was genau meinst du mit Gateway?

Danke und Viele Grüße
SnakeOverlord

Bitte mal ein Diagramm oder eine Übersicht in der Form senden:

Netzwerk 1 (Clients) VLAN22 --- IP 192.168.10.0/24  ----- 192.168.10.254/24 = Sophos-Interface-zum-VLAN22

                                                                                                                                                     ||||

Netzwerk 2 (Server) VLAN17 -- IP 192.168.3.0/24 ----------- 192.168.3.254/24 = Sophos-Interface-zum-VLAN17

(Die Zahlen sind rein willkürlich gewählt, bitte die richtigen einsetzen)

So, nun zum Gateway: Für das Netzwerk 1 (die Clients) ist die Sophos mit der IP 192.168.10.254 das Gateway zum Rest der Welt.

Für die Server in Netzwerk 2 ist die Sophos mit der IP 192.168.3.254 das Gateway zum Rest der Welt.

IP-Zugriffe funktionieren nur (egal ob VLAN verwendet werden, oder nicht), wenn die Clients im Netzwerk 1 wissen, wie sie das Server-Netzwerk "hinter" der Sophos erreichen und umgekehrt die server auch wissen, dass es einen Weg in das Netzwerk mit den Clients gibt.

Im einfachsten Fall ist die Sohos für beide Netzwerk das Default-Gateway, dann passt es.

Dann brauchst du aber trotzdem eine Firewall-Regel, die dem Client-Netzwerk (nicht der Schnittstelle) einen Zugriff in das Server-Netzwerk erlaubt.

Netzwerk 1 (Clients) VLAN168 --- IP 10.65.68.0/22  ----- 10.65.68.1/22 = Sophos-Interface-zum-VLAN168

                                                                                                                                                     ||||

Netzwerk 2 (Server) VLAN1 -- IP 172.27.0.0/22 ----------- 172.27.2.4/22 (das ist die Sophos) = Sophos-Interface-zum-VLAN1

jprusch said:

Dann brauchst du aber trotzdem eine Firewall-Regel, die dem Client-Netzwerk (nicht der Schnittstelle) einen Zugriff in das Server-Netzwerk erlaubt.

Ist "SchnittstelleXY (Network)" nicht ausreichend?

jprusch said:

Dann brauchst du aber trotzdem eine Firewall-Regel, die dem Client-Netzwerk (nicht der Schnittstelle) einen Zugriff in das Server-Netzwerk erlaubt

In etwa so "10.65.68.0/22 -> any  -> 172.27.0.0/22", oder nicht?

Danke und viele Grüße
SnakeOverlord

Netzwerk 1 (Clients) VLAN168 --- IP 10.65.68.0/22  ----- 10.65.68.1/22 = Sophos-Interface-zum-VLAN168

                                                                                                                                                     ||||

Netzwerk 2 (Server) VLAN1 -- IP 172.27.0.0/22 ----------- 172.27.2.4/22 (das ist die Sophos) = Sophos-Interface-zum-VLAN1

jprusch said:

Dann brauchst du aber trotzdem eine Firewall-Regel, die dem Client-Netzwerk (nicht der Schnittstelle) einen Zugriff in das Server-Netzwerk erlaubt.

Ist "SchnittstelleXY (Network)" nicht ausreichend?

jprusch said:

Dann brauchst du aber trotzdem eine Firewall-Regel, die dem Client-Netzwerk (nicht der Schnittstelle) einen Zugriff in das Server-Netzwerk erlaubt

In etwa so "10.65.68.0/22 -> any  -> 172.27.0.0/22", oder nicht?

Danke und viele Grüße
SnakeOverlord

Ja, so sollte es aussehen.

Aber dennoch muss ein Routing möglich sein:

Entweder ist die Sophos in beiden Netzen das DEFAULT-Gateway (Prüfen unter Windows mit "route print", das Default GW hat das Ziel 0.0.0.0 und die Maske 0.0.0.0)

ODER

man muss in dem Netzwerk eine Route zu dem jeweils anderen Netz etablieren, wenn die Sophos NICHT das Default-Gateway ist.

Das Default Gateway ist wie es sein soll.

Das Sophos-Gateway ist die jeweilige IP der Schnittstelle auf der Sophos, korrekt (172.27.2.4 und 10.65.68.1)?

Wenn die Sophos das Standardgateway für beide Netze ist und dann noch "10.65.68.0/22 -> any  -> 172.27.0.0/22" und "172.27.0.0/22 -> any  -> 10.65.68.0/22" eingerichtet ist müsste man ohne Einschränkung von beiden Netzen in das jeweilige andere kommen, oder?

Ja, das hört sich alles richtig an. Trotzdem geht es nicht, oder?

Es muss also einen Fehler im Setup geben.

Nochmal rekapituliert: es gibt immer drei Objekte für jede Schnittsetlle, bei mir zum beispiel so:

Für die Firewallregeln nimmt man dann das XYZ(Network) Objekt.

ich würde jetzt erst noch einmal testen, ob denn die Sophos zu den jeweiligen Hosts eine Verbindung aufbauen kann, um eine Fehl-Konfiguration der Switchports in Bezug auf die VLAN-Funktion auszuschliessen.

Also auf der UTM unter Support/Tools/ping Check verschiedene IP aus den beiden Netzen anpingen. Ist das OK?

jprusch said:

Ja, das hört sich alles richtig an. Trotzdem geht es nicht, oder?

Genau. Es geht trotzdem nicht.

jprusch said:

Für die Firewallregeln nimmt man dann das XYZ(Network) Objekt.

Ja, habe ich so gemacht.

jprusch said:

ich würde jetzt erst noch einmal testen, ob denn die Sophos zu den jeweiligen Hosts eine Verbindung aufbauen kann, um eine Fehl-Konfiguration der Switchports in Bezug auf die VLAN-Funktion auszuschliessen.

Also auf der UTM unter Support/Tools/ping Check verschiedene IP aus den beiden Netzen anpingen. Ist das OK?

Habe ich jetzt gemacht und die Ergebnisse sind verwirrend.

Im VLAN1 kann ich alle Hosts pingen.

Im VLAN168 kann ich die Switche pingen, aber den Test-Client nicht, von dem ich wiederum das Sophos-Gateway pingen kann. Mag an der Personalfirewall liegen, habe ich noch nicht nachgesehen.

Versuche ich über die jeweils andere Schnittstelle den Ping zu einem Host im anderen Netz zu machen kommt da auch nichts durch. Trotz der maximal freizügigen Firewallregel, wie oben beschrieben.

---

Ich habe noch eine Beobachtung gemacht die verwirrend ist.

Mach ich einen tracert auf eines der beiden Gateways aus jeweils beiden Netzen gibt es scheinbar einen Loop, jedenfalls bekomme ich so viele Hops mit der Gateway-IP wie maximal in Tracert zugelassen sind. Normalerweise sollte das ein Hop sein.

Das sieht mir eher nach einem Problem mit der VLAN-Programmierung der beteiligten Switches aus.

Die Beobachtung mit dem tracert ist dann wie beschrieben normal, denn da kommen keine echo-reply Pakete als Antwort mehr zurück, und dann malt er nur Sternchen, bis der maximale Hop-Count erreicht ist.

Kannst du mal deine Interface Definitionen als Screenshots hier posten?

Hallo,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

VLAN 1 is reserved in UTM for Wireless Protection.  If you aren't using Sophos wireless APs, you might not have a problem.

That said, I agree with Philipp that this sounds like a a configuration issue in your VLAN switch.

If you still need help, please show pictures of the Edits of the relevant objects and configs.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Vlan 1 ist default. Es ist dafür keine VLAN Schnittstelle angelegt.

Auf der Sophos ist die Schnittstellefür 168 so angelegt:

Auf dem Switch ist es so konfiguriert (ge.1.11 ist mit Eth1 verbunden. ge1.12 ist mit dem Windows-Client verbunden):

No problem at all.

I am new to this product and I lack of the knowledge why the UTM was configured as it is now. The most of the legacy network is configured VLAN1 by default (except VoIP). I have to support my co-worker to separate the legacy network into VLANs. We want them separated for obvious security reasons.

Wireless protection is in usage. Does this mean the legacy network with VLAN1 is interfered by wireless protection?

Yes, if you're using one or more Sophos Wireless access points,VLAN1 soll weg.

MfG - Bob

Even if it is on the switches as default and not tagged and not used explicit on the Sophos?