Asymetrisches Routing

Hi Tom,

was genau verstehst du hier unter asymmetrischem Routing? Kannst du mir ein Beispiel nennen, was du erreichen möchtest, dann kann ich dir ggf. weiterhelfen.

VG, Martin

Hallo Martin, ich muss da kurz ausholen: Im Grunde habe ich an der Sophos gerade 3 Interfaces aktiv: 

-ein bestehendes, altes Firmennetz 172.16.16.0/24, Interface der Sophos ist hier 172.16.16.1

-ein neues Netz 192.168.5.0/24, Interface Sophos 192.168.5.1

-ein WAN Interface (DHCP Interface, davor ein Telekom-Billig-Router)

Im 172.16.16.0/24 Netz ist ein weiteres Gateway mit der Adresse 172.16.16.3 (Cisco ASA) den ich nicht unter Kontrolle habe.

Alle Clients im 172.16.16.0 Netz haben die Sophos als Standardgateway drin, diese müssen auf Ressourcen (SAP, RDP, etc) hinter dem Cisco (andere Standorte) zugreifen. Das funktioniert auch alles, wenn ich eine Policy Route (Gateway) mache, mit Quelle 172.16.16.0, Service Any, Destination Any IPV4 und Gateway 172.16.16.3.

Mit einer weiteren, Policy Route (Gateway) die VOR der oben genannten Policy Route abgearbeitet wird kann ich ins neue 192.168.5.0 Netz und  umgekehrt ins 172.16.16.0 Netz.

Nun das Problem: Nun soll aus dem 192.168.5.0 Netz Dienste wie SAP oder RDP aus dem Netz HINTER dem Cisco erreicht werden. Ich habe hier keinen Erfolg, ich habe auch mit (s)NAT keinen erfolg.(weil ich mir sicher bin dass der Cisco mein 192.168.5.0 Netz nicht kennt und das kann ich auch nicht ändern lassen). Weiterhin ist komisch, dass ich aus dem 192.168.5.0 Netz den Cisco nicht pingen kann (FIrewall ist testweise offen). Geräte HINTER dem Cisco (FIlialen) können die Sophos auf dem Interface 172.16.16.1 NICHT erreichen, alle anderen Geräte und Computer im 172.16.16.0 Netz aber schon.

Die IT die für alles "hinter" dem Cisco verantwortlich ist sagt ich brauche asymetrisches Routing auf der Sophos.

Wo ist mein Problem?

Herzlichen Dank fürs Lesen und Gruß,

Tom

Hi Tom,
weit ausholen ist immer gut, denn dann hat man als helfender mehr Infos.
Ok also du möchtest das z.B 192.158.5.x die Dienste hinter der Cisco erreicht. Deine bisherige Policy fürs alte Netz besagt ja, dass die Clients ALLE Dienste hinter der Cisco finden (Proto/Dest any -> Cisco), sprich deren "Internet" finden die immer über die Cisco und nicht übers Sophos WAN Interface (korrigier mich wenn ich da was mißverstehe, aber das müsste ja die Policy Route sagen).

Also das die Geräte hinter der Cisco deine FW nicht pingen können scheint ja dann daran zu liegen, dass die Cisco nur verbindungen zu IPs hinter sich selbst in dem Subnetz erlaubt, also zb 172.16.16.4-254 zb. Anders kann ich mir das kaum erklären, da die UTM ja im gleichen Subnetz ist.
ODER in deiner UTM ist Ping noch nicht erlaubt auf und durch das Gateway (UTM). Aktiviere das mal und teste das alles erneut.

Für den Zugriff des "neuen" Netzes auf Dienste hinter der Cisco musst du entweder ne Policy Route erstellen (incl SNAT) die 192.168.5.0/24 auf 172.16.16.1 SNATTED und dann routed oder aber du routest alle protokolle und destinations zur ASA incl SNAT.

Wenn die Cisco nun nicht die 172.16.16.1 erlaubt, sondern nur IPs dahinter in dem Subnetz, dann kannst du auch der UTM ne zweite IP im Netz weiter hinten geben 172.16.16.84 zb und per SNAT traffic aus dem "neuen" Netz dort rüber rausleiten zur ASA.

Wär nen versuch wert. Lass mich wissen ob irgendwas davon hilft oder du genauere Infos brauchst, dann würd ichs mit Screenshots versuchen.

VG

Hallo Martin,

danke nochmal für Deine Antwort und - vor allem - Deine Zeit.

Zum Thema: 

Die Policy für das alte Netz besagt, dass die Clients alle Dienste hinter dem Cisco finden, das stimmt und das ist solange es den Cisco und die dahinter liegenden Filialen gibt so gewollt. Das 192.168.5.0/24 Netz mit dem WAN Interface ist quasi die "neue" Umgebung, die das alles mal ablösen soll. In der Zeit der Migration muss aber ein Parallelbetrieb gewährleistet sein, so dass Clients, die schon im neuen 192.168.5.0/24 Netz sind auf "alte" Ressourcen hinter dem Cisco zugreifen können und Internet aber vom neuen WAN Interface kommt.

Auf der Sophos ist Ping auf und durch das Gateway erlaubt, das habe ich grade geprüft. 

Muss die Policy Route dann so aussehen?

SNAT dann so?

Das mit der zweiten IP auf dem Sophos INterface im alten Netz ist eine super Idee, das teste ich gleich kurz nach mittag.

Vielen Dank Martin!

Gruß

Tom

Hallo Martin,

danke nochmal für Deine Antwort und - vor allem - Deine Zeit.

Zum Thema: 

Die Policy für das alte Netz besagt, dass die Clients alle Dienste hinter dem Cisco finden, das stimmt und das ist solange es den Cisco und die dahinter liegenden Filialen gibt so gewollt. Das 192.168.5.0/24 Netz mit dem WAN Interface ist quasi die "neue" Umgebung, die das alles mal ablösen soll. In der Zeit der Migration muss aber ein Parallelbetrieb gewährleistet sein, so dass Clients, die schon im neuen 192.168.5.0/24 Netz sind auf "alte" Ressourcen hinter dem Cisco zugreifen können und Internet aber vom neuen WAN Interface kommt.

Auf der Sophos ist Ping auf und durch das Gateway erlaubt, das habe ich grade geprüft. 

Muss die Policy Route dann so aussehen?

SNAT dann so?

Das mit der zweiten IP auf dem Sophos INterface im alten Netz ist eine super Idee, das teste ich gleich kurz nach mittag.

Vielen Dank Martin!

Gruß

Tom