Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 Home Edition Firewallkonfiguratinsprobleme

Trapton
Hallo,
ich bin neu hier im Sophos-Forum und habe ein Problem mit der Sophos UTM Home Edition.

Ich habe die Sophos virtuellisiert auf meinem ESXi Server installiert.
Im Server stecken 2 Netzwerkkarten:

1. WAN hängt direkt am Internet
2. Nur für die Managementfunktion des ESXi

Der ESXi hat mehrere vSwitche konfiguriert (5 Stück ETH0-4), ETH0 ist die WAN-Karte zugewiesen, die weiteren haben keine Netzwerkkarte zugewiesen.
Die Sophos hängt in allen 5 vSwitchen. ETH1-4 sind Netzwerke, die aus Subnetzen bestehen.
Nun sind ein paar Firewallregeln eingestellt, die den Zugriffe aus dem Internet erlauben z.B. HTTPS und unten Any  Any = deny. Rein logisch würde ich somit verstehen, dass alles was nicht expliziert erlaubt ist nicht durchgelassen wird.
Wenn ich nun versuche von der ETH3-Maschine die ETH1-Maschine anpingen möchte, dann erreiche ich den Server. Wenn ich Tracert von der ETH1-Maschine auf die ETH3-Maschine mache, geht er über das Standardgateway (ETH1) direkt auf die virtuelle Maschine im ETH3-Netz, die natürlich ein anderes Standardgateway (auch die Sophos) eingetragen hat.

Wie bekomme ich es konfiguriert, dass alle 4 Netze durch die Firewall getrennt sind?
Wenn Ihr mehr Informationen braucht, kann ich diese gerne hinzufügen.


This thread was automatically locked due to age.
  • 0
    Die Sophos sollte eine Schnittstelle in jedem Netz haben und diese Schnittstelle sollte Standardgateway für jedes Netz sein. Wer routet denn aktuell deine Netze?
  • 0
    Genau, die Sophos hat zur Zeit in jedem Netz eine Schnittstelle und übernimmt für jedes Netz jeweils das Standardgateway (jedes Interface hat ein Gateway).
    Routing ist überhaupt noch nicht eingerichtet.

    Was mich halt stark wundert, dass über das Gateway des ETH1, direkt der Host im ETH3 erreicht werden kann.
  • 0
    Ich habe mal ein paar Screenshots gemacht

    Hier sieht man den ESXi mit den mehreren vSwitchen und wie die Sophos in jedem Netzwerk eingebunden ist:


    Die Einstellungen der virtuellen Sophos:


    Die Sophos UTM Schnittstellen, mit den Subnetzen:


    Und ein Tracert aus der ETH1 in ETH3 auf eine virtuelle Maschine (BA-DC-01 -> BASRVLINUX01):


    Das Problem scheint ja zu sein, dass um vom ETH1 auf ETH3 nicht über das Gateway im ETH3 geht, sondern es direkt erreicht. Das möchte ich nicht, deswegen habe ich mehrere Schnittstellen angelegt. Wie muss ich das konfigurieren?

    Edit: Sorry für den Doppelpost
  • 0
    Welche Subnetzmaske und Default-Gateways hast du in deinem Windows-Rechner und der Linuxkiste eingetragen? Oder hats du einen DHCP am laufen? Wie ist der konfigutiert?
  • 0
    Zusätzlich zu den Subnetmasks noch die Frage nach der vSwitch Konfiguration und ist die Firewall visible, insbesondere bei ICMP?


    Und gab es einen historischen Grund, warum Class C so unterteilt wurde?




    Die Anonymisierung war nicht ganz gelungen, oder ist das in "Bremen" anders?[;)]
  • 0
    Die Linuxmaschine bekommt per DHCP (Sophos) die IP, mit passender Subnetzmaske, die Windows-Maschine ist Statisch und beide Maschinen aber unterschiedliche Gateways, jeweils aus dem jeweiligen Netz.
    EDIT:
    Windows-Maschine: Subnetzmaske 255.255.255.240 Gateway 192.168.192.126
    Linux-Maschine: Subnetzmaske 255.255.255.240 Gateway 192.168.192.94

    vSwitch-Konfiguration? Was genau, da bin ich noch nicht ganz auf dem laufenden.
    Die Firewall ist visible.

    Warum das Netz so verteilt wurde? Produktivnetzwerk, Testnetzwerk usw. Zuhause kommt ebenfalls ein Server der per IPsec-Site-to-Site verbunden werden soll. 
    Da ich zur Zeit Azubi bin, wollte ich ein wenig testen, was Routing und Subnetting angeht.

    Wenn du auf die Domäne auf dem Screenshot anspielst, dass ist natürlich die Firma wo ich gerade meine Ausbildung mache. Mein Server steht im RZ und mir ging es eigentlich nur darum, dass diese IP nicht öffentlich ist [:)]

    Danke aber schonmal für die Antworten.
Cookie Information Banner