DHCP Server mit UTM 9 separieren

Moin und herzlich Willkommen!

Meine Frage, warum nutzt du nicht einen DHCP Server und nutzt den DHCP Relay deiner Sophos UTM?

Sind diese beiden Netzte logisch von einander getrennt, oder hängen die an einem Switch?
Sprich, nutzt du VLANs?
Wenn dies der Fall ist, kannst du ja die Anfragen einstellen und Firewallregeln erstellt.
Außerdem werden ohne den DHCP Relay Agent keine DHCP Anfragen geroutet.

Nice greetings

Also das LAN ist bei Deiner UTM external und beide Schnittstellen Deiner UTM sind an de[m,n] gleichen physischen Switch[,en] angeschlossen?

Hi GuyFawkes

> herzlich Willkommen!
Danke! 

> Meine Frage, warum nutzt du nicht einen DHCP Server und nutzt den DHCP Relay deiner Sophos UTM?
Weil die beschriebene Umgebung ein Test-Case @home ist, um mich mit EXSi 5.5, einer virtuellen UTM 9 und zwei drei virtuellen Maschinen zu familiarisieren. Die spätere Zielkonfiguarion wird ein dedizierter (root) Server in einem Rechenzentrum sein; dieser Server wird direkt im Internet hängen (so wie jetzt meine EXSi 5.5 Maschine direkt in meinem LAN hängt) und die virtuelle UTM 9 soll mir meine virtuellen Maschinen Firewall-mässig absichern.

> Sind diese beiden Netzte logisch von einander getrennt, oder hängen die an einem Switch? Sprich, nutzt du VLANs?
Die beiden Netze sind nicht logisch getrennt, Sie hängen am selben Switch und ich nutze kein VLAN.

> Außerdem werden ohne den DHCP Relay Agent keine DHCP Anfragen geroutet.
Das hat mich auch sehr gewundert: ich habe "Clients über DHCP-Relay-Agent" nicht angehakt - und doch werden die DHCP Anfragen geroutet.


Hallo K.N.

> Also das LAN ist bei Deiner UTM external und beide Schnittstellen Deiner UTM sind an de[m,n] gleichen physischen Switch[,en] angeschlossen? 
Ja genau. noch zur Verdeutlichung: die EXSi 5.5 Maschine hat nur einen physischen Netzwerkadapter (wie es später auch bei meiner o.g. Maschine im Rechenzentrum sein wird).

Danke für Eure Hilfe und weitere Ideen, warum DHCP Anfragen hier gerouter werden! Übrigens habe ich auch Firewall-Regeln getestet, mit denen die DHCP Ports 67 und 68 External -> Internal und Internal -> External abgelehnt werden sollten. Leider hat das nichts gebracht! 

Solange die virtuelle Maschine mit UTM 9 darin gestartet ist (oder wenigstens der DHCP Status mit dem Slider auf Grün gesetzt ist) antworten beide DHCP Server auf beiden Seiten, mit den bekannten Folgen, die ich sicher nicht extra beschreiben muss ...

Grüsse
Ben

So wie beschrieben klingt es nicht nur abwegig sondern auch unlogisch. Broadcasts werden nicht einfach so geroutet, folglich kann es nicht daran liegen, dass die UTM die Broadcasts routet. Dein beschriebenes Szenario lässt so viele Möglichkeiten und Fehler zu, dass es Zufall ist, wenn ein Tip recht schnell die Lösung bringt.

Wie ist das interne Interface der UTM und die VM "hinter" der UTM verkabelt (physisch und virtuell)?

Hallo K.N.

> So wie beschrieben klingt es nicht nur abwegig sondern auch unlogisch. Broadcasts werden nicht einfach so geroutet, folglich kann es nicht daran liegen, dass die UTM die Broadcasts routet.
Ich kann es ja ebenfalls nicht nachvollziehen, sonst hätte ich mich nicht ans Forum gewandt. 

> Wie ist das interne Interface der UTM und die VM "hinter" der UTM verkabelt (physisch und virtuell)? 
Mein Netzwerk ist eigentlich ein "stinknormales" Home-Netzwerk, dem eine EXSi 5.5 Maschine testweise hinzugefügt wurde.

Ich habe eine "Netzwerk-Topologie" (Netzwerk Layout.jpg) angefertigt sowie für die fraglichen Einstellungen Hardcopies erzeugt und hier angehängt.

Tatsächlich bin ich aber kein Netzwerk-Spezialist, eher jemand mit einem sehr breiten Informatik Wissen, welches an anderen Stellen in die Tiefe geht.

Nachdem ich wegen der beide aktiven DHCP Server im Netz Probleme bekam, habe ich den SoftPerfect Network Scanner benutzt, um zu sehen, welche DHCP Server wo auf Anfragen reagieren; das Ergebnis ist im Bild "Netzwerk Layout" unten zu sehen. 

Danke, Gruss
Ben

Hallo zusammen

Ich habe folgenden Test gemacht (gleiches Szenario wie oben beschrieben):

* Es ist nur ein Netzwerkadapter installiert auf der EXSi 5.5 Maschine
* die virtuelle UTM 9 kennt diesen Adapter einmal als Schnittstelle eth1 (External) und einmal als eth0 (internal)
* nun habe ich die Schnittstelle eth1 (External) mit dem grünen Slider deaktiviert (ausgegraut)
* dann habe ich den DHCP Scanner im LAN (also auf der "externen" Seite) angeworfen

Was soll ich sagen, es wurden immer noch zwei DHCP Server gefunden, und einer davon jener vom internen "Netzwerk-Abschnitt" der UTM 9.

Als Firewall Regel hatte ich sogar extra die DHCP Ports in beide Richtungen geschlossen ("Verwerfen").

Meine Schlussfolgerungen: 
* der DHCP Server auf der UTM 9 ist direkt an den physischen Adapter gebunden, auf den die Schnittstelle verweist und antwortet dort auch
* Die Firewall wird gar nicht erst gefragt
* d.h. die virtuelle UTM 9 kann mit nur einem installierten Netzwerk-Adapter ihre Firewall Funktion zwischen internem und externen Netzwerk nicht vollständig erfüllen

Abhilfe könnte schaffen (was zu testen wäre) wenn man den an der Shell zu sehenden lokalen Adapter "lo", also 127.0.0.1 als Schnittstelle definieren könnte. In dem Fall könnte man den DHCP Server der virt. UTM 9 an lo binden. Ich vermute, dies könnte Abhilfe schaffen - aber ich habe keine Möglichkeit gefunden, das lo - loopback Interface als Schnittstelle  im WebAdmin anzusprechen für diesen Test.

Hat jemand eine Idee, wie man lo als neue Schnittstelle im WebAdmin definieren könnte? 

Natürlich bin ich auch dankbar, wenn es sonst eine Idee gibt, wie man mit nur einem physischen Netzwerkadapter bei einer virtuellen UTM 9 korrekt separieren kann zwischen externem (pysischen) LAN und internem (virtuellem) LAN.

Danke und Gruss
Ben

Das hat Null mit der UTM zu tun. Du hast beide Netzwerk-Adapter der UTM an das "VM Network" gebunden? Dann sind die beide im gleichen Netz. Damit laufen in deinem phys. Netz 2 DHCP-Server.
Das sind ganz einfache Netzwerk Basics.

Wenn ich das richtig verstehe, soll die Win7-VM in ein Netz hinter der UTM, richtig?
Dann musst du zuerst mal auf dem ESX-Server ein neues Netz erstellen (diesem Netz einfach keine physikalische Netwerkkarte zuweisen, dann kann's auch nicht nach draußen).
Nun weist du dieses Netz der Win7-Netzwerkkarte und der internen Schnittstelle der UTM zu.
Fertig.

Jetzt kann die Win7-VM nur noch über die UTM nach draußen kommunizieren.
Aus deinem lokalen Netz erreichst du die UTM dann nur noch über ihre "externe" Adresse.

edit: Nachtrag zu deinen Ausführungen im letzten Post:
Natürlich wird der UTM-DHCP-Server an das Interface gebunden, für das er konfiguriert ist. Er soll ja in diesem Netz Adressen vergeben.
Ihn an das Loopback Interface der UTM zu binden, wäre unsinnig, da er dann gar nicht auf Anfragen aus dem "Internal"-Netz der UTM antworten könnte. Dann kannst du den DHCP-Server auch löschen, denn er bringt dann nix.

edit2: Wo bleiben meine Manieren?!

Herzlich willkommen im Sophos User BB!

Hallo Scorpionking

Danke Dir, Du hast mir sehr geholfen. Manchmal braucht man jemand, der einem auf das offensichtliche mit der Nase stösst.

Jetzt geht's und alles ist fein! "Problem" gelöst.

Auch herzlichen Dank an GuyFawkes und K.N. dass Ihr mit mir den Dialog aufgenommen habt. Das hat mich zu einer besseren Formulierung meiner Frage geführt und war daher wichtig auf dem Lösungsweg.

Grüsse
Ben

Gerne. Freut mich, dass es jetzt klappt.