Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2482 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DHCP Server mit UTM 9 separieren

blackben
Hallo

Ich habe in meinem vorhandenen LAN (Netzwerk 192.168.120.0, DHCP-Server läuft auf einem Lancom 1611+ Router mit Adresse 192.168.120.1) eine Maschine mit ESXi 5.5 aufgesetzt. 

Aus Sicht meines bestehenden LANs ist die ESXi Maschine unter 192.168.120.132 zu erreichen.

Auf der ESXi Maschine gibt es momentan 2 virtuelle Instanzen: Sophos UTM9 und ein Windows namens W7_Template. 

Die Schnittstellen der UTM9 sind wie folgt definiert:
External (WAN) an eth1 [192.168.120.132/24], Default GW 192.168.120.1
Internal an eth0 [192.168.122.1/24]

Der UTM9 DHCP Server ist so parametrisiert:
Internal [Bereich 192.168.122.200 bis 192.168.122.239] DNS1: 192.168.122.1 Standatdgateway 192.168.122.1, WINS: 0.0.0.0

Mein Problem ist nun: in meinem LAN (192.168.120.0) antworten jetzt zwei DHCP Server auf DHCP Anfragen:
192.168.120.1 und
192.168.122.1

Beide DHCP Server antworten jetzt auch ebenso auf der virtuellen Maschine W7_Template auf DHCP Anfragen!

Meine Frage: wie muss ich die Sophos UTM9 konfigurieren, damit 
* in meinem LAN nur der DHCP Server 192.168.120.1 Adressen zuteilt
* innerhalb der EXSi Maschine nur der Sophos UTM9 DHCP Server 192.168.122.1 Adressen zuteilt?

Über Eure Hilfe würde ich mich sehr freuen! 

Danke und Gruss
Ben

PS: die UTM9 Firmware wird mit 9.106-17 als aktuell ausgewiesen


This thread was automatically locked due to age.
Parents
  • 0
    Hallo zusammen

    Ich habe folgenden Test gemacht (gleiches Szenario wie oben beschrieben):

    * Es ist nur ein Netzwerkadapter installiert auf der EXSi 5.5 Maschine
    * die virtuelle UTM 9 kennt diesen Adapter einmal als Schnittstelle eth1 (External) und einmal als eth0 (internal)
    * nun habe ich die Schnittstelle eth1 (External) mit dem grünen Slider deaktiviert (ausgegraut)
    * dann habe ich den DHCP Scanner im LAN (also auf der "externen" Seite) angeworfen

    Was soll ich sagen, es wurden immer noch zwei DHCP Server gefunden, und einer davon jener vom internen "Netzwerk-Abschnitt" der UTM 9.

    Als Firewall Regel hatte ich sogar extra die DHCP Ports in beide Richtungen geschlossen ("Verwerfen").

    Meine Schlussfolgerungen: 
    * der DHCP Server auf der UTM 9 ist direkt an den physischen Adapter gebunden, auf den die Schnittstelle verweist und antwortet dort auch
    * Die Firewall wird gar nicht erst gefragt
    * d.h. die virtuelle UTM 9 kann mit nur einem installierten Netzwerk-Adapter ihre Firewall Funktion zwischen internem und externen Netzwerk nicht vollständig erfüllen

    Abhilfe könnte schaffen (was zu testen wäre) wenn man den an der Shell zu sehenden lokalen Adapter "lo", also 127.0.0.1 als Schnittstelle definieren könnte. In dem Fall könnte man den DHCP Server der virt. UTM 9 an lo binden. Ich vermute, dies könnte Abhilfe schaffen - aber ich habe keine Möglichkeit gefunden, das lo - loopback Interface als Schnittstelle  im WebAdmin anzusprechen für diesen Test.

    Hat jemand eine Idee, wie man lo als neue Schnittstelle im WebAdmin definieren könnte? 

    Natürlich bin ich auch dankbar, wenn es sonst eine Idee gibt, wie man mit nur einem physischen Netzwerkadapter bei einer virtuellen UTM 9 korrekt separieren kann zwischen externem (pysischen) LAN und internem (virtuellem) LAN.

    Danke und Gruss
    Ben
Reply
  • 0
    Hallo zusammen

    Ich habe folgenden Test gemacht (gleiches Szenario wie oben beschrieben):

    * Es ist nur ein Netzwerkadapter installiert auf der EXSi 5.5 Maschine
    * die virtuelle UTM 9 kennt diesen Adapter einmal als Schnittstelle eth1 (External) und einmal als eth0 (internal)
    * nun habe ich die Schnittstelle eth1 (External) mit dem grünen Slider deaktiviert (ausgegraut)
    * dann habe ich den DHCP Scanner im LAN (also auf der "externen" Seite) angeworfen

    Was soll ich sagen, es wurden immer noch zwei DHCP Server gefunden, und einer davon jener vom internen "Netzwerk-Abschnitt" der UTM 9.

    Als Firewall Regel hatte ich sogar extra die DHCP Ports in beide Richtungen geschlossen ("Verwerfen").

    Meine Schlussfolgerungen: 
    * der DHCP Server auf der UTM 9 ist direkt an den physischen Adapter gebunden, auf den die Schnittstelle verweist und antwortet dort auch
    * Die Firewall wird gar nicht erst gefragt
    * d.h. die virtuelle UTM 9 kann mit nur einem installierten Netzwerk-Adapter ihre Firewall Funktion zwischen internem und externen Netzwerk nicht vollständig erfüllen

    Abhilfe könnte schaffen (was zu testen wäre) wenn man den an der Shell zu sehenden lokalen Adapter "lo", also 127.0.0.1 als Schnittstelle definieren könnte. In dem Fall könnte man den DHCP Server der virt. UTM 9 an lo binden. Ich vermute, dies könnte Abhilfe schaffen - aber ich habe keine Möglichkeit gefunden, das lo - loopback Interface als Schnittstelle  im WebAdmin anzusprechen für diesen Test.

    Hat jemand eine Idee, wie man lo als neue Schnittstelle im WebAdmin definieren könnte? 

    Natürlich bin ich auch dankbar, wenn es sonst eine Idee gibt, wie man mit nur einem physischen Netzwerkadapter bei einer virtuellen UTM 9 korrekt separieren kann zwischen externem (pysischen) LAN und internem (virtuellem) LAN.

    Danke und Gruss
    Ben
Children
No Data
Cookie Information Banner