Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5944 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständnisfrage zum Routing

beck2oldschool
Hallo zusammen,
ich habe seit ein paar Tagen zwei SG 210, welche meine Watchguards ablösen sollen.
Nun habe ich mal eine verständnisfrage zum Thema Routing und/oder Firewall Regeln.
Mal angenommen ich habe da untenstehende Beispielschema. Was muss ich konkret wo in welcher Reihenfolge eingeben, damit ich z.B. von Rechner 10.132.2.1/20 zum 192.168.100.10/24 z.B. pingen kann (oder http, smb, oder was auch immer für ein Protokoll)
Im Handbuch habe ich gelesen, dass ich kein Routing einrichten muss, wenn Netzwerke direkt an die Schnittstellen angeschlossen sind. Ich habe eine Firewall Regel, die (testweise natürlich nur) von dem Netz1 in das Netz2 "any" zulässt und eine zweite Regel umgekehrt. Webfilter ist deaktiviert.
Trotzdem komme ich da nicht durch. Die beiden Interfaces lassen sich aus dem jeweils anderen Netz anpingen, nicht jedoch die PCs

Danke für jede Hilfe schonmal im Voraus.

Gruß

Michael


This thread was automatically locked due to age.
  • 0
    Kennen die PCs die UTM als Defaultgateway, bzw. eine Route zum anderen Netz?
    Firewalllogs?
  • 0 in reply to K.N.
    Die Default GWs sind wie auf dem Schema ersichtlich eingetragen. Spezielle Routen sind keine eingetragen. Weder auf der UTM noch auf den PCs. Das Firewall Log bringt nichts verwertbares.
  • 0
    Firewall auf den PCs aktiv?
    Haken im WebAdmin bei Ping (Network Protection -> Firewall -> ICMP) gesetzt?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Hallo,
    ich tippe mal wie Scorpionking auf die lokale Windows-Firewall oder den Virenscannet.
    Wenn Du sogar das Gateway im anderen Netzwerk-Segment anpingen kannst, bist Du erfolgreich durch das Regelwerk durch.
    Was ist denn lokal auf den PC aktiv?
    Grüße, Karsten

    Sent from my iPhone using Astaro.org
  • 0 in reply to KKnecht
    Also die lokale FW und AV kann ich devinitiv ausschließen. Von anderen Rechner im "linken" netz kann ich den/die Rechner anpingen...
    Interessanterweise kann ich aus dem 192.168.100.0er Netz das Gateway auf eth0 (10.132.1.1) anpingen, nicht aber was darüber hinausgeht. Theoretisch müsste ja auch auf http was kommen. Ich hab eine Regel ganz nach obengeschoben, die von Any nach Any, Any erlaubt. Auch da geht nix:
  • 0 in reply to beck2oldschool
    Also, jetzt funktioniert es. Ich habe auch Internetzugriff von dem 192.168.100.0er Netz über das 10.132.0.0. 
    Was ich gemacht habe ist eine Makierung von WLAN (Network) nach Internal - also von dem rechten Netz auf die Schnittstelle des linken.
    Welche Schritte muss ich denn in welcher Reihenfolge durchführen, wenn ich eine neue Schnittstelle in Betrieb nehmen will?
    Gibt es dazu irgendwo ein How-To/Best Practise? Ich hab geggogelt wie ein Weltmeister und nix gefunden. In dem 700 Seiten umfassenden Handbuch ist zwar jeder Knopf beschrieben, aber nicht die Schritte zur Einrichtung einer Schnittstelle und den Diensten.
  • 0 in reply to beck2oldschool
    Hi,

    wenn du wie oben beschrieben Ping aktiviert hast, dann muss dieser funktionieren. Maskierung ist hier nicht das richtige Mittel und du umgehst damit nur ein vorhandenes anderes Problem.

    Kannst du von einem Segment in das andere denn ein Netzwerkgerät (Drucker, Switch, AccessPoint), welches ein eingetragenes Gateway hat, pingen?
    Lass den AP mal außen vor und versuche dich im 192er-Netz mal direkt oder via Switch mit der UTM zu verbinden. Was ist das eigentlich für ein AP - Sophos?

    Wenn du eine LAN-Schnittstelle in Betrieb nimmst, dann brauchst du ein weiteres Subnetz. Ping auf IP sollte dann sofort in alle andere Netze funktionieren. Alles weitere ist zu individuell um es kurz zu fassen.

    Führe bitte mal ein tracert aus - das könnte zur Diagnose ebenfalls hilfreich sein.

    Grüße
    Sebastian
  • 0
    Yepp, wie Sebastian schrieb ist die NAT-Tante nicht das Thema. Denn du kommst ja quasi aus d dem 10.0.10.0 und willst im 192.168.1.0 auch als solches ankommen.

    So verhält es sich quasi auch wenn du im LAN (theoretisch) öffentliche IPs hättest und mit denen ins Internet möchtest, dann brauchst auch kein NAT, denn da kann er ja die interne "öffentliche" direkt mit nach außen nehmen.

    Hoffe ich konnte es einigermaßen verständlich erklären;-)

    LG 
    Thomas
  • 0
    Ich glaub´s nicht, ganz exakt mein Problem und genau wie bei mir beschriebenes Phänomen. Mehr als der beschriebene Ping ins andere Netz war ohne dieser NAT-Maskierungsregel nicht möglich. Aber das kann es doch nicht sein und kaschiert, wie hier schon beschrieben wurde, das Problem ja nur. Seit wann benötige ich denn NAT wenn ich zwischen zwei Netze Route? Und ich komme am Ziel nicht mit der richtigen IP-Adresse an.
    Hoffentlich kann hier jemand Licht ins Dunkle bringen… Merci.
  • 0
    Inzwischen bin ich schlauer, ohne gesetzter Rück-Route aus dem Zielnetz funktionierts schlichtweg nicht... Mit braucht es dann auch kein NAT mehr..
Cookie Information Banner