Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 5934 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG230 mit 9.405-5 ignoriert statische Gateway-Route

dowagner

Hallo zusammen,

habe lange nichts mehr hier posten müssen, aber aktuell stehe ich vor einem Problem welches ich mir nicht erklären kann.

Folgende Situation: Einer unserer Kunden ist über einen Lancom1783VA über eine VDSL50-Leitung ans Interner angebunden.

Hinter dem Lancom ist eine SG230 platziert welche hauptsächlich als HTTP-Proxy mit AD-SSO fungiert.

Der Lancom ist in den Eigenschaften der ETH0-Schnittstelle als Standard-Gateway eingetragen.

Zusätzlich gibt es noch einen externen Standort, welcher über eine Standleitung der Telekom erreichbar ist.

Ich hab nun folgendes Problem: Ich möchte von der Sophos aus den externen Standort erreichbar machen. Hierfür habe ich eine Gateway-Route eingetragen:

Routentyp: Gateway-Route

Netzwerk:   Entferntes Subnetz

Gateway: IP des Cisco-Routers welcher Endpunkt der Standleitung ist.


Das Problem ist nun: Versuche ich anschließend von der Sophos einen Ping an das entfernte LAN abzusetzen, ignoriert die UTM die Netzroute und versucht stattdessen, das entfernte Netz über das Standardgateway (der Lancom-Router) zu erreichen, was jedoch fehl schlägt.


Hat jemand eine Idee, warum das so ist? Wie kann ich erzwingen, dass die UTM den Weg über die Gateway-Route und nicht über das Standard-Gateway nimmt?

Gruß,

Dominik



This thread was automatically locked due to age.
  • 0

    Hier könnten mehrere Ursachen sein:

    - Ip-Adress-Struktur passt nicht. Wie ist denn das LAN definiert und wie das entfernte Netz?

    Ist die Gateway-route auch aktiv gesetzt in der GUI?

    Wird die Route angezeigt unter Support/Advanced /Route Table ?

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0 in reply to zaphod

    Moin,


    Danke für deine Antwort!

    IP-Adresstruktur sieht wie folgt aus:

    LAN Zentrale: 10.0.0.0/8

    LAN Aussenstelle: 10.3.0.0/8

    Gateway zwischen Zentrale und Aussenstelle: 10.0.100.198

    Die Gateway-Route ist so eingestellt, dass das LAN 10.3.0.0 über das Gateway 10.0.100.198 erreicht werden kann.

    Danke für den Hinweis auf die Routing-Tabelle unter Support/Advanced! Es ist in der Tat so, dass die Route hier nicht auftaucht...

    Seltsam ist darüber hinaus noch, dass ich eine zweite Gateway-Route zu einer weiteren Aussenstelle über ein anderes Gateway ohne Probleme definieren konnte.

    Hier geht es um den IP-Adressbereich 10.4.0.0/8 welcher über das Gateway 10.0.100.210 angesteuert wird.

    Diese Route taucht in der Routing-Tabelle auf und funktioniert wie erwartet.

    Mir würde jetzt noch einfallen, die Route testweise über die Shell manuell zu setzen.

  • 0 in reply to dowagner

    bei /8 ist alles im lokalen Netz, da interessiert ihn das Gateway nicht

  • 0 in reply to dowagner

    Hallo,


    die benutzte IP-Struktur ist schon mal... kontraproduktiv um das ohne Schimpfwörter auszudrücken.

    Wer nimmt denn Klasse A Netze für Standorte ohne diese aufzuteilen?!?

    Wenn nicht mehr als 254 Hosts pro Standort sind sollte ein Klasse C genommen werden 10.x.0.0/24 oder wenigstens B 10.x.0.0/16


    So kann kein normales Routing aufgebaut werden da das Zielnetz 10.3.0.0/8 für die Firewall ja wie das eigene LAN gesehen wird und eigentlich auch gar nicht an das Standard-Gateway geht... Du hast was als Subnetz-Maske überall eingestellt? Für /8 wäre dies 255.0.0.0.. Wie schon erwähnt du hast hier wohl eher mit IP-Grundlagen Design Problem zu kämpfen.

    Wie ist denn die andere Route definiert die wohl funktioniert?

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0 in reply to zaphod

    Hallo,

    Danke für eure Antworten! Hatte die letzten Tage einiges um die Ohren und habe auch zwischenzeitlich das ursprüngliche Problem lösen können.

    Ich hatte mich in meinem ersten Beitrag verschrieben, es handelt sich natürlich nicht um ein Klasse A sondern ein Klasse B Netz mit /16 Subnetzmaske.

    Jedenfalls war es in der Tat so, dass die im Webamin hinterlegte Netzroute frech von der UTM ignoriert wurde.

    Nachdem ich die Route manuell mittels SSH über die Shell gesetzt habe funktionierte das Routing.

    Zwischenzeitlich hat sich das Szenario aber ohnehin geändert. Wir hatte noch eine ungenutzt zweite SG230 auf Lager.

    Ich habe diese im entfernten Standort platziert und einen SSL-VPN Tunnel zwischen beiden UTMs aufgebaut.

    Routing zwischen den Standorten funktioniert in diesem Konstrukt einwandfrei.

    Danke für euer offenes Ohr.

Cookie Information Banner