Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 17785 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG und zweites Gateway im LAN -> wie Routing konfigurieren?

LoD

Hallo,

ich versuche gerade, eine SG-Teststellung so zu konfigurieren, dass sie grundsätzlich Anfragen an ein anderes Default Gateway weiterleitet. Im Router, der ersetzt werden soll, sind mehrere Routen eingetragen. Per Default soll ein anderer Router im LAN genutzt werden (z.B. für Web-Anfragen).

Ich möchte quasi die SG als zentralen Router nutzen. Bisher habe ich das mit  "Standard static routes" und "policy routes" versucht, komme aber nicht zum gewünschten Ergebnis.

Dann habe ich testweise auf dem LAN-Interface als DefGW den anderen Router eingetragen, alle anderen Interfaces deaktiviert.

Ein paar Anwendungen funktionieren so bereits, allerdings z.B. Websurfen nicht. Der andere Router ist ein transparenter SSO-Proxy. Zumindest Webanfragen (http(s)) inkl. Userdaten sollten an diesen weitergeleitet werden. Das lokale WLAN soll über die Web Protection der SG laufen.

Weitere Ansätze hatte ich hier geschrieben: https://community.sophos.com/products/unified-threat-management/f/55/t/78423

Nun hoffe ich, dass mir hier jemand weiterhelfen kann. Grundsätzlich finde ich die SG-Devices beeindruckend und kann mir daher nicht vorstellen, dass dieses Vorhaben damit nicht umsetzbar ist, wo es doch der alte Router mit simplen Route-Einträgen kann.

Grüße



This thread was automatically locked due to age.
  • 0

    Grundsätzlich war das mit dem Interface und den Default GW richtig. was zeigt die UTM denn unter Support - Advanced - Routes Table als "default via"?

    Beim Proxy kannst Du auch einen Parent Proxy eintragen.

  • 0 in reply to K.N.

    Wow. das war mal 'ne schnelle Antwort :-)


    Hier die Ausgabe der Routing Table:

    default via 192.168.0.2 dev eth0  table 200  proto kernel onlink
    default via 192.168.0.2 dev eth0  table default  proto kernel  metric 20 onlink
    127.0.0.0/8 dev lo  scope link
    192.168.0.0/22 dev eth0  proto kernel  scope link  src 192.168.0.8
    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
    broadcast 192.168.0.0 dev eth0  table local  proto kernel  scope link  src 192.168.0.8
    local 192.168.0.8 dev eth0  table local  proto kernel  scope host  src 192.168.0.8
    broadcast 192.168.0.255 dev eth0  table local  proto kernel  scope link  src 192.168.0.8
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    local ::1 dev lo  table local  proto none  metric 0
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    später sollen dann noch weitere Routen dazukommen. Aber erstmal muss ja die 0.2 als Gateway erkannt werden. Wenn ich das richtig sehe, versucht die SG auch http/s Traffic (der ja 1:1 an die 0.2 gesendet werden soll) zu routen, so  dass die SG als Absender ankommt, was nicht geht. Web Filtering habe ich schon deaktiviert. Ich hoffe, dass später-wenn dieses Prob gelöst ist- Web Filtering an bestimmte Interfaces gebunden möglich ist?!

    >Beim Proxy kannst Du auch einen Parent Proxy eintragen.

    Der Parent Proxy ist allerdings transparent. Es gibt keinen Port. Der andere Router (0.2) weiß, wie er HTTP(s) Requests handlen muss. Ich hatte auch schon über Policy-Routing versucht, Web Requests an die 0.2 zu schicken. Klappt aber auch nicht.
    (EDIT: Web Protection habe ich zum Testen auch erstmal deaktiviert, dann kann ich eh keinen Parent Proxy eintragen, oder?!)

  • 0 in reply to LoD

    Die Routing Table sieht "gut" aus.

    Wenn ich das richtig sehe, versucht die SG auch http/s Traffic (der ja 1:1 an die 0.2 gesendet werden soll) zu routen, so  dass die SG als Absender ankommt, was nicht geht

    Was ist denn unter NAT / Masquerading konfiguriert?

  • 0 in reply to LoD

    Ich antworte hier mal, da ich etwas weiter bin:


    Wenn das LAN-Interface das einzige ist, das ein Gateway hat UND NAT deaktiviert UND ich eine Firewall-Regel LAN -> ANY -> ANY : Allowed setze, funktioniert zumindest dieser Teil.
    Da das einzige GW nicht direkt ins Internet verweist, sollte das auch keine Sicherheitsprobleme mit sich bringen, oder?

    Probleme:
    Sobald ich ein WAN-Interface aktiviere, will die SG auf jeden Fall Uplink Balancing aktivieren.
    Sobald ich Web Protection aktiviere, filtert die SG. Nehme ich LAN aus Web Prot aus, geht's wieder, aber aus dem LAN ist auch über Proxy kein I_Net mehr möglich.

    Ziel sollte sein, alle WAN, das LAN und das Gast-LAN (DMZ) an der SG zu haben,
    - Anfragen aus dem LAN an den 2. Router weiterzuleiten (geht)
    - Anfragen aus dem Gast-LAN auf der SG zu verarbeiten (Web Protection, Net Protection,... alles, was dazu gehört)
    - Festlegen, wie Anfragen [GastLAN, WLAN] in das Internet kommen (Welche Schnittstelle)

    Ist das mit der SG möglich? (Ich hoffe doch) -> Aber wie?


    Solange die Teststellung noch läuft, bastel ich gerne weiter. Bin aber für jeden Tipp dankbar.

    LG
    LoD

    EDIT: hatte Deinen Beitrag noch nicht gesehen und eigentlich auf meinen geantwortet ^^

  • 0 in reply to LoD

    Bin wieder ein kleines Stück weiter:

    Das LAN-Interface ist in error, wenn ich ein DefGW eintrage.

    >> Nachdem ich auf manuelles Monitoring umgestellt habe, geht's.
    >> Dann muss Masquerading aus und das LAN-Interface aus dem Web Protection genommen werden.

    Mit diesen Änderungen funktioniert es im kleinen Test: Nur LAN-Interface und ein WAN-Interface verbunden.

    Bei mehreren WAN springt das LAN-Interface in der Balacing ab und zu nach unten. Dann sind Hosts hinter dem 2. Router nicht mehr erreichbar. Außerdem funktioniert der Proxyserver nicht für Clients im LAN, wenn LAN vom WebFiltering ausgenommen ist.

    Kann mir da jemand weiterhelfen?

  • 0 in reply to LoD

    Hallo,


    bin bei dem Problem noch nicht zu einem befriedigendem Ergebnis gekommen.

    Wenn der Proxy auf einem Client aktiviert ist (Web Protection extra Profile) und Multipath Rule für die Client-Gruppe fest auf ein ext. Interface, klappt das. Dann klappt allerdings der Zugriff über den transparenten proxy (0.2) nicht mehr.

    Komme ich vielleicht irgendwie über eine Bridge weiter? Denke daran, weil der 0.2 meckert, dass die IP vom SG unbekannt ist.

    Gruß

  • 0 in reply to LoD

    Kannst Du den Parentproxy nicht entsprechend konfigurieren, dass er die UTM zulässt? 

    Bridge wäre auch eine Option, dann geht der Proxy aber auch nur transparent. 

  • 0 in reply to K.N.

    Hallo,


    wieder bin ich einen kleinen Schritt weiter: Am Parent Proxy ist nun auch die IP der SG eingetragen, somit funktioniert die Authentifizierung der User am Parentproxy durch die SG.


    Was leider nicht funktioniert: Anfragen von der SG direkt "nach draußen" schicken. Im Log tauchen die Anfragen zwar auf, allerdings werden auch diese Anfragen vom Parent Proxy beantwortet.

    Mein Ansatz war nun, die SG als Socks Proxy zu nutzen:

    Extra Web Filter Profile für bestimmte User/PC-Gruppe angelegt, für diese Gruppe auch Proxy mit Standard-Authentifizierung aktiviert.

    Regebnis: Anfrage kommt auf SocksProxy Port-> SG leitet von seiner internen IP zum anderen GW weiter. Ich hatte vermutet, dass das Web Filter Profile vorher greift und die SG die Antworten direkt ins Web schickt, wie das für andere LANs, die direkt im Web Filter eingetragen und Masquerading aktiv haben, auch ist.

    Bekommt man das irgendwie hin?

  • 0 in reply to LoD

    Eine Idee, die allerdings noch hakt, ist:


    Multipath Rule für ProxyPort 8080 an die WAN-Interface Gruppe leiten && NoNat-Rule für alle Ports außer 8080 an das 2. Gateway. Im WebFilter nur das LAN, nicht aber die SG selbst eintragen.


    Eigentlich sollten dann doch alle Ports ohne NAT an das 2. GW geleitet werden. Port 8080 wird von der SG "abgefangen" und vom Web Protection verarbeitet? Vielleicht kann mir hier jemand weiterhelfen und Infos geben, ob das überhaupt machbar ist.

    Danke vorab und Gruß

  • 0 in reply to LoD

    So. Eine funktionierende Lösung habe ich nun, indem ich den Link vom LAN-Interface (mit dem 2. Gateway) absichtlich "in error" setze.


    Schön ist das aber nicht, eben weil es fehlerhaft angezeigt wird. Bisher NOCH (!) ohne Konsequenzen, sofern hier ein Crack mitliest, der eine bessere Lösung / Idee hat, immer her damit. Ich markiere das hier auch nicht als Lösung.

    Gruß

Cookie Information Banner