Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 17787 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG und zweites Gateway im LAN -> wie Routing konfigurieren?

LoD

Hallo,

ich versuche gerade, eine SG-Teststellung so zu konfigurieren, dass sie grundsätzlich Anfragen an ein anderes Default Gateway weiterleitet. Im Router, der ersetzt werden soll, sind mehrere Routen eingetragen. Per Default soll ein anderer Router im LAN genutzt werden (z.B. für Web-Anfragen).

Ich möchte quasi die SG als zentralen Router nutzen. Bisher habe ich das mit  "Standard static routes" und "policy routes" versucht, komme aber nicht zum gewünschten Ergebnis.

Dann habe ich testweise auf dem LAN-Interface als DefGW den anderen Router eingetragen, alle anderen Interfaces deaktiviert.

Ein paar Anwendungen funktionieren so bereits, allerdings z.B. Websurfen nicht. Der andere Router ist ein transparenter SSO-Proxy. Zumindest Webanfragen (http(s)) inkl. Userdaten sollten an diesen weitergeleitet werden. Das lokale WLAN soll über die Web Protection der SG laufen.

Weitere Ansätze hatte ich hier geschrieben: https://community.sophos.com/products/unified-threat-management/f/55/t/78423

Nun hoffe ich, dass mir hier jemand weiterhelfen kann. Grundsätzlich finde ich die SG-Devices beeindruckend und kann mir daher nicht vorstellen, dass dieses Vorhaben damit nicht umsetzbar ist, wo es doch der alte Router mit simplen Route-Einträgen kann.

Grüße



This thread was automatically locked due to age.
Parents
  • 0

    Grundsätzlich war das mit dem Interface und den Default GW richtig. was zeigt die UTM denn unter Support - Advanced - Routes Table als "default via"?

    Beim Proxy kannst Du auch einen Parent Proxy eintragen.

  • 0 in reply to K.N.

    Wow. das war mal 'ne schnelle Antwort :-)


    Hier die Ausgabe der Routing Table:

    default via 192.168.0.2 dev eth0  table 200  proto kernel onlink
    default via 192.168.0.2 dev eth0  table default  proto kernel  metric 20 onlink
    127.0.0.0/8 dev lo  scope link
    192.168.0.0/22 dev eth0  proto kernel  scope link  src 192.168.0.8
    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
    broadcast 192.168.0.0 dev eth0  table local  proto kernel  scope link  src 192.168.0.8
    local 192.168.0.8 dev eth0  table local  proto kernel  scope host  src 192.168.0.8
    broadcast 192.168.0.255 dev eth0  table local  proto kernel  scope link  src 192.168.0.8
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    local ::1 dev lo  table local  proto none  metric 0
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    später sollen dann noch weitere Routen dazukommen. Aber erstmal muss ja die 0.2 als Gateway erkannt werden. Wenn ich das richtig sehe, versucht die SG auch http/s Traffic (der ja 1:1 an die 0.2 gesendet werden soll) zu routen, so  dass die SG als Absender ankommt, was nicht geht. Web Filtering habe ich schon deaktiviert. Ich hoffe, dass später-wenn dieses Prob gelöst ist- Web Filtering an bestimmte Interfaces gebunden möglich ist?!

    >Beim Proxy kannst Du auch einen Parent Proxy eintragen.

    Der Parent Proxy ist allerdings transparent. Es gibt keinen Port. Der andere Router (0.2) weiß, wie er HTTP(s) Requests handlen muss. Ich hatte auch schon über Policy-Routing versucht, Web Requests an die 0.2 zu schicken. Klappt aber auch nicht.
    (EDIT: Web Protection habe ich zum Testen auch erstmal deaktiviert, dann kann ich eh keinen Parent Proxy eintragen, oder?!)

  • 0 in reply to LoD

    Die Routing Table sieht "gut" aus.

    Wenn ich das richtig sehe, versucht die SG auch http/s Traffic (der ja 1:1 an die 0.2 gesendet werden soll) zu routen, so  dass die SG als Absender ankommt, was nicht geht

    Was ist denn unter NAT / Masquerading konfiguriert?

  • 0 in reply to LoD

    Ich antworte hier mal, da ich etwas weiter bin:


    Wenn das LAN-Interface das einzige ist, das ein Gateway hat UND NAT deaktiviert UND ich eine Firewall-Regel LAN -> ANY -> ANY : Allowed setze, funktioniert zumindest dieser Teil.
    Da das einzige GW nicht direkt ins Internet verweist, sollte das auch keine Sicherheitsprobleme mit sich bringen, oder?

    Probleme:
    Sobald ich ein WAN-Interface aktiviere, will die SG auf jeden Fall Uplink Balancing aktivieren.
    Sobald ich Web Protection aktiviere, filtert die SG. Nehme ich LAN aus Web Prot aus, geht's wieder, aber aus dem LAN ist auch über Proxy kein I_Net mehr möglich.

    Ziel sollte sein, alle WAN, das LAN und das Gast-LAN (DMZ) an der SG zu haben,
    - Anfragen aus dem LAN an den 2. Router weiterzuleiten (geht)
    - Anfragen aus dem Gast-LAN auf der SG zu verarbeiten (Web Protection, Net Protection,... alles, was dazu gehört)
    - Festlegen, wie Anfragen [GastLAN, WLAN] in das Internet kommen (Welche Schnittstelle)

    Ist das mit der SG möglich? (Ich hoffe doch) -> Aber wie?


    Solange die Teststellung noch läuft, bastel ich gerne weiter. Bin aber für jeden Tipp dankbar.

    LG
    LoD

    EDIT: hatte Deinen Beitrag noch nicht gesehen und eigentlich auf meinen geantwortet ^^

  • 0 in reply to LoD

    Bin wieder ein kleines Stück weiter:

    Das LAN-Interface ist in error, wenn ich ein DefGW eintrage.

    >> Nachdem ich auf manuelles Monitoring umgestellt habe, geht's.
    >> Dann muss Masquerading aus und das LAN-Interface aus dem Web Protection genommen werden.

    Mit diesen Änderungen funktioniert es im kleinen Test: Nur LAN-Interface und ein WAN-Interface verbunden.

    Bei mehreren WAN springt das LAN-Interface in der Balacing ab und zu nach unten. Dann sind Hosts hinter dem 2. Router nicht mehr erreichbar. Außerdem funktioniert der Proxyserver nicht für Clients im LAN, wenn LAN vom WebFiltering ausgenommen ist.

    Kann mir da jemand weiterhelfen?

  • 0 in reply to LoD

    Hallo,


    bin bei dem Problem noch nicht zu einem befriedigendem Ergebnis gekommen.

    Wenn der Proxy auf einem Client aktiviert ist (Web Protection extra Profile) und Multipath Rule für die Client-Gruppe fest auf ein ext. Interface, klappt das. Dann klappt allerdings der Zugriff über den transparenten proxy (0.2) nicht mehr.

    Komme ich vielleicht irgendwie über eine Bridge weiter? Denke daran, weil der 0.2 meckert, dass die IP vom SG unbekannt ist.

    Gruß

  • 0 in reply to LoD

    Kannst Du den Parentproxy nicht entsprechend konfigurieren, dass er die UTM zulässt? 

    Bridge wäre auch eine Option, dann geht der Proxy aber auch nur transparent. 

  • 0 in reply to K.N.

    Hallo,


    wieder bin ich einen kleinen Schritt weiter: Am Parent Proxy ist nun auch die IP der SG eingetragen, somit funktioniert die Authentifizierung der User am Parentproxy durch die SG.


    Was leider nicht funktioniert: Anfragen von der SG direkt "nach draußen" schicken. Im Log tauchen die Anfragen zwar auf, allerdings werden auch diese Anfragen vom Parent Proxy beantwortet.

    Mein Ansatz war nun, die SG als Socks Proxy zu nutzen:

    Extra Web Filter Profile für bestimmte User/PC-Gruppe angelegt, für diese Gruppe auch Proxy mit Standard-Authentifizierung aktiviert.

    Regebnis: Anfrage kommt auf SocksProxy Port-> SG leitet von seiner internen IP zum anderen GW weiter. Ich hatte vermutet, dass das Web Filter Profile vorher greift und die SG die Antworten direkt ins Web schickt, wie das für andere LANs, die direkt im Web Filter eingetragen und Masquerading aktiv haben, auch ist.

    Bekommt man das irgendwie hin?

  • 0 in reply to LoD

    Eine Idee, die allerdings noch hakt, ist:


    Multipath Rule für ProxyPort 8080 an die WAN-Interface Gruppe leiten && NoNat-Rule für alle Ports außer 8080 an das 2. Gateway. Im WebFilter nur das LAN, nicht aber die SG selbst eintragen.


    Eigentlich sollten dann doch alle Ports ohne NAT an das 2. GW geleitet werden. Port 8080 wird von der SG "abgefangen" und vom Web Protection verarbeitet? Vielleicht kann mir hier jemand weiterhelfen und Infos geben, ob das überhaupt machbar ist.

    Danke vorab und Gruß

  • 0 in reply to LoD

    So. Eine funktionierende Lösung habe ich nun, indem ich den Link vom LAN-Interface (mit dem 2. Gateway) absichtlich "in error" setze.


    Schön ist das aber nicht, eben weil es fehlerhaft angezeigt wird. Bisher NOCH (!) ohne Konsequenzen, sofern hier ein Crack mitliest, der eine bessere Lösung / Idee hat, immer her damit. Ich markiere das hier auch nicht als Lösung.

    Gruß

Reply
  • 0 in reply to LoD

    So. Eine funktionierende Lösung habe ich nun, indem ich den Link vom LAN-Interface (mit dem 2. Gateway) absichtlich "in error" setze.


    Schön ist das aber nicht, eben weil es fehlerhaft angezeigt wird. Bisher NOCH (!) ohne Konsequenzen, sofern hier ein Crack mitliest, der eine bessere Lösung / Idee hat, immer her damit. Ich markiere das hier auch nicht als Lösung.

    Gruß

Children
  • 0 in reply to LoD

    hi lod,

    die Lösung ist ganz einfach. Zwei Wan Nics mit dem entsprechenden Gateway konfigurieren. uplink balancing wird ein geschaltet stört aber nicht. den Traffic reglementiert  du dann mit multipath Rules. webtraffic (vordefiniertes Protokoll gruppenobjekt) über die eine wan nic und was du auch immer willst über die andere. oder auch kreuz und quer. Ist alles ganz simpel mit multipath Rules umzusetzen. hab ich schon mehrfach so gemacht. funktioniert auch mit 4,5 oder 6 wan nics.

    vg

    mod

  • 0 in reply to mod2402

    Hi mod2402,


    erstmal Danke für die Antwort! Was meinst Du mit "WAN" Nics? Ich habe aktuell 1x ADSL, 1x CoCo als WAN Leitungen (beide demzufolge auch mit Gateway) und 3 LANs (GastLAN,DMZ,LAN) und das LAN-Interface hat als Besonderheit auch ein Gateway eingetragen.

    Wenn ich dann Multipath-Regeln erstelle, kann ich zwar bestimmte Protokolle über eine festgelegte Leitung schicken, aber -zumindest in meinem Testaufbau- nicht wahlweise Proxy 8080 über ADSL und 80/443 über LAN?! Das LAN-Interface darf nicht maskiert oder geNATtet werden, damit der transparente Proxy funktioniert. Und auch nicht im Web Filter eingetragen sein, da sonst dieser sich alle 80/443 Pakete "wegschnappt". Dazu habe ich das vordefinierte Proto-Gruppenobjekt durch eines ohne 8080 ersetzt.

    Die Probleme: Das LAN-Interface ist im Linkstatus"error", da es -es hat ja ein Default GW- versucht, irgendwas im WAN zu erreichen. Also hatte ich das automatische Uplink Monitoring deaktiviert und für das LAN einen Host im LAN angegeben. -> Error ist weg, aber: Proxy Ausnahme greift nicht.

    Ich werde es am Wochenende nochmal über simples Uplink Balancing probieren....Wenn Du (oder jemand anders) noch weitere Tipps hat, bin ich dankbar!

    Gruß

    LoD

Cookie Information Banner