Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 3628 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routingprobleme zwischen zwei lokalen Netzen

UdoJuch

Hallo,

zunächst eine kurze Übersicht zu meinen Netzen:

External: 192.168.1.0/24 (UTM 192.168.1.254)
Internal: 192.168.10.0/24 (UTM/Stand.GW 192.168.10.254)
DMZ: 192.168.20.0/29 (UTM/Stand.GW 192.168.20.6)

Die IP der UTM in den jeweiligen Netzen ist entsprechend als Standard GW in den Clients hinterlegt.

Maskierungen sind wie folgt:

Internal -> External
DMZ -> External
VPN -> External

Zur Problematik:

Es ist trotz Firewallregeln nicht möglich, von der DMZ ins Internal-Netz zu gelangen. Über den Sinn kann man sich streiten. Tatsache ist, dass ich eine Weboberfläche im Internal-Netz über den Server in der DMZ erreichen muss. Selbst wenn ich DMZ -> Any -> Internal definiere, tut sich nichts. Das Gateway des Zielnetzes (also die UTM Schnittstelle 192.168.10.254) kann ich per Ping jedoch erreichen. Ab hier geht es nicht weiter, als ob der UTM ein Routingeintrag fehlt. Im Firewall Livelog kann ich die Pakete erst gar nicht sehen.

Setze ich nun eine Maskierungsregel DMZ -> Internal, funktioniert alles einwandfrei. Da es sich jedoch um zwei lokale Netze handelt, verstehe ich die Welt nicht mehr.

Unter Support -> Erweitert -> Routen sind die Routing-Einträge augenscheinlich vorhanden.

Kann jemand Abhilfe schaffen?

Ich danke Euch im Voraus!



This thread was automatically locked due to age.
Parents
  • 0

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Since you're not seeing the pings blocked in the Firewall Live Log, you likely do have a routing problem as you suggest.  Based on the fact that the masq rule made your test successful, my first suspicion is that the device in Internal network that you're trying to reach has an incorrect default gateway.

    Although most ping behavior is regulated on the 'ICMP' tab of 'Firewall', I think the developers changed 'Firewall forwards ping' so that it only allows pings from LANs to go out interfaces with a default gateway.  I believe that you need explicit firewall rules to allow pinging between LAN subnets.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Since you're not seeing the pings blocked in the Firewall Live Log, you likely do have a routing problem as you suggest.  Based on the fact that the masq rule made your test successful, my first suspicion is that the device in Internal network that you're trying to reach has an incorrect default gateway.

    Although most ping behavior is regulated on the 'ICMP' tab of 'Firewall', I think the developers changed 'Firewall forwards ping' so that it only allows pings from LANs to go out interfaces with a default gateway.  I believe that you need explicit firewall rules to allow pinging between LAN subnets.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data