Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 34 replies
  • Answers 2 answers
  • Subscribers 4 subscribers
  • Views 55368 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Box 110/120 mit UTM9 an Fritz Box 6360 cable /Keine Internetverbindung

Torsten Ramm

Guten Morgen,

ich bekomme keine Internetverbidung zustande.

Ich habe eine Fritz Box 6360 cable , nach der Fritzbox hängt die Sophos 110/120 auf eth1 dran.

An eth0 habe ich einen Laptop angeschlossen.

Die Fritz Box hat die feste IP 192.168.1.1

Die externe IP der Sophos 192.168.1.10

Die Interne IP der Sophos die 192.168.178.1

DHCP soll über die Sophos laufen.

Der Laptop hat keine feste IP.

Leider bin ich mit immer unsicher was die gateways betrifft.

Ich habe ein paar Screenshots von der Konfiguration gemacht.

Ich hoffe, ihr könnt mir weiterhelfen.

Langsam bin ich mit meinem Latein am Ende.

 

Vielen Dank

Portfreigabe Exposed Host auf die 192.168.1.10 (Sophos extern)

 

Ich hoffe die Screenshots sind gut zu erkennen.

 

 

 

 

 

 

 

 



This thread was automatically locked due to age.
  • +2

    Hallo Torsten,

    erstmal herzlich Willkommen in der Community.

    Mach bitte mal bei der ext. Schnittstelle der UTM das Häkchen "Standard-GW" rein und trag dann die IP der Fritzbox als Gateway ein.

    ...und beim internen DHCP das Gateway auf Deine interne IP der UTM (192.168.178.1)

    Die Firewall muss für das interne Netz als Gateway fungieren, um Dein Netz zu schützen. Ihr Gateway nach Außen ist dann auf der WAN-Schnittstelle die IP der Fritzbox.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • +1 in reply to ManuelAbeledo

    Du brauchst außerdem

    a) Masquerading für das Interne Netz auf das externe Interface der Sophos oder aber

    b) Du musst auf der Fritzbox das Netz 192.168.178.0/24 zur WAN-IP der Sophos routen.

    Ich bin kein Freund von doppeltem NAT und würde Dir hier b) empfehlen, also erst gar kein Masquerading auf der Sophos aktivieren. Der Schutz des internen Netzes findet über Firewall-Regeln statt, NAT ist ausgehend eigentlich nur dazu gedacht mehreren Devices die Nutzung einer einzigen öffentlichen IP zu ermöglichen.

    Im internen Netz direkt die Fritzbox als Gateway nutzen kann nicht funktionieren. Bei DNS-Server ist das bei korrekt gesetztem Gateway wieder was anderes, hier würde ich aber die LAN-IP der UTM lassen und auf der UTM einen DNS-Forwarder an die Fritzbox-IP setzen.

    Gruß

    Kevin

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to ManuelAbeledo

    Guten Abend,

    super, das waren genau die Einstellungen die mir geholfen haben.

    Vielen Dank

  • 0 in reply to kerobra_retired

    Hallo Kevin,

    vielen Dank für deine Ausführungen.

    Erstmal läuft es und dann habe  ich eine Konfiguration auf die ich aufbauen kann.

    Ich probiere das aus.

    Danke

    Gruß

    Torsten

  • 0 in reply to kerobra_retired

    Hi Kevin,

    jetzt bitte nicht hauen, aber ein "Exposed Host" in der Fritz ist nur indirekt ein NAT. Auch wenn sich da die Meinungen teilen, ich würde sehrwohl ein Masquerading in der UTM machen und so das Fritz-Netz als "externes Netz" sehen. Sollen halt beide ihre ip-tables führen. Ich sehe den WAN-Port der UTM als den Port zur Aussenwelt. Ob davor eine Fritz oder ein -hackbarer- Telekom-Router (das war grad Absicht) hängt, ist mir egal. Das Netz der Fritz (oder was auch immer für ein Router) ist für mich ein reines Transfer-Netz.

    Ich würde da aber auch nie die Fritz als DNS-Server benutzen...

    Wie heißt es so schön: Geschmäcker sind verschieden ;-)

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to ManuelAbeledo

    Hi Manuel,

    wieso sollte ich Dich hauen? Unterschiedlicher Meinung zu sein ist ja noch kein Grund ;-)


    Ich wollte nur darauf hingewiesen haben, dass "Exposed Host" nur eingehend wirkt und alle noch nicht woanders hingeleiteten Ports der Fritzbox an den Exposed Host leitet. Damit steht das WAN-Interface der UTM in dieser Konfiguration also eingehend "im Internet". Ausgehend sendet die UTM aber weiterhin über ihr Gateway (LAN IP Fritzbox) und dieses Fritzbox Interface ist nach wie vor über SNAT ausgehend auf die WAN IP der Fritzbox umgesetzt.

    Masquerading macht im Prinzip doch auf der Sophos nix anderes, als interne IP auf externe IP umzusetzen, hier eben nur die IPs der Sophos. In dem Sinne ist das für mich schon "doppeltes SNAT", falls ich damit falsch liegen sollte klär mich bitte auf :-) Ich hatte in dieser Config eine menge RST und FIN Verbindungen für das normale Surfen und der Seitenaufbau war sehr zäh. Daher habe ich mich für die Variante ohne Masquerading entschieden und in dem Fall muss ich mein internes Netz routen, das macht der Exposed Host ja nicht automatisch.

    In das Netz der Fritzbox kommt ein Angreifer bei gehackter Fritte wohl rein, das lässt sich nunmal nicht ausschließen, vor allem bei auto-provisionierten Geräten wie einer FB Cable. Ich habe aber leider auch nicht all zu viele Alternativen zur FB... In das interne Netz hinter der Sophos kommt er durch die Firewall dann aber immer noch nicht rein. Gut er sieht vielleicht, was sich IP-Technisch alles hinter der Sophos "versteckt" ohne Masquerading, was bringt ihm das aber?

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    Hast du also das Masquerading auf der Sophos abgeschaltet und dann eine statische Route in der Fritzbox definiert? Hatte das gestern mal versucht, aber ich kam dann nicht mehr über VPN in mein Netz.

  • 0 in reply to Mario Ostwald

    Hi Mario,

    hast Du auch das VPN-Netz als statische Route gesetzt in Richtung UTM gesetzt?

    Grundsätzlich sollte das Masquerading eigentlich nur ausgehend einen Einfluss haben, nicht unbedingt eingehend.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    Hallo Kevin, ja verstehe ich auch nicht warum ich nicht mehr über VPN reinkomme. Eben nochmal probiert...nix.

    Mit Masquerading geht es.  Hab noch keine Route gesetzt in der Fritzbox. Teste ich aber die Tage mal. Dachte es geht auch ohne extra Route..

  • +1 in reply to Mario Ostwald

    Ohne statische Route ins interne Netz kennt die Fritzbox nix außer die Sophos. Wenn Masquerading aktiviert ist läuft die Kommunikation zwischen Sophos und Fritzbox über die WAN-IP der UTM, welche die Fritzbox - da eigenes Netz - ja problemlos erreicht.

    Deaktiviert man Masquerading nun einfach kommen Anfragen aus dem internen Netz mit einer der Fritzbox unbekannten Adresse an, alles was sie nicht kennt versucht sie ihrem Default Gateway (Provider) weiter zu geben, nix funktioniert. Damit sie die Anfragen und die Rückwege wieder richtig zuordnen kann muss man die entsprechenden Netze an ein alternatives Gateway ('WAN-IP' der UTM) routen. Das trifft prinzipiell alle Netze, die die UTM selber verwaltet, also auch das Netz von SSL-VPN, separate Zone WLANs usw.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?