Sophos Box 110/120 mit UTM9 an Fritz Box 6360 cable /Keine Internetverbindung

Question

Guten Morgen, 
 ich bekomme keine Internetverbidung zustande. 
 Ich habe eine Fritz Box 6360 cable , nach der Fritzbox h&auml;ngt die Sophos 110/120 auf eth1 dran. 
 An eth0 habe ich einen Laptop angeschlossen. 
 Die Fritz Box hat die feste IP 192.168.1.1 
 Die externe IP der Sophos 192.168.1.10 
 Die Interne IP der Sophos die 192.168.178.1 
 DHCP soll &uuml;ber die Sophos laufen. 
 Der Laptop hat keine feste IP. 
 Leider bin ich mit immer unsicher was die gateways betrifft. 
 Ich habe ein paar Screenshots von der Konfiguration gemacht. 
 Ich hoffe, ihr k&ouml;nnt mir weiterhelfen. 
 Langsam bin ich mit meinem Latein am Ende. 
 
 Vielen Dank 
 
 Portfreigabe Exposed Host auf die 192.168.1.10 (Sophos extern)

Ich hoffe die Screenshots sind gut zu erkennen.

ManuelAbeledo · Accepted Answer

Hallo Torsten, 
 erstmal herzlich Willkommen in der Community. 
 Mach bitte mal bei der ext. Schnittstelle der UTM das H&auml;kchen "Standard-GW" rein und trag dann die IP der Fritzbox als Gateway ein. 
 
 ...und beim internen DHCP das Gateway auf Deine interne IP der UTM (192.168.178.1) 
 
 Die Firewall muss f&uuml;r das interne Netz als Gateway fungieren, um Dein Netz zu sch&uuml;tzen. Ihr Gateway nach Au&szlig;en ist dann auf der WAN-Schnittstelle die IP der Fritzbox.

kerobra_retired · Answer

Du brauchst außerdem 
 a) Masquerading für das Interne Netz auf das externe Interface der Sophos oder aber 
 b) Du musst auf der Fritzbox das Netz 192.168.178.0/24 zur WAN-IP der Sophos routen. 
 Ich bin kein Freund von doppeltem NAT und würde Dir hier b) empfehlen, also erst gar kein Masquerading auf der Sophos aktivieren. Der Schutz des internen Netzes findet über Firewall-Regeln statt, NAT ist ausgehend eigentlich nur dazu gedacht mehreren Devices die Nutzung einer einzigen öffentlichen IP zu ermöglichen. 
 Im internen Netz direkt die Fritzbox als Gateway nutzen kann nicht funktionieren. Bei DNS-Server ist das bei korrekt gesetztem Gateway wieder was anderes, hier würde ich aber die LAN-IP der UTM lassen und auf der UTM einen DNS-Forwarder an die Fritzbox-IP setzen. 
 Gruß 
 Kevin

kerobra_retired · Answer

Ohne statische Route ins interne Netz kennt die Fritzbox nix außer die Sophos. Wenn Masquerading aktiviert ist läuft die Kommunikation zwischen Sophos und Fritzbox über die WAN-IP der UTM, welche die Fritzbox - da eigenes Netz - ja problemlos erreicht. 
 Deaktiviert man Masquerading nun einfach kommen Anfragen aus dem internen Netz mit einer der Fritzbox unbekannten Adresse an, alles was sie nicht kennt versucht sie ihrem Default Gateway (Provider) weiter zu geben, nix funktioniert. Damit sie die Anfragen und die Rückwege wieder richtig zuordnen kann muss man die entsprechenden Netze an ein alternatives Gateway ('WAN-IP' der UTM) routen. Das trifft prinzipiell alle Netze, die die UTM selber verwaltet, also auch das Netz von SSL-VPN, separate Zone WLANs usw.

mod2402 · Answer

Intern 192.168.19.1 an Gateway 192.168.19.1 
 
 Ist das ein Schreibfehler oder hast du da wirklich das Gateway so eingetragen? Falls ja, schmeiss es raus und es geht. 
 Noch ein Tip. Schreibe niemals deine tats&auml;chliche &ouml;ffentliche IP hier ins Forum. Ich vermute du wirst jetzt schon bombadiert mit portscans oder sogar echten Angriffen. ;) 
 
 vg 
 mod