Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 34 replies
  • Answers 2 answers
  • Subscribers 4 subscribers
  • Views 55375 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Box 110/120 mit UTM9 an Fritz Box 6360 cable /Keine Internetverbindung

Torsten Ramm

Guten Morgen,

ich bekomme keine Internetverbidung zustande.

Ich habe eine Fritz Box 6360 cable , nach der Fritzbox hängt die Sophos 110/120 auf eth1 dran.

An eth0 habe ich einen Laptop angeschlossen.

Die Fritz Box hat die feste IP 192.168.1.1

Die externe IP der Sophos 192.168.1.10

Die Interne IP der Sophos die 192.168.178.1

DHCP soll über die Sophos laufen.

Der Laptop hat keine feste IP.

Leider bin ich mit immer unsicher was die gateways betrifft.

Ich habe ein paar Screenshots von der Konfiguration gemacht.

Ich hoffe, ihr könnt mir weiterhelfen.

Langsam bin ich mit meinem Latein am Ende.

 

Vielen Dank

Portfreigabe Exposed Host auf die 192.168.1.10 (Sophos extern)

 

Ich hoffe die Screenshots sind gut zu erkennen.

 

 

 

 

 

 

 

 



This thread was automatically locked due to age.
Parents
  • +2

    Hallo Torsten,

    erstmal herzlich Willkommen in der Community.

    Mach bitte mal bei der ext. Schnittstelle der UTM das Häkchen "Standard-GW" rein und trag dann die IP der Fritzbox als Gateway ein.

    ...und beim internen DHCP das Gateway auf Deine interne IP der UTM (192.168.178.1)

    Die Firewall muss für das interne Netz als Gateway fungieren, um Dein Netz zu schützen. Ihr Gateway nach Außen ist dann auf der WAN-Schnittstelle die IP der Fritzbox.

  • +1 in reply to ManuelAbeledo

    Du brauchst außerdem

    a) Masquerading für das Interne Netz auf das externe Interface der Sophos oder aber

    b) Du musst auf der Fritzbox das Netz 192.168.178.0/24 zur WAN-IP der Sophos routen.

    Ich bin kein Freund von doppeltem NAT und würde Dir hier b) empfehlen, also erst gar kein Masquerading auf der Sophos aktivieren. Der Schutz des internen Netzes findet über Firewall-Regeln statt, NAT ist ausgehend eigentlich nur dazu gedacht mehreren Devices die Nutzung einer einzigen öffentlichen IP zu ermöglichen.

    Im internen Netz direkt die Fritzbox als Gateway nutzen kann nicht funktionieren. Bei DNS-Server ist das bei korrekt gesetztem Gateway wieder was anderes, hier würde ich aber die LAN-IP der UTM lassen und auf der UTM einen DNS-Forwarder an die Fritzbox-IP setzen.

    Gruß

    Kevin

  • 0 in reply to kerobra_retired

    Habs gerade nochmal probiert mit statischer Route. Auch eine für mein SSL VPN Netz zur WAN IP der Sophos. Aber keine Verbindung möglich. Ich brauche wohl eher eine statische IPv6 Route in der Fritzbox da ich ein Unitymedia DS- Lite Anschluss habe (nur öffentliche IPv6, keine IPv4).

  • 0 in reply to Mario Ostwald

    Mmh damit kann ich leider nicht dienen, weder Ahnung von IPv6 im Detail, noch DS Anschluss. Ich gehe mal davon aus, dass Du es im Text nur falsch geschrieben hast (...WAN-IP der Fritzbox...), oder?

  • 0 in reply to kerobra_retired

    Stimmt richtig gedacht und falsch geschrieben, ist korrigiert.  Muss mich mal schlau machen wie ich das mit der statischen IPv6 Route löse.  

    Das hier erklärt auch nochmal das es mit MASQ klappt.

    "Wird das Subnetz mit der unbekannten Netzwerkadresse von einem Router aufgespannt, der NAT (Network Address Translation) macht, dann  muss keine statische IPv4-Route eingetragen werden. Mit NAT funktioniert die Kommunikation, ohne dass die FRITZ!Box die Netzwerkadresse des Subnetzes kennt."

  • 0 in reply to kerobra_retired

    Es klappt jetzt doch. Musste noch das Router Advertisement aktivieren auf der Sophos. Statische Routen sind gesetzt.

    Um die Routen noch zu sparen könnte man auch bestimmt das interne und externe Interface der Sophos ins gleiche Subnet  (wie die Fritzbox) legen. Aber das wäre ja vermutlich ein Sicherheitsrisiko oder was meint ihr?

  • 0 in reply to Mario Ostwald

    Welchen Sinn hätte sie dann noch wenn man am Client einfach das Gateway auf die Fritzbox ändern könnte? Keinen ;-)

    Außerdem hättest Du je nach Konfiguration dann u.U. asynchrones Routing. Wo hast Du das Advertisement aktiviert? In welchem Punkt?

  • 0 in reply to kerobra_retired

    Ja stimmt auch wieder ;)

    Unter Schnittstellen - IPv6 - Präfix-Bekanntmachungen.

    Es geht mittlerweile aber auch ohne mit der Einstellung ;)

     

    Danke nochmals für die Hilfe.

  • 0 in reply to kerobra_retired

    Ein freundliches Hallo an alle die bereits, im Gegensatz zu mir schon erleuchtet sind ;-)

    Als glücklicher Newbie habe ich nun schon nach nur drei Tagen immerhin meine Sophos Home UTM auf den shuttle Barebone aufgespielt und komme sogar ins Webinterface :-))

     

    Aber mit meiner Internet Konfi tue ich mich schwer:
    Unitymedia mit statischer IP auf einer Fritzbox 6360

    Mein Ziel: Internet->Fritzbox>UTM-LAN

    Daten:

    Fritzbox

    • statische IP XXX.YYY.ZZZ.222
    • interne IP XXX.YYY.ZZZ.221
    • 255.255.255.252/30
    • ansonten habe ich keine weiteren Einstellungen auf der FB getätigt

    UTM

    • DHCP = 192.168.19.2 - 192.168.19.254
    • UTM = 192.168.19.1

    kerobra sagt "wähle Lösung b"....aber wie genau mache ich das? In der FB? In der UTM? Auf beiden?

     

    Bitte entschuldigt, wenn ich mich als Neuling noch nciht perfekt ausdrücke und vielen dank für Eure Hilfe

    Joe

  • 0 in reply to Johannes Krüger

    Lies dir mal die erste Seite dieses Threads durch, da gibts auch Screenshots wie man das konfiguriert. Aktiviere unter NAT das Maskerading zum Start.

    MfG

  • 0 in reply to Johannes Krüger

    Hi Joe,

    hast Du zufällig einen Business-Anschluss und die Möglichkeit, den Bridge-Modus der Fritzbox zu aktivieren? (Vermutung wegen der festen IP) In dem Fall würde ich den Bridge-Mode eindeutig einem Exposed-Host vorziehen, man muss dann ein dediziertes Interface des Switches auf der Fritzbox in den Bridgemodus setzen.

    Zusätzlich muss man bei UM im Internet die MAC-Adresse des Sophos WAN-Interfaces angeben, damit diesem Interface dann die statische IP zugewiesen wird. Die Fritzbox bekommt im Bridgemode eine genatete öffentliche IP, über die sie dann mit UM kommuniziert, die Sophos würde in der Config dann den kompletten Internettraffic allein abwickeln.

    Um mehr zu Deinem Problem sagen zu können müssten wir ein Oktett mehr von der internen Fritz-IP kennen, aber ich vermute fast, dass Du da einfach einen Fehler bei der Subnetzmaske machst. Aus Deinen Screenshots und der Erklärung würde ich jedenfalls schließen, dass die Fritzbox die 192.168.1.221/30 hat und die Sophos die 192.168.1.10/30.

    Damit kann die Sophos außer sich selbst nur die 192.168.1.9 erreichen, die Fritzbox nur die 192.168.1.222. Auf Grund des /30er Netzes kann die Fritzbox dann auch keine Route zu 192.168.1.10 definieren und spuckt entsprechende Fehlermeldungen. Da müsstest Du entweder die LAN-IP der Fritzbox entsprechend runtersetzen oder die WAN-IP der Sophos entsprechend rauf (wenn Du KEIN Bridgemode machen kannst). Oder auf beiden Geräten die Subnetzmaske auf 255.255.255.0, ein kleineres Netz ist wegen der gewählten IPs nicht möglich.

Reply
  • 0 in reply to Johannes Krüger

    Hi Joe,

    hast Du zufällig einen Business-Anschluss und die Möglichkeit, den Bridge-Modus der Fritzbox zu aktivieren? (Vermutung wegen der festen IP) In dem Fall würde ich den Bridge-Mode eindeutig einem Exposed-Host vorziehen, man muss dann ein dediziertes Interface des Switches auf der Fritzbox in den Bridgemodus setzen.

    Zusätzlich muss man bei UM im Internet die MAC-Adresse des Sophos WAN-Interfaces angeben, damit diesem Interface dann die statische IP zugewiesen wird. Die Fritzbox bekommt im Bridgemode eine genatete öffentliche IP, über die sie dann mit UM kommuniziert, die Sophos würde in der Config dann den kompletten Internettraffic allein abwickeln.

    Um mehr zu Deinem Problem sagen zu können müssten wir ein Oktett mehr von der internen Fritz-IP kennen, aber ich vermute fast, dass Du da einfach einen Fehler bei der Subnetzmaske machst. Aus Deinen Screenshots und der Erklärung würde ich jedenfalls schließen, dass die Fritzbox die 192.168.1.221/30 hat und die Sophos die 192.168.1.10/30.

    Damit kann die Sophos außer sich selbst nur die 192.168.1.9 erreichen, die Fritzbox nur die 192.168.1.222. Auf Grund des /30er Netzes kann die Fritzbox dann auch keine Route zu 192.168.1.10 definieren und spuckt entsprechende Fehlermeldungen. Da müsstest Du entweder die LAN-IP der Fritzbox entsprechend runtersetzen oder die WAN-IP der Sophos entsprechend rauf (wenn Du KEIN Bridgemode machen kannst). Oder auf beiden Geräten die Subnetzmaske auf 255.255.255.0, ein kleineres Netz ist wegen der gewählten IPs nicht möglich.

Children
  • 0 in reply to kerobra_retired
    Vielen Dank, Kevin. Deine Antwort hinsichtlich "Bridge Modus" brachte mich dazu, mal meinen Um Vertrag zu überprüfen. Siehe da, jetzt geht ne 400er Leitung mit 5 statischen IPs. Dazu wird ein Modem angeblich bereits im Bridge Modus geliefert. Ich werde warten - testen - berichten. und vermutlich noch ein wenig fragen, wenn ich darf. Vielen Dank vorab schon mal. Gibt es irgendwas, auf das ich achten soll wenn deren Techniker kommt? Nicht daß er mir irgendsoeine Schrott Hardware aufdrückt. Angeblich sei es keine Fritzbox, sondern ein Hitron..... Viele Grüße Joe, der Anfänger der jeden Tag etwas dank Eurer Hilfe dazu lernt
  • 0 in reply to kerobra_retired

    Hallo Kevin,

     

    seit wenigen Minuten besitze ich einen neuen Unitymedia Anschluss mit fünf statischen IPs.

     

    Sie sind wie folgt aufgebaut: 83.68.156.1 für den HITRON und dann folgend 2-6 für die statischen IPs

    Mein Sophos ist:

    • Intern 192.168.19.1 an Gateway 192.168.19.1
    • Extern 83.68.156.2/29 nach Gateway 83.68.156.1
    • Nat Maskerading inter nach extern

    Natürlich klappt es nicht. Doch was muss ich ändern?

     

    Vielen Dank

    Joe

  • 0 in reply to Johannes Krüger
    • Intern 192.168.19.1 an Gateway 192.168.19.1

    Ist das ein Schreibfehler oder hast du da wirklich das Gateway so eingetragen? Falls ja, schmeiss es raus und es geht.

    Noch ein Tip. Schreibe niemals deine tatsächliche öffentliche IP hier ins Forum. Ich vermute du wirst jetzt schon bombadiert mit portscans oder sogar echten Angriffen. ;)

     

    vg

    mod

  • 0 in reply to mod2402

    Danke mod202.

    Leider geht es trotz Deiner Änderung noch nicht.

    Wenn ich versuche zu pingen sehe ich den Hitron nicht.

    Ich habe zusätzlich noch eine Firewall Regel: Internal Network - Websurfing - Any

    Und danke für Deinen Tip. Natürlich ist das nicht meine echte IP ;-)

    Ergänzung: der Fehler ist gefunden. Unity hatte die statischen Routen nicht richtig eingerichtet. Jetzt geht es.

    Dennoch eine weitere Frage: fünf statische Routen seitens Unitymedia. Kann ich die alle an den Sophos leiten und von dort gezielt verteilen? Jede mit eigenen Regeln? Nein oder?

  • 0 in reply to Johannes Krüger

    Hi Johannes,

    du kannst die anderen 4 IPs einfach als zus. IP auf das WAN Interface binden und dann ganz normal nutzen.

    vg

    mod

  • 0 in reply to mod2402

    Danke mod2402,

     

    das mache ich aber nicht im Sophos sondern im Hitron von Unitymedia?

    Sorry, falls die Frage banal ist, aber ich lerne das gerade alles erst

    Grüße Joe

  • 0 in reply to Johannes Krüger

    Hallo Jo,

    Wenn die fb davor um Bridge Mode läuft kommen die öffentlichen IPs auf die Sophos. Nur die erste läuft dann auf der FB und dient der Sophos als Gateway.

    Vg

    Mod

  • 0 in reply to Johannes Krüger

    Das mit der festen IP stimmt (zumindest bei Unitymedia in BaWü) nicht ganz, jedenfalls nicht bei Verwendung einer Fritzbox Cable. Ob das beim Hitron anders ist kann ich nicht beantworten.

    Die feste IP wird normalerweise über DHCP zugewiesen, man muss im Kundencenter die MAC des Sophos-Interfaces angeben, welches die feste IP bekommen soll. Die Fritzbox bekommt in dem Fall eine komplett andere externe IP, die auch gar nix mit den 5 im Kundencenter zuweisbaren zu tun hat. Man bekommt (wie gesagt zumindest hier im Süden) auch kein echtes /29- Netz mit einem Router von Unitymedia, der dann das default GW für das Netz wäre, sondern einfach 5 (meist) zusammenhängende IPs.

  • 0 in reply to kerobra_retired

    Hi Kevin,

    ich habe eine UM Business Anschluss in NRW. Hier brauche ich keine MAC Adressen Zuordnung zu machen. Die fixe IP kommt auch hier über DHCP, aber auf die Fritzbox Cable. Zus. wird hier eine andere zufällige IP gebunden. Bei mir wird die FB als Gateway verwendet und die anderen IPs liegen auf der UTM. Wobei ich aktuell nur eine nutzbare habe. Ich könnte aber jederzeit auf 5 erweitern.

    Scheinbar wird das in jedem Bundesland anders gehandhabt.

    vg

    mod

  • 0 in reply to mod2402

    Ich glaube die machen bei uns eh noch alles nochmal anders als in den anderen Bundesländern, weil sie ja ein ansich fertiges Netz (KabelBW) übernommen haben. So wie Du es beschreibst würde man es ja auch bei jedem anderen Internetprovider (T-Com, Vodafone usw.) mit einem Anschluss mit /29 Netz bekommen.

    Eine IP halt weg für den Providerrouter, die anderen kann ich entweder über Switch mit mehreren Geräten (Cisco, Sophos, Sonicwall) direkt verwenden oder ich schalte einem Gerät mehrere auf. Finde das mit den MAC-Reservierungen im Kundencenter hier bei uns ziemlich ätzend.