Sophos Box 110/120 mit UTM9 an Fritz Box 6360 cable /Keine Internetverbindung

Hallo Torsten,

erstmal herzlich Willkommen in der Community.

Mach bitte mal bei der ext. Schnittstelle der UTM das Häkchen "Standard-GW" rein und trag dann die IP der Fritzbox als Gateway ein.

...und beim internen DHCP das Gateway auf Deine interne IP der UTM (192.168.178.1)

Die Firewall muss für das interne Netz als Gateway fungieren, um Dein Netz zu schützen. Ihr Gateway nach Außen ist dann auf der WAN-Schnittstelle die IP der Fritzbox.

Du brauchst außerdem

a) Masquerading für das Interne Netz auf das externe Interface der Sophos oder aber

b) Du musst auf der Fritzbox das Netz 192.168.178.0/24 zur WAN-IP der Sophos routen.

Ich bin kein Freund von doppeltem NAT und würde Dir hier b) empfehlen, also erst gar kein Masquerading auf der Sophos aktivieren. Der Schutz des internen Netzes findet über Firewall-Regeln statt, NAT ist ausgehend eigentlich nur dazu gedacht mehreren Devices die Nutzung einer einzigen öffentlichen IP zu ermöglichen.

Im internen Netz direkt die Fritzbox als Gateway nutzen kann nicht funktionieren. Bei DNS-Server ist das bei korrekt gesetztem Gateway wieder was anderes, hier würde ich aber die LAN-IP der UTM lassen und auf der UTM einen DNS-Forwarder an die Fritzbox-IP setzen.

Gruß

Kevin

Mmh damit kann ich leider nicht dienen, weder Ahnung von IPv6 im Detail, noch DS Anschluss. Ich gehe mal davon aus, dass Du es im Text nur falsch geschrieben hast (...WAN-IP der Fritzbox...), oder?

Stimmt richtig gedacht und falsch geschrieben, ist korrigiert.  Muss mich mal schlau machen wie ich das mit der statischen IPv6 Route löse.  

Das hier erklärt auch nochmal das es mit MASQ klappt.

"Wird das Subnetz mit der unbekannten Netzwerkadresse von einem Router aufgespannt, der NAT (Network Address Translation) macht, dann  muss keine statische IPv4-Route eingetragen werden. Mit NAT funktioniert die Kommunikation, ohne dass die FRITZ!Box die Netzwerkadresse des Subnetzes kennt."

Es klappt jetzt doch. Musste noch das Router Advertisement aktivieren auf der Sophos. Statische Routen sind gesetzt.

Um die Routen noch zu sparen könnte man auch bestimmt das interne und externe Interface der Sophos ins gleiche Subnet  (wie die Fritzbox) legen. Aber das wäre ja vermutlich ein Sicherheitsrisiko oder was meint ihr?

Welchen Sinn hätte sie dann noch wenn man am Client einfach das Gateway auf die Fritzbox ändern könnte? Keinen ;-)

Außerdem hättest Du je nach Konfiguration dann u.U. asynchrones Routing. Wo hast Du das Advertisement aktiviert? In welchem Punkt?

Ja stimmt auch wieder ;)

Unter Schnittstellen - IPv6 - Präfix-Bekanntmachungen.

Es geht mittlerweile aber auch ohne mit der Einstellung ;)

Danke nochmals für die Hilfe.

Ein freundliches Hallo an alle die bereits, im Gegensatz zu mir schon erleuchtet sind ;-)

Als glücklicher Newbie habe ich nun schon nach nur drei Tagen immerhin meine Sophos Home UTM auf den shuttle Barebone aufgespielt und komme sogar ins Webinterface :-))

Aber mit meiner Internet Konfi tue ich mich schwer:
Unitymedia mit statischer IP auf einer Fritzbox 6360

Mein Ziel: Internet->Fritzbox>UTM-LAN

Daten:

Fritzbox

• statische IP XXX.YYY.ZZZ.222
• interne IP XXX.YYY.ZZZ.221
• 255.255.255.252/30
• ansonten habe ich keine weiteren Einstellungen auf der FB getätigt

UTM

• DHCP = 192.168.19.2 - 192.168.19.254
• UTM = 192.168.19.1

kerobra sagt "wähle Lösung b"....aber wie genau mache ich das? In der FB? In der UTM? Auf beiden?

Bitte entschuldigt, wenn ich mich als Neuling noch nciht perfekt ausdrücke und vielen dank für Eure Hilfe

Joe

Lies dir mal die erste Seite dieses Threads durch, da gibts auch Screenshots wie man das konfiguriert. Aktiviere unter NAT das Maskerading zum Start.

MfG

Hi Joe,

hast Du zufällig einen Business-Anschluss und die Möglichkeit, den Bridge-Modus der Fritzbox zu aktivieren? (Vermutung wegen der festen IP) In dem Fall würde ich den Bridge-Mode eindeutig einem Exposed-Host vorziehen, man muss dann ein dediziertes Interface des Switches auf der Fritzbox in den Bridgemodus setzen.

Zusätzlich muss man bei UM im Internet die MAC-Adresse des Sophos WAN-Interfaces angeben, damit diesem Interface dann die statische IP zugewiesen wird. Die Fritzbox bekommt im Bridgemode eine genatete öffentliche IP, über die sie dann mit UM kommuniziert, die Sophos würde in der Config dann den kompletten Internettraffic allein abwickeln.

Um mehr zu Deinem Problem sagen zu können müssten wir ein Oktett mehr von der internen Fritz-IP kennen, aber ich vermute fast, dass Du da einfach einen Fehler bei der Subnetzmaske machst. Aus Deinen Screenshots und der Erklärung würde ich jedenfalls schließen, dass die Fritzbox die 192.168.1.221/30 hat und die Sophos die 192.168.1.10/30.

Damit kann die Sophos außer sich selbst nur die 192.168.1.9 erreichen, die Fritzbox nur die 192.168.1.222. Auf Grund des /30er Netzes kann die Fritzbox dann auch keine Route zu 192.168.1.10 definieren und spuckt entsprechende Fehlermeldungen. Da müsstest Du entweder die LAN-IP der Fritzbox entsprechend runtersetzen oder die WAN-IP der Sophos entsprechend rauf (wenn Du KEIN Bridgemode machen kannst). Oder auf beiden Geräten die Subnetzmaske auf 255.255.255.0, ein kleineres Netz ist wegen der gewählten IPs nicht möglich.