Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 4280 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with multiple public IPs (and MACs) and multiple internal networks

Michael Zickwolf

Hallo zusammen,

ich habe ein Problem.

Folgende Konstellation:

Ich habe bei Hetzner einen Root-Server und nach und nach mehrere externe IPs bezogen.

Die IPs bei Hetzner werden über deren Switche dem Root-Server bereitgestellt. 
Jede IP hat eine eigene MAC Adresse. 

Derzeit habe ich externe 3 Subnetze (als Beispiel) und pro externer IP ein eigenes internes Subnetz:

Externe IPs:

1.1.1.1/27 
- 1.1.1.1 = 00:00:01:01:01:01 (Intern: 192.168.11.0)
- 1.1.1.2 = 00:00:02:02:02:02 (Intern: 192.168.12.0)
- 1.1.1.3 = 00:00:03:03:03:03 (Intern: 192.168.13.0)

2.2.2.1/29
- 2.2.2.1 = 00:01:01:01:01:01 (Intern: 192.168.22.0)
- 2.2.2.2 = 00:01:02:02:02:02 (Intern: 192.168.23.0)

3.3.3.1/29
- 3.3.3.1 = 00:02:01:01:01:01 (Intern: 192.168.33.0)


Diese sind auf der Sophos UTM9 auch als eigenständige Netzwerkkarten mit der entsprechenden MAC Adresse hinterlegt.
Mein Konzept ist, dass jede externe IP ein eigenes internes Subnetz bekommt. Alle Clients in diesem Netz sollen entsprechend mit der eingestellten externen IP rausgeroutet werden und auch sichtbar sein.

Natting von Außen nach Innen funktioniert einwandfrei.

Allerdings nicht umgekehrt
Mal gehts mal nicht.... und immer nur auf einem Client pro IP Subnetz. 

Die Policy Routings sind eingestellt, es greift aber irgendwie nicht.

Brauche hier Hilfe oder Beispiele. Besteht überhaupt die Möglichkeit so etwas zu machen?



This thread was automatically locked due to age.
  • 0

    Um es bildlich zu verdeutlichen:


    Nochmal beschrieben:
    Der Hetzner-Switch stellt über ein Interface mehrere MACs bereit, die ich über VMBR0 abrufen kann. 
    Ich muss also im Proxmox ein Interface auf VMBR0 pro Mac-Adresse/IP deklarieren.

    Somit habe ich auf der Sophos 6 Netzwerkkarten fürs WAN und dann habe ich noch 6 Netzwerkkarten für jeweils ein Internes Netzwerk bereitgestellt.
    Ich möchte jedes interne Netz eine WAN Adresse bereitstellen. Jedes Interne Netz soll somit auch nur über die bestimmte WAN Adresse raus dürfen.

    Gegenseitig sollen sich die internen Netze aber nicht sehen.

    Die externen IPs sind aktuell auf 3 Subnetze verteilt. Was die Sache etwas schwieriger macht, da 3 Gateways für 6 Adressen gebraucht werden.

    Vielleicht helfen euch diese Informationen weiter. ich würde mich über eine Antwort sehr freuen, da ich hier wirklich auf dem Schlauch stehe und dringen eine Lösung benötige.
    Im Vorfeld hatte ich nur einzelne Firewalls pro externe IP mit iptables. Hier wollte ich jetzt mit der Sophos mehr Klarheit schaffen.

  • 0 in reply to Michael Zickwolf

    Soweit ich das nun nachvollziehen kann, liegt es am Masquerading. Stelle ich auf "Uplink Interfaces" ein geht der Traffic nach außen durch ein Zufälliges WAN raus.
    Stelle ich wieder ein spezifisches WAN Interface ein, so bekomme ich wieder keine Antwort.

     

     

     

Unfiltered HTML