Sophos UTM 9.4 <> Fritzbox7430 | Fritzbox gibt keine IP an das Interface der Sophos

King Domi

Cadet 4th Year
Registriert
Sep. 2013
Beiträge
125
Heyo Leute,

Ich bin in meiner Testumgebung wieder am basteln, habe auf einem ESX Host 6.0.0 eine VM mit Sophos UTM 9.4 Home aufgesetzt. Die Sophos soll hinter einer Fritzbox7430 betrieben werden (Modem für Providereinwahl). Die Sophos an sich ist Default konfiguriert, dh ich habe den Assistenten zur Konfiguration genutzt. Insgesammt gibt es 3 physikalische NICs (die Sophos VM hat 3 vNICs, einen für jeden physikalischen NIC). Einer wird eine DMZ "machen", einer das interne LAN und der andere ist die Schnittstelle zum WAN, hier zur Fritzbox.
Die Schnittstelle für das interne LAN funktioniert, hat die IP Range 172.16.10.0/24 mit DHCP von 100 - 200 (aus dem Range wird auch die Sophos Weboberfläche aufgerufen).
Für den Betrieb einer Sophos hinter einer Fritzbox, wird das WAN der Sophos mit LAN1 der Fritzbox verbunden, das WAN Interface bekommt eine IP aus dem Range der Fritzbox (Laut Anleitung von Sophos) hier: 172.16.1.0/24, Fritzbox hat die 172.16.1.1 und das WAN Interface die 172.16.1.200. Das WAN Interface habe ich als normale Ethernet-Schnittstelle eingestellt (Droppdownmenü bei den Interfacekonfigurationen der Sophos).
ACHTUNG: Das WAN Interface der Sophos ist mit LAN3 der Fritzbox verbunden. Auf LAN1 der Fritzbox ist der Provider über eine PPPOE Verbindung angeschlossen.
Das Problem ist nun, dass ich weder im Interface (Sophos) eine IP von der Fritzbox bekomme, noch sehe ich das Interface bei den verbundenen Geräten in der Fritzbox Heimnetzübersicht (in dem Fall Reservierung der 172.16.1.200 auf die MAC der Schnittstelle, die das WAN Interface bereitstellt).
Das WAN Interface der Sophos ist als Default Gateway angehakt.

Habt ihr eine Idee, wo ich einen Fehler gemacht habe?

Die NICs vom ESX sind die richtigen. Habe mittlerweile die "DMZ Karte" vom Mainboard gezogen, sodass nur 2 NICs verfügbar waren. Hab in der Sophos dann auch nur noch 2 Schnittstellen zur Auswahl bekommen. Einmal die Ethernet Schnittstelle, über die die Sophos erreichbar ist und dann die, die mit der Fritzbox verbunden werden soll (eth0 und eth1).
 
Ist das Sophos WAN nun an LAN1 oder LAN3 der FB angeschloßen. Das widerspricht sich aus meiner Sicht, was du da oben geschrieben hast.
 
die WAN-Schnittstelle ist aber schon "up"?
Was passiert, wenn du den MAC-Filter abschaltest? DHCP aktiviert?
 
Die WAN Schnittstelle ist active und up, hat auch einen ausgehenden Traffic den ich aufm Dashboard sehe. DHCP, MAC Filter ist aus. Wenn DHCP an ist, keine Veränderung. Der einzige aktive "Dienst" ist die Firewall, den Rest habe ich deaktiviert. Die Firewall hat eine zeitweise Regel vom LAN der Sophos, Any to Any. Kann auch von meinem Client im 172.16.10.0er Netz das WAN Interface mit 172.16.1.200 anpingen.

in der Übersicht der Fritzbox zeigt diese nur LAN1,2,4 belegt, die Sophos steckt auf LAN3, erkennt also gar nicht, dass dort was angeschlossen ist.
 
Dann würde ich mal auf das Kabel tippen, oder die Netzwerkschnitstelle ist eben doch nicht up ;)
 
Hab die Fritzbox neugestartet (Strom weg) und siehe da, ich sehe die Sophos, Ein und Ausgehender Traffic, und kann von meinem PC im 172.16.1.0er Netz die WAN Schnittstelle pingen.
 
Okay, nun nächstes Problem. Ich habe die Sophos nach dieser Anleitung konfiguriert. Im Protokoll sehe ich, dass alle eingehenden Anfragen (Internet und von FB) verworfen werden. Auf die FB Weboberfläche kann ich zugreifen, dann erscheint Paketfilterregel-Nr.1.
Habe dann eine Firewallregel erstellt Internet IPv4 -> Websurfing -> Internal (Network), da ich dachte ich brauch noch eine Regel für eingehende Anfragen. Keine Änderung. Was fehlt bei mir noch?


EDIT: Fehler war, dass in der WAN Schnittstelle als DefaultGateway nicht die FB eingetragen war.
 
Zuletzt bearbeitet:
Hi King Domi,

du lieferst leider sehr wenig Informationen, um was es sich bei dir genau handelt.

Ich werde trotzdem mal versuchen dir etwas weiter zu helfen.

#

Wenn ich es richtig verstanden habe, bekommst du einfach keine Verbdingung ins Internet.

Dies kann natürlich an sehr vielen Faktoren liegen:

1.)
Die Firiewall Regel, die du beschrieben hast, ist so nicht ganz korrekt.
Sie sollte so lauten: Internal -> Any (oder Web Surfing) -> Internet Ipv4

2.)
Ich hoffe, dass du für das Internal Interface eine anderen IP Adressbereich benutzt.
Bedeuet z.B. 192.168.178.xxx (FB Netzwerk) liegt an der WAN Schnittstelle der Sophos an
Internal Schnittstelle hat dann z.B. 192.168.169.xxx

3.)
Denkst du daran die NAT Regeln für das Interface (Internal) einzurichten, ansonsten ist auch hier Schluss mit dem Versuch sich ins WWW zu verbinden.

4.)
Liegt auf dem Internal Interface ein DHCP Server oder werden die IP Adressen statisch vergeben?
Stimmen die Gateways überall.

Gerade gesehen, dass es gelöst wurde ;-), sry...

Falls du weitere Fragen hast, einfach melden.

Gruß Philipp
 
Zurück
Oben