Sophos UTM hinter Fritzbox: WLAN (Knobelaufgabe :))

shortround

Lieutenant
Registriert
Okt. 2006
Beiträge
739
Moin,
ich habe folgendes Problem.
Ich habe eine Sophos UTM "hinter" meiner Fritzbox als exposed Host laufen. Funktioniert soweit auch alles wie es soll, bis auf das WLAN der Fritzbox.
Folgendes hab ich "gebaut".
Fritzbox wählt sich ins Internet ein und stellt die UTM als exposed host ins Netz.
Intern hat die Fritzbox die 192.168.2.1.
Die UTM hat auf dem external Interface die 192.168.2.2
Internal ist die UTM die 192.168.1.2. (also alles was LAN ist).

2019-02-10 11_25_17-Window.png


Dann habe ich zusätzlich auf der UTM auf dem external Interface einen weiteren Adressbereich definiert der für die WLAN Geräte da ist, die von der Fritzbox kommen.

2019-02-10 11_26_18-Window.png




Und dafür habe ich ebenfalls einen DHCP Adressbereich angelegt.

2019-02-10 11_27_20-Window.png


Zu guter letzt habe ich auf der Fritzbox zwei statische Routen eingetragen.

2019-02-10 11_31_22-Window.png


Und dann natürlich noch eine Firewall regel die den Traffic rauslässt.

2019-02-10 11_45_37-Window.png


Nun zum Phänomen.

LAN funktioniert wie gesagt alles einwandfrei, die Geräte kommen rau usw.
WLAN hingegen macht komische Dinge.

Die Geräte bekommen alle eine IP Adresse vom DHCP der UTM. Sie können sowohl IPs als auch Domainnamen im Internet anpingen.
Also ping 1.1.1.1 oder ping www.google.de funktionieren einwandfrei.
Die Windowsnetzwerkanzeige sagt sogar dass Internet vorhanden wäre (also kein Ausrufezeichen).
Surfen hingegen funktioniert nicht. Die Seiten laden einfach eine Ewigkeit und bleiben dann entweder weiß oder zeigen im Chrome z.B. "ERR_CONNECTION_RESET" an.
Schalte ich für die gezeigte Firewallregel das logging an, sehe ich auch von den WLAN Geräten ganz viele grüne Zeilen (also traffic geht raus wie er soll). Rote Zeilen für die Geräte sehe ich keine die da nicht sein sollten.

Hat irgendjemand eine Idee wo es hängen könnte?
Zusammengetragen habe ich das Setup aus diesem Thread im Sophos Forum:
 
Gar nicht.
Laut dem Thread ausm Sophos Forum erübrigt sich das wenn ich die statischen Routen in der Fritzbox habe.
 
Mh-mh. Willst du das Problem lösen, oder willst du eine Lösung haben?

Die "richtige" Lösung wäre in deinem Fall das WLAN in der Fritzbox abzuschalten, das Gekniffle mit den statischen Routen sein zu lassen & stattdessen einen AP hinter die UTM zu hängen. Gerne auch mit eigenem Interface.

Wird dadurch ein Feature der Fritzbox deaktiviert/verschwendet? Jo.
Funktioniert es? Jo.
Ist es KISS? Ja und ja.

edit: Aber wenn wir schon mal dabei sind. Es funktioniert also anscheinend kein Browser. Hast du den Sophos Web Filter aktiv? Ist dort auch das Fritzbox-WLAN-Netz eingetragen?
Wird gerne mal vergessen wenn nach der initialen Wizard-Konfiguration wo man für das eine interne Netzwerk "Web Surfing" erlaubt, aber im Anschluss bei neuen Interfaces/Netzwerken genau das vergisst.
Der Vollständigkeit halber gehe ich mal davon aus dass das Masquerading für das Fritzbox-Netz auch aktiv ist an der UTM. (Sollte eigentlich so wie es aussieht)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Pacman0811, -=Azrael=- und Raijin
t-6 schrieb:
Mh-mh. Willst du das Problem lösen, oder willst du eine Lösung haben?

Die "richtige" Lösung wäre in deinem Fall das WLAN in der Fritzbox abzuschalten, das Gekniffle mit den statischen Routen sein zu lassen & stattdessen einen AP hinter die UTM zu hängen. Gerne auch mit eigenem Interface.

Wird dadurch ein Feature der Fritzbox deaktiviert/verschwendet? Jo.
Funktioniert es? Jo.
Ist es KISS? Ja und ja.

Mir ist bewusst dass es natürlich alles schöner und sauberer wäre einen extra AP zu haben, bzw. ein richtiges modem.
Ich wollte die Investition aber gerade nicht tätigen, weil beides, modem und AP jeweils 100€ kosten würden und ich die Fritzbox nunmal gerade da habe.

t-6 schrieb:
edit: Aber wenn wir schon mal dabei sind. Es funktioniert also anscheinend kein Browser. Hast du den Sophos Web Filter aktiv? Ist dort auch das Fritzbox-WLAN-Netz eingetragen?

Wird gerne mal vergessen wenn nach der initialen Wizard-Konfiguration wo man für das eine interne Netzwerk "Web Surfing" erlaubt, aber im Anschluss bei neuen Interfaces/Netzwerken genau das vergisst.

Der Vollständigkeit halber gehe ich mal davon aus dass das Masquerading für das Fritzbox-Netz auch aktiv ist an der UTM. (Sollte eigentlich so wie es aussieht)
Webfilter ist aktuell noch komplett aus.
Masquerading habe ich aktuell keins, wie gesagt, ich hab die Einstellung alle aus dem Thread im Sophos Forum übernommen und dort wurde gesagt dass man das Masquerading nicht braucht wenn man die statischen routen in der FB hat. Ansonsten wäre es halt doppel NAT.
Edit: ok mit Masquerading from WLAN auf External klappt es. Versteh ich nicht warum die das ohne hinbekommen haben... ???
 
Zuletzt bearbeitet:
Edit: ok mit Masquerading from WLAN auf External klappt es. Versteh ich nicht warum die das ohne hinbekommen haben... ???
Ich hab den Thread nur so halb überflogen, meine aber dass das nicht ganz dein Anwendungsfall war.

Wie auch immer. Ohne Masquerading "weiß" die Sophos ja nicht, über welches Interface sie Traffic von einem anderen Interface nach draußen schieben soll, ganz unabhängig davon was die Firewallregeln erlauben.

Bei aktiviertem Webfilter wiederum kann man ohne Masquerading arbeiten wenn man nur HTTP/HTTPS braucht, da die Sophos keinen Traffic nach irgendwohin durchleitet/routet/NATtet sondern als Proxy für den Client dient.
 
t-6 schrieb:
Ich hab den Thread nur so halb überflogen, meine aber dass das nicht ganz dein Anwendungsfall war.

Wie auch immer. Ohne Masquerading "weiß" die Sophos ja nicht, über welches Interface sie Traffic von einem anderen Interface nach draußen schieben soll, ganz unabhängig davon was die Firewallregeln erlauben.

Bei aktiviertem Webfilter wiederum kann man ohne Masquerading arbeiten wenn man nur HTTP/HTTPS braucht, da die Sophos keinen Traffic nach irgendwohin durchleitet/routet/NATtet sondern als Proxy für den Client dient.
Aber wieso geht ping raus? Bin verwirrt ^^
 
Puh, das ist aber ein abenteuerliches Setup.. Das sieht buchstäblich nach dem Klassiker aus, von hinten durchs Auge in die Brust.

Eine Firewall wie die Sophos sichert lokale LANs gegenüber einem oder mehreren WANs ab. Mit diesem Konstrukt versuchst du nun, Teile der WAN-Seite duch wildes hin- und hergeroute + geNATte mit abzusichern. Das ist in meinen Augen der völlig falsche Weg und Pobleme sind vorprogrammiert.

Entgegen deiner eigenen Einschätzung müsstest du aber nicht 100€ jeweils für ein Modem und einen AP investieren, sondern lediglich für den AP. Die Fritzbox bzw. ihr Netzwerk kann durchaus bestehen bleiben, das WLAN sogesehen auch. Allerdings sollte man es dann als WAN ansehen oder von mir aus als eine Art DMZ. Wenn du nämlich einen AP hinter die Sophos hängst, kannst du dir den .. .. nennen wir es mal .. .. Workaround sparen, weil das WLAN nämlich ganz einfach durch dasselbe Subnetz in der Sophos abgesichert wird.

Das Problem ist nämlich u.a. die Erweiterbarkeit. Wenn du irgendwann ein Gast-WLAN einrichten möchtest, wird das mit einem aktuellen Setup so vermutlich nicht funktionieren - selbst wenn, müsstest du wohl erneut das Forum bemühen, weil hier und da Probleme auftauchen werden. Würdest du hinter der Sophos gar einen AP mit VLAN-Funktion einsetzen, könntest du dein Heimnetzwerk sogar um ein Gast-VLAN bzw. -WLAN erweitern, mit wenigen Klicks und simplen Regeln in der Sophos.

Ein UAP AC Lite für ~75€ wäre zum Beispiel eine gute Wahl, um dies so umzusetzen. Andere APs bzw. WLAN-Router-als-AP ohne VLANs bekommt man gar für noch weniger (zB TP-Link Archer Cx, je nach Budget).
 
Ist mir alles bewußt, ich habe aber in den letzten Monaten extrem viel Geld für Server/Netzwerk "Spielzeug" ausgegeben und das Budget ist momentan erstmal aufgebraucht. Das ganze soll so keine Dauerlösung bleiben sondern erstmal einfach funktionieren. Und das tut es jetzt auch. Mein smarthome kram, meine WLAN Geräte, meine LAN Geräte, alles kommt rein bzw. raus wie es soll und die Firewall blockt alles weg was ich nicht haben will. Gegen mitte des Jahres kommt dann ein richtiger AP und ein entsprechendes Modem dazu.
Die Lösung die Fritzbox weiter als Modem zu nutzen finde ich auch eher unschön weil sie eben nicht nur Modem ist. Diese funktionalität hat AVM irgendwann mal rausgepatcht, warum auch immer. Darum wäre für ein optimales Setup eben doch noch ein VDSL Modem nötig und die kosten 100-150€. Plus die 100€ für den UAP AC sind halt auch wieder direkt 250€, die ich einfach momentan nicht ausgeben möchte. Läuft ja so auch (erstmal).
 
Klar, wenn du mit dem status quo erstmal zufrieden bist und das Budget ausgeschöpft ist, dann ist das eben so ;)

shortround schrieb:
Die Lösung die Fritzbox weiter als Modem zu nutzen finde ich auch eher unschön weil sie eben nicht nur Modem ist.
Hm.. Das kann ich wiederum so nicht unterschreiben. Ich nutze selbst einen Speedport und dahinter einen EdgeRouter von Ubiquiti - da ist nix Verwerfliches dran. Einem "vollwertigen" Router bzw. einer Firewall ist es ziemlich egal ob sie die Internetverbindung nun selbst über ein Modem herstellt oder via LAN von einem übergeordneten Netzwerk bezieht. Zudem musst du bedenken, dass das Modem wiederum kein VoIP könnte. Wenn du also via IP telefonierst und keine dedizierten VoIP-Telefone hast, müsstest du du die Fritzbox so oder so weiterverwenden, dann eben als VoIP-Gateway. Ich sehe es daher als alles andere als zwingend an, die Fritzbox ohne Not gegen ein Modem zu tauschen, insbesondere, wenn man die Kosten scheut.
 
Raijin schrieb:
Klar, wenn du mit dem status quo erstmal zufrieden bist und das Budget ausgeschöpft ist, dann ist das eben so ;)
Naja zufrieden ist in diesem Kontext relativ ne ;)
Wer sich einmal mit diesen Themen beschäftigt hat ist glaub ich nie wieder wirklich zufrieden :D
Natürlich hätte ich gerne einen richtgen AP den ich Verwalten kann etc., aber das Geld ist leider gerade nicht da. Vielleicht in 2-3 Monaten dann.

Raijin schrieb:
Hm.. Das kann ich wiederum so nicht unterschreiben. Ich nutze selbst einen Speedport und dahinter einen EdgeRouter von Ubiquiti - da ist nix Verwerfliches dran. Einem "vollwertigen" Router bzw. einer Firewall ist es ziemlich egal ob sie die Internetverbindung nun selbst über ein Modem herstellt oder via LAN von einem übergeordneten Netzwerk bezieht. Zudem musst du bedenken, dass das Modem wiederum kein VoIP könnte. Wenn du also via IP telefonierst und keine dedizierten VoIP-Telefone hast, müsstest du du die Fritzbox so oder so weiterverwenden, dann eben als VoIP-Gateway. Ich sehe es daher als alles andere als zwingend an, die Fritzbox ohne Not gegen ein Modem zu tauschen, insbesondere, wenn man die Kosten scheut.
Das ist natürlich richtig, aber VOIP brauch ich eigentlich nicht, hab mein Festnetztelefon seit Jahren nicht mehr benutzt. Finde halt nur dass es mit Kanonen auf Spatzen schießen ist eine FB nur als Modem zu nutzen, wenn diese die Funktion Offiziell gar nicht unterstützt. Am liebsten wäre es mir meine FB zu verkaufen und dann den anderen Kram zu kaufen, aber bisher will keiner meine FB ;)
 
shortround schrieb:
Webfilter ist aktuell noch komplett aus.
Masquerading habe ich aktuell keins, wie gesagt, ich hab die Einstellung alle aus dem Thread im Sophos Forum übernommen und dort wurde gesagt dass man das Masquerading nicht braucht wenn man die statischen routen in der FB hat. Ansonsten wäre es halt doppel NAT.
Edit: ok mit Masquerading from WLAN auf External klappt es. Versteh ich nicht warum die das ohne hinbekommen haben... ???

Hi, das liegt wie "t-6" bereits erwähnte daran, dass der WebProxy in dem Setup aktiviert wurde,
das in der Anleitung aus dem Sophos-Forum vorgestellt wird.

Bei der Nutzung des WebProxys gehen alle Web-Anfragen (beim WebProxy im Transparenten Modus bezieht sich das auf die Zielports 80 und 443) von der IP-Adresse des Proxys und somit von der IP-Adresse der UTM aus (genauer gesagt von der Schnittstelle, auf der auch das Gateway konfiguriert ist; in deinem Fall ist das die Schnittstelle "External" (eth1)).
Der Proxy stellt (stellvertretend) für die Clients die Web-Anfragen, deshalb werden die Verbindungen zu den (Web)-Servern im Internet ausgehend von der IP-Adresse des Proxys (der UTM) aufgebaut (Quell-IP-Adresse = IP-Adresse der UTM, Schnittstelle "External" (eth1).

Da durch die Funktion des Proxys als Stellvertreter so vollautomatisch die Quell-IPs der Clients "versteckt" werden, muss die FritzBox auch keine (Rück)route (statische Route) für das Subnetz der Clients haben, da die Anfragen aus der Sicht der FritzBox als Quell-IPs sowieso nicht die IPs der Clients haben, sondern immer die des Proxys (der im gleichen Netz hängt wie die FritzBox, 192.168.2.0/24er-Netz).

Das 192.168.2.0/24er-Netz kennt die FritzBox natürlich,
weil sie selbst eine IP-Adresse in diesem Netz hat; deshalb können die Antwortpakete der (Web)Server ohne zusätzliche statische Route an den Proxy der UTM zugestellt werden (der diese wiederum an den entsprechenden Client weiterreicht).
--------------------------------------------------------------------------------------------------------------------------

Mich würde wirklich mal genau interessieren,
warum ein Ping auf die 1.1.1.1 oder www.google.com auch ohne aktiviertem Masquerading funktioniert hat.

Weiß da jemand mehr bzw. kann jemand etwas dazu sagen?

Gruß, Datax
 
Zurück
Oben