Sophos UTM Netzwerk Einrichtung Internet Route

[x-Timmey-x]

Hallo,

vielleicht könnt Ihr mir weiterhelfen.

Mein Netzwerk ist wie folgt aufgebaut:
LAN1: 192.168.178.XXX / 24 Default VLAN 0 FritzBox
LAN2: 192.168.125.XXX / 24 VLAN 100

Leider kann ich die UTM nicht für die DSL Einwahl verwenden, da sonst die Telefonie nicht mehr funktioniert. Somit muss ich sie hinter der FritzBox verwenden.
Die UTM läuft in einer VMware Umgebung und hat 4 NICs zugewiesen bekommen. Zwei NICs sind bereits konfiguriert.
NIC1: 192.168.178.24 (vergeben bei der Installation, Default Gateway 192.168.178.1)
NIC2: 192.168.125.1 Ethernet VLAN mit Tag 100

Die VLANs sind sauber konfiguriert. Verwende einen HP ProCurve 1810-24G v2
Tagged sind Sie auf dem HP Switch als auch auf dem vSwitch von VMware

Kann mir jemand mitteilen, wie ich es schaffe das meine VMs aus LAN2 ins Internet kommen?
Die UTM ist als Gateway eingetragen. Jedoch muss ich vermutlich auf der UTM noch Einstellungen tätigen damit die Pakete zum Gateway aus LAN1, sprich die FritzBox, geroutet werden.
Die UTM selbst kommt ins Internet...

Vielen Dank!

 

[HominiLupus]

cat /proc/sys/net/ipv4/ip_forward

 

[x-Timmey-x]

Ehm
Du möchtest mir sagen?

Also ja ich weiß das ist ein Pfad

 

[tryitz]

Er möchte dir sagen, dass du uns den inhalt dieser datei posten sollst;-) geb den befehl im Terminal ein. Also mihilfe von putty per ssh auf Sophos zugreifen.

 

[x-Timmey-x]

Der Inhalt ist:

1

 

[eaglemax1]

Normalerweise muss auf dem Interface für die Fritzbox bloß der Haken default GW angehakt sein und du solltest noch eine Maskierungsregel für das LAN 2 erstellen

und Firewall-Regeln natürlich

 

[x-Timmey-x]

Also der Harken mit Default Gateway auf LAN 1 ist gesetzt.
Die UTM selbst zieht sich auch Updates und Co.

Die Maskierungsregel hab ich noch nicht gesetzt, da ich nicht weiß wo... Sammel gerade die ersten Erfahrungen mit der Firewall.

 

[eaglemax1]

Dann werden dir nur die Maskierungsregel und Firewallregeln fehlen, ich mach dir gleich mal ein Bild

unter Network protection / NAT
neue Maskierungsregel erstellen


In Network/netzwerk kommt das Source Interface(Lan2 in deinem Fall)
Und Schnittstelle dein Gateway (Lan1)ich denke mal die Firewallregeln sollten kein Problem sein

 

[xxxx]

Jups Nat und Firewall Regeln erstellen wie eaglemax1 beschrieben hat. Was ich auch noch empfehlen kann billige Fritzbox (oder Modem je nach dem) bei Ebay ersteigern und nur als Telefonieserver hinter der Sophos UTM an eigener Netzwerkkarte/Vlan betreiben und die Fritzbox am Anschluß nur als Modem nehmen. Ich weiß es es klingt jetzt übertrieben aber aus eigener Erfahrung weiß ich das diese Kombination besser läuft als wenn eine Fritzbox beides machen muss. Erstens weil die Sophos Utm in der Regel die leistungstärkere Hardware zwecks Routing hat zweiten weil du so den Telefonieserver der Fritzbox mit der Sophos UTM mit schützt.

 

[x-Timmey-x]

Danke eaglemax1
Ich hab die Regel nun angelegt, jedoch fehlt vermutlich noch eine Kleinigkeit.
Des weiteren musste ich noch eine Änderung durchführen. Das LAN2 Interface musste auf "Typ: Ethernet" geändert werden. Ich hatte es jedoch auf "Typ: Ethernet VLAN" stehen und den Tag auf 100. Sonst konnte ich kein Ping von LAN2 in LAN1 durchführen.

Ich kann die FritzBox (LAN1) nun aus dem anderen Netzwerk (LAN2) anpingen. Andere Geräte natürlich auch...
Leider komm ich trotzdem noch nicht ins Internet. Vermutlich wegen den DNS Einstellungen. Als DNS Server ist der DomainController aus LAN2 auf dem Server eingetragen. Die DNS Anfragen leitet der Domain Controller an das Gateway, sprich die Firewall, weiter.

Hierfür muss ich vermutlich noch eine Firewall Regel anlegen?
Ich hab die Default Regeln bisher lediglich geklont und auf das LAN2 angepasst.

Sprich:
- Sources: LAN2
- Services: DNS
- Destination: Any

... Was ich auch noch empfehlen kann billige Fritzbox (oder Modem je nach dem) bei Ebay ersteigern und nur als Telefonieserver hinter der Sophos UTM an eigener Netzwerkkarte/Vlan betreiben und die Fritzbox am Anschluß nur als Modem nehmen. ...

Danke XXXX dies war auch mein ursprünglicher Gedanke, weshalb ich auch einen weiteren DSL Anschluss beantragt hatte. Leider lassen sich die FritzBox Router nicht mehr als reines Modem verwenden. AVM hat mit den neueren Firmwares die Möglichkeit entfernt. Jetzt kann man natürlich für 120€ einen Zyxel Router kaufen, den man als Modem verwenden oder günstig auf Ebay eine alte Möhre schießen. Jedoch zweifel ich gerade etwas daran ob es mir das alles Wert ist
Außerdem wüsste ich aktuell keinen Weg, wie ich die Telefonie mit o2 trotzdem nutzen kann, wenn ich den Router (FritzBox 7490) von o2 nicht verwende.

EDIT: Okay das mit dem Internet scheint nun doch zu funktionieren. Der Websiten Aufruf funktioniert, zwar langsam, aber er funktioniert. Bei einem Vorgang sagt er mir jedoch das er keine Internet Verbindung hat :S

 

[eaglemax1]

Unter Netzwerkdienste/networkservices -> DNS im ertsen Reiter müssen die Netze oder Hosts, die die Sophos als DNS Server nutzen dürfen deklariert werden, sonst hilft die Regel auch nicht

 

[x-Timmey-x]

Unter Network Services -> DNS-> Allowed Networks ist LAN1 eingetragen.
Ich denke mehr muss dort nicht stehen.

 

[eaglemax1]

Wenn dein DC eine Weiterleitung inseinem DNS-Server auf die Sophos hat, kann das deine Auswirkung auf die Auflösung haben, da er im LAN 2 ist.

vllt. ist da noch ein externer drin, wodurch es dann funktioniert

 

[x-Timmey-x]

Mhmm in der DNS Zone unter Weiterleitung, auf dem DC, ist lediglich die 192.168.125.1 eingetragen.
Somit sollte er auch nur dorthin die DNS Anfragen weiterleiten. Ich glaube das macht er auch sauber.

Wenn ich das richtig verstanden habe, sollte ich auch unter UTM -> Network Services -> DNS-> Allowed Networks nicht mein LAN2 hinzufügen.

Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.

 

[eaglemax1]

kommt halt drauf an, wer wlche nutzt, wenns funktioniert ist es ja okay, überlicherweise richte ich den den DC als separaten Host dafür als zugelassen ein, habe es ehrlich gesagt noch nicht ohne getestet

 

[x-Timmey-x]

Das verstehe ich jetzt glaube ich nicht so recht...
Du meinst du setzt den DC unter Network Services -> DNS-> Allowed Networks auf der UTM ein? Kann man einen einzigen Host dort eintragen oder geht nur ein ganzes Interface?

 

[eaglemax1]

wenn du auf das grüne + klicks öffnet sich ein Menü, dort kannst du im Dropdown auf Host auswählen. Die sophos ist da eigentlich überall sehr flexibel

Manchmal denkt man schneller als man tippt, ich meinte, es kommt drauf an, welcher Host den Dc oder die Sophos als DNS-Server eingetragen hat

 

[x-Timmey-x]

Wow okay
Ich würde das jetzt erst einmal so lassen...
Aber du würdest prinzipiell dort den Host, sprich den DC dort eintragen? Die FritzBox auch?
Aktuell ist lediglich nur das Interface LAN1 eingetragen. Die Clients aus LAN1 kommen so oder so ins Internet und dank der Maskierung und den Firewall Regeln kommen nun auch die Clients aus LAN2 ins Internet. Die Firewall Regeln werd ich jetzt noch ein wenig optimieren und ansonsten fällt mir erst einmal nichts ein :-)

Schon einmal vielen Dank! thumpsup!

EDIT: Ahh gerade den Nachtrag gelesen. Die Clients aus LAN2 bekommen immer den DC als DNS Server eingetragen.

 

[eaglemax1]

ne, Fritzbox nicht, die könntest du höchstens im 2. Reiter als Weiterleitung eintragen aber der Haken dort sollte per default drin sein und wenn deine IP per DHCP der Fritzbox auf LAN 1 erfolgt, ist die automatisch drin

 

[x-Timmey-x]

Unter DNS Forwarders ist kein Interface oder Host eingetragen. Der Harken ist gesetzt

Use forwarders assigned by ISP
Currently assigned forwarders: none

Werd dort jetzt erst einmal keine Änderung im DNS Bereich vornehmen. Es scheint erst einmal alles zu klappen. Jedoch weiß jetzt das man hier noch was machen könnte.