Sophos UTM - Standardgateway weiterreichen

[TuberPlays]

Hallo Zusammen,

ich habe vor meine virtuellen "Test-Maschinen" durch eine Sophos UTM (9) in ein eigenes Netzwerk zu verfrachten und vom Produktivnetz abzuschotten. Die UTM läuft ebenfalls als VM auf dem gleichen Host und steht somit zwischen den Netzen. Soweit funktioniert auch alles wunderbar, die VMs sind vom Produktivnetz abgeschottet, können dort keine Rechner pingen, die Sophos hat als Standardgateway den Hauptrouter (Fritz!Box) eingetragen, DNS Forwarding funktioniert auch, nur kommen die VMs noch nicht ins Internet.

Daher meine Frage: Kann ich der Sophos irgendwo beibringen, dass sie die Anfragen, die an die Sophos geschickt werden (sie träg sich selber als SGW per DHCP ein) an die FritzBox weitergeleitet werden? Im Optimalfall noch so, dass die VMs die Fritz!Box nicht "sehen".
Im Vorfeld vielen Dank für eure Hilfe!

Grüße!

 

[gaym0r]

Du musst auf der Sophos eine Regel anlegen, die dem Test-Netz erlaubt mit dem Internet zu kommunizieren. Ggf. reichen dir Port 80 und 443.

 

[leipziger1979]

Die UTM agiert doch selber als Router, über NAT.
Für alle VMs ist die LAN IP der UTM der Gateway.

 

[TuberPlays]

die dem Test-Netz erlaubt mit dem Internet zu kommunizieren

Ich will ja nicht, dass die Test-VMs auf die Fritzbox kommen, sondern dass die Sophos die Fritzbox als SGW nimmt. Die Rechner schicken die Anfrage zu z. B. google.de (216.58.215.227) ja an ihr eingetragenes SGW (die Sophos) und dieses soll die Anfragen dann über die Fritz!Box ins Internet.

Für alle VMs ist die LAN IP der UTM der Gateway.

Mein Produktivnetz ist 192.168.2.0/24. Die Sophos baut "ihr" Netz in 192.168.5.0/24 auf und hat in diesem Netz die 192.168.5.1 welches bei den VMs auch als SGW eingetragen ist.

Grüße!

 

[leipziger1979]

Zitat von gaym0r:


die dem Test-Netz erlaubt mit dem Internet zu kommunizieren

Ich will ja nicht, dass die Test-VMs auf die Fritzbox kommen

Kommen sie doch dann auch nicht, durch NAT der UTM und dadurch das die Fritzbox keine Route zum Netz hinter der UTM hat.
Aber Internet geht.

Du brauchst wenigsten DNS und HTTP/HTTPS damit die VMs ins Internet kommen:

Ergänzung (25. Januar 2019)

Mein Produktivnetz ist 192.168.2.0/24. Die Sophos baut "ihr" Netz in 192.168.5.0/24 auf und hat in diesem Netz die 192.168.5.1 welches bei den VMs auch als SGW eingetragen ist.

Dann sollte es doch gehen mit den Regeln für DNS und HTTP/HTTPS.
Ansonsten mal Details posten.

 

[TuberPlays]

Hey, danke für deine Hilfe!

Aktuell habe ich in der Firewall folgendes eingetragen:




Nach meinem Verständnis heißt dass ja dann, dass das komplette VM Netzwerk mit der FB kommunizieren darf. DNS funktioniert, den Forward habe ich hier eingetragen:


(Da sogar dieser externe funktioniert, gehe ich davon aus, dass die Sophos weiß, wie sie ins Internet kommt. Sie hat auch in der Netzwerkkarte, die im internen Netz ist als SGW die FB eingetragen.)

Per DHCP bekommen die Clients im Moment folgendes zugewiesen:

Ich möchte auch nur ungern direkt die FB als SGW für die Clients verteilen.

Grüße!

 

[leipziger1979]

Versuch doch mal es so wie bei mir einzustellen, also nur DNS und HTTP/HTTPS erlauben.
Der DHCP scheint ja richtig konfiguriert, verteil ja als DHCP/DNS/GW die UTM IP 192.168.5.1.

So wie ich deine Regel deute erlaubst du die direkte Kommunikation vom 5er ins 2er Netz.
Da die FB das 5er Netz aber nicht kennt scheitert die Rückantwort.

Ergänzung (25. Januar 2019)

Wichtig ist dafür das auch NAT aktiviert ist:

 

[TuberPlays]

also nur DNS und HTTP/HTTPS erlauben

Habe ich mal nach gebaut. Leider ohne Erfolg:


NAT habe ich auch entsprechend aktiviert:


Mal zum Verständnis:
Bei dir heißen die Interfaces "Internal". Dass wir da nicht aneinander vorbei reden: In welchem Segment ist die Schnittstelle denn? - Ich habe auch eine "Internal", das wäre aber dann die Schnittstelle im Produktivnetz.


Danke für Deine Mithilfe!

 

[gaym0r]

Ich will ja nicht, dass die Test-VMs auf die Fritzbox kommen, sondern dass die Sophos die Fritzbox als SGW nimmt.

So funktioniert Netzwerk nicht.

Wenn du nicht willst, dass man auf die Fritzbox kommt, dann sperr das entsprechend auf der Sophos.

Grob gesagt:
1. Regel: Deny 192.168.2.0/24
2. Regel: Allow 0.0.0.0/0


Edit: Nachtrag:

Habe ich mal nach gebaut. Leider ohne Erfolg:
Anhang anzeigen 746352

Du hast DNS und Websurfing freigeben. Warum sollte dann ICMP/Ping funktionieren?

 

[TuberPlays]

1. Regel: Deny 192.168.2.0/24
2. Regel: Allow 0.0.0.0/0

Da habe ich vielleicht falsch ausgedrückt. Dass die VMs über die FB gehen müssen ist mir schon klar. Diese sollen aber nicht in der Lage sein im Browser einfach mal "192.168.2.1" einzugeben und dann auf der Box zu landen.

Grüße!

 

[leipziger1979]

Ping ohne Regel geht auch nicht.
Hast ja nur DNS und HTTP/HTTPS erlaubt.

Nimm bitte mal die vordefiniert Quelle "Internal Network"
Auch die NAT Regel passt nicht, du leitest dein Netzwerk auf das gleiche Internal.
Das dreht sich schön im Kreis.

 

[TuberPlays]

Nachtrag:

Du hast DNS und Websurfing freigeben. Warum sollte dann ICMP/Ping funktionieren?

Danke für den Einwand. Dafür erstmal ne Adminpeitsche für mich! - Websurfing funktioniert. Nur leider kommen die VMs nun auch auf das ganze Netzwerk. Das wollte ich eigentlich vermeiden:

 

[gaym0r]

Hast du denn eine entsprechende Regel, die den Zugriff verhindert?

 

[leipziger1979]

Auch das dein externes WAN Netz "Internal" heisst verwirrt total.
Meine heissen auch extern und intern:

Ergänzung (25. Januar 2019)

Nur leider kommen die VMs nun auch auf das ganze Netzwerk.

Du erlaubst ja Websurfing nach Any, von daher ist das richtig das das funktioniert.
Musst halt eine weitere Regel basteln die Websurfung zum 192.168.2.* Netz verhindert.

Und die Regel muss auch vor der Websurfing/Any Regel stehen.
Sonst greift die erst, erlauben Regel, und verwirft die sperren-Regel.

Netzwerk ist keine leichte Sprache.

 

[TuberPlays]

Hast du inzwischen eine Route auf der FritzBox eingetragen die auf das .5er Netz zeigt? Next-Hop ist die Sophos, also 192.168.2.x.

Jup. Die ist da


Mit den entsprechenden FW Regeln funktioniert websurfing ja auch wunderbar. Mein "Problem"´ist jetzt nur noch, dass die VMs auf das komplette Produktivnetz zugreifen können.

Hast du denn eine entsprechende Regel, die den Zugriff verhindert?

Ich hab das abgeschrieben, was @leipziger1979 gepostet hat. Ich glaube der Knackpunkt ist die Any-Zielregel in der Firewall. Denn die besagt ja eigendlich, dass Websurfing zu jedem Ziel (und eben auch in das Produktivnetz) erlaubt ist. Wenn ich das Any raus nehme, gehts aber nicht mehr.

Auch das dein externes WAN Netz "Internal" heisst verwirrt total.

Ich hab mal ein bisschen Übersicht reingebracht


//edit

Musst halt eine weitere Regel basteln die Websurfung zum 192.168.2.* Netz verhindert.

Wenn ich das richtig verstehe kicke ich mir damit ja dann auch die FB wieder raus? - Hab mal testweise als Ziel nur die .2.1 erlaubt. Dann ging wieder nichts


Grüße!

 

[gaym0r]

Ich hab das abgeschrieben, was @leipziger1979 gepostet hat. Ich glaube der Knackpunkt ist die Any-Zielregel in der Firewall. Denn die besagt ja eigendlich, dass Websurfing zu jedem Ziel (und eben auch in das Produktivnetz) erlaubt ist. Wenn ich das Any raus nehme, gehts aber nicht mehr.
Anhang anzeigen 746363

Ja dann ist doch alles klar was zu tun ist, oder?

Erstelle eine weitere Regel, die jeglichen Zugriff auf das Netz 192.168.2.0/24 verbietet und platziere diese Regel vor deine bestehende Any-Regel.

 

[leipziger1979]

Wenn ich das richtig verstehe kicke ich mir damit ja dann auch die FB wieder raus?

Nur den Zugriff über HTTP/HTTPS.

 

[TuberPlays]

Erstelle eine weitere Regel, die jeglichen Zugriff auf das Netz 192.168.2.0/24 verbietet und platziere diese Regel vor deine bestehende Any-Regel.

Nu geht´s

Thx @All und @gaym0r / @leipziger1979