Admin braucht Hilfe-Rechner erhalten verschiedene öffentliche WAN IP Adressen-Ursache Sophos?

cc3p0o0
Goto Top
Hallo zusammen,

im letzten Jahr habe ich den Job gewechselt und bin nun IT Admin in einem mittelständischen Unternehmen mit ca. 100MA.
Eine Einarbeitung habe ich leider nicht erhalten. Der Vorgänger war in Sachen IT weniger bewandert und sehr schlampig unterwegs
Außerdem hat sich sich vom ehemaligen IT Dienstleister extrem abhängig gemacht. Ich habe immer wieder Kontakt zum Dienstleister aufgenommen,
dieser hat aber selten Zeit und angeblich wäre viel Wissen ist durch die Kündigung von Mitarbeitern abhanden gekommen.

Nun arbeite ich mich ohne Unterstützung von einer Baustelle zur nächsten Baustelle und versuche täglich mehr Ordnung einzubringen.

Jetzt habe ein interessantes Problem.

Im Unternehmen haben wir von der Telekom eine Glasfaser Standleitung und einen VDSL Anschluss.
Nun habe ich auf Grund von Kapazitätsproblemen ein Upgrade der GF Leitung beauftragt (von 100mbit auf 300mbit).

Der Betreuer ruft mich an und fragt ob ich zufrieden wäre. Ich war überrascht, wenn die Digitalisierungsbox befindet sich im Serverraum.
Hier war aber kein TK Techniker im Haus. Wahrscheinlich hat er das Upgrade an einem anderen Verteilerort durchgeführt? Egal...

Nunja, mit großer Vorfreude starte ich die Downloads und stelle fest, dass nur 6,9MB/s möglich sind.
Also habe ich meinen zweiten Ersatz-PC getestet und siehe da, die 38MB/s sind da.

Beide Rechner haben allerdings unterschiedliche öffentliche IP Adressen.

Ich teste also meine beiden frisch aufgesetzten Terminalserver und beide haben die langsame WAN mit .207 am Ende.
Dann gehe ich zum nächsten Server (z.B. Exchange und dieser hat die schnelle WAN: .59 am Ende.
Die Netzwerkinformationen (GW, DNS1, DNS2) sind alle identisch. Das GW geht immer zur Sophos XG Firewall.

Im Unternehmen setzen wir eine SOPHOS XG ein, darüber sind zwei aktive IPv4 GW Adressen (beide Telekoms) zu finden.

Worüber wird entschieden, welcher Rechner welche WAN Adresse bekommen kann? Wie komme ich hier weiter?`Ideal wäre es natürlich wenn alle mit der Glasfaser im Internet sein würden.
Wer kann mir bitte helfen?

Grüße

Content-Key: 2341768071

Url: https://administrator.de/contentid/2341768071

Ausgedruckt am: 04.07.2022 um 16:07 Uhr

Mitglied: killtec
killtec 30.03.2022 um 12:17:54 Uhr
Goto Top
Hi,
was heißt bei dir unterschiedliche WAN? Im LAN haben sie nur eine LAN IP und wenn du dir die WAN IP anschaust ist diese unterscheidlcih?
Evtl. gibt es ein Policy Based Routing in der Sophos.

Gruß
Mitglied: ChriBo
ChriBo 30.03.2022 um 12:19:35 Uhr
Goto Top
Hi,
ich bin kein Sophos user.
aber: suche mal nach Policy based routing bzw. in Sophos Sprech: SD-WAN policy Based Route.

Gruß
CH
Mitglied: CC3P0O0
CC3P0O0 30.03.2022 um 12:27:23 Uhr
Goto Top
Danke.
Werde danach suchen. Die Rechner arbeiten alle mit unterschiedlichen öffentlichen IPs. Heißt z.B. der Windoes Exchange Server hat als öffentliche IP die der Telekom Glasfaser Leistung und der Terminalserver hat die Telefom VDSL Leitung.
Deswegen oben als Beispiel auf die .59 und .207

Ich werde mal nachsehen ob es an einer Policy Bases Routing Richtlinie liegt, welche mir so aber nicht bekannt ist.
Danke.
Mitglied: killtec
killtec 30.03.2022 um 13:08:36 Uhr
Goto Top
Hi,
die Server sollten intern eine Interne IP haben. Nach extern wird das alles über die Firewall / Router geregelt. Dazu dient das Policy Based Routing.
Unser Mailsystem hat z.B. für den Versand auch immer eine feste IP, während alle andern Systeme über eine andere IP arbeiten.

Ist zwar auch keine Sophos, aber die Prinzipien sind alle gleich.

Gruß
Mitglied: some1.sys
some1.sys 30.03.2022 um 14:38:53 Uhr
Goto Top
Hi,

das Grundproblem scheint nicht die Internetleitung sondern viele offene Baustellen zu sein und der DL wohl 'wenig Lust' zu haben scheint? Du musst generell aufpassen, dass dir bei der Umstellung der Routen nicht anderes um die Ohren fliegt. Hab dir mal eine PN geschrieben.
Mitglied: CC3P0O0
CC3P0O0 30.03.2022 um 14:53:23 Uhr
Goto Top
Danke.
Ich habe mich etwas unglücklich ausgedrückt.

Die Systeme haben natürlich eine dedizierte IP und in der Hinsicht ist alles schick. DHCP usw. habe ich alles schon frisch aufgesetzt. Hier ist mittlerweile Ordnung drin.
Einzig geht es hier um die SOPHOS FW, welche offensichtlich die beiden Adressen der beiden DSL Leitungen vergibt. Ich möchte ich die Glasfaserleitung priorisieren, die zweite DSL Leitung dient hauptsächlich für den Fall eines Ausfalls face-wink
Mitglied: mbehrens
mbehrens 30.03.2022 um 18:29:25 Uhr
Goto Top
Zitat von @CC3P0O0:

Im Unternehmen setzen wir eine SOPHOS XG ein, darüber sind zwei aktive IPv4 GW Adressen (beide Telekoms) zu finden.

Worüber wird entschieden, welcher Rechner welche WAN Adresse bekommen kann? Wie komme ich hier weiter?`Ideal wäre es natürlich wenn alle mit der Glasfaser im Internet sein würden.

SD-WAN PBR oder WAN link manager könnten die passenden Anlaufpunkte sein.
Mitglied: DerMaddin
DerMaddin 31.03.2022 um 07:57:47 Uhr
Goto Top
Moin,

das ist immer noch unverständlich, zumindest für mich. Was ist mit "Adressen der beiden DSL Leitungen vergibt" gemeint? Selbst wenn DHCP auf der Sophos fürs LAN eingerichtet wäre, diese kann keine öffentlichen IP-Adressen vergeben.

Wenn man mehr als einen WAN-Anschluss an einer Firewall nutzt, dann kann man den Traffic nach Extrern über SD-WAN Policy regeln. Also z.B. VLAN10 geht via Glasfaser und VLAN20 geht über VDSL ins Internet oder auch z.B. als Fail-Over einrichten.
Mitglied: hausrocker
hausrocker 05.04.2022 um 12:48:10 Uhr
Goto Top
Deine Frage hat nichts mit Windows Servern zu tun. Die Rechner/Server "erhalten" auch keine unterschiedlichen WAN Adressen sondern nutzen viel mehr die unterschiedlichen WAN Zugänge und haben daher auf Seiten wie www.whatismyip.org eine der beiden WAN Adressen als eigene Adresse.

Das macht die Sophos XG. Das Thema muss am besten in den Sophos Bereich verschoben werden.
Alternative und schnelle Lösung: Steck den langsamen Zugang einfach aus. Solang da kein VPN oder andere wichtige Dienste drüber laufen würde ich den eh nur auf "failover" setzen. Loadbalancing, also mehr oder weniger Zufallsprinzip bringt für einige Dinge Probleme mit sich. Wenn da SSL Verbindungen für Onlinebanking, Webshops, Internettelefonie, Videomeetings oder andere Dinge genutzt werden und die Verbindung springt, bringt das auch Probleme mit sich. Ich kann nicht sagen, wie gut die XG da erkennt, dass sie besser nicht wechseln sollte.
Mitglied: CC3P0O0
CC3P0O0 08.04.2022 um 12:31:51 Uhr
Goto Top
Hallo Leute, das Problem lag eindeutig an einer falsch konfigurierten SOPHOS XG FW.
Ich habe unter Routing>SD-WAN Policy routing als primary GW die GF Leitung eingetragen. Als Backup GW die VDSL Leitung. Als Service ist http und https eingetragen. Destination network: any.
Jetzt haben alle Clients die GF Leitung und sind erheblich schneller unterwegs.

Als failover habe ich die XG noch nicht getestet. Einzig habe ich diese mit einem Backup erfolgreich wiederhergestellt.
Danke für die Ideen und Anregungen. Man lernt nie aus.