6
Frage zum Routing zwischen 2 Fritzboxen, eine davon hinter Sophos UTM
Hi,
ich habe aktuell ein Problem beim Einrichten von statischen Routen in meinem Netzwerk.
Ich habe folgenden Aufbau:
Fritzbox A - Netzwerk 192.168.31.0/24
Fritzbox B - Netzwerk 172.10.0.0/24
Sophos UTM - Netzwerk 192.168.4.0/24, verbunden per Exposed-Host zur Fritzbox B - WAN-IP 172.10.0.2
Beide Fritzboxen sind per Fritz-Site2Site-Tunnel verbunden, soweit so gut.
Aus dem Netz der Sophos kann ich nun zwar die Fritzbox B anpingen und erreichen, ich möchte das aber auch für Fritzbox A mit ihrem gesamten Netzwerk erreichen.
Wie und wo muss ich Routen eintragen, damit alles untereinander kommunizieren kann?
Falls die Idee aufkommt, Fritzbox B komplett mit der UTM zu ersetzen, das ich nicht möglich, da Fritzbox B eine Cable ist ;)
Ich bedanke mich im Voraus für Ideen und Tipps
ich habe aktuell ein Problem beim Einrichten von statischen Routen in meinem Netzwerk.
Ich habe folgenden Aufbau:
Fritzbox A - Netzwerk 192.168.31.0/24
Fritzbox B - Netzwerk 172.10.0.0/24
Sophos UTM - Netzwerk 192.168.4.0/24, verbunden per Exposed-Host zur Fritzbox B - WAN-IP 172.10.0.2
Beide Fritzboxen sind per Fritz-Site2Site-Tunnel verbunden, soweit so gut.
Aus dem Netz der Sophos kann ich nun zwar die Fritzbox B anpingen und erreichen, ich möchte das aber auch für Fritzbox A mit ihrem gesamten Netzwerk erreichen.
Wie und wo muss ich Routen eintragen, damit alles untereinander kommunizieren kann?
Falls die Idee aufkommt, Fritzbox B komplett mit der UTM zu ersetzen, das ich nicht möglich, da Fritzbox B eine Cable ist ;)
Ich bedanke mich im Voraus für Ideen und Tipps
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669237
Url: https://administrator.de/contentid/669237
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
macht die UTM am WAN nochmals NAT? Falls ja, sollte dies schon mal ausgeschaltet werden.
Zweitens. ändere Bitte das Transfernetz ab. Dein gewähltes Netz entsprich nicht dem RFC1918-Standard (Punkt 3). Für dein Vorhaben, belasse ich es aber unten bei 172.10.0.0/ 24, wenngleich das 172.10.0.0 den AMIs gehört: https://ipinfo.io/172.10.0.0
Dann brauchst du folgende Routen:
FritzBox A
Sophos UTM
Denke bei der UTM aber auch an die passenden Firewall-Regeln.
macht die UTM am WAN nochmals NAT? Falls ja, sollte dies schon mal ausgeschaltet werden.
Zweitens. ändere Bitte das Transfernetz ab. Dein gewähltes Netz entsprich nicht dem RFC1918-Standard (Punkt 3). Für dein Vorhaben, belasse ich es aber unten bei 172.10.0.0/ 24, wenngleich das 172.10.0.0 den AMIs gehört: https://ipinfo.io/172.10.0.0
Dann brauchst du folgende Routen:
FritzBox A
- Zielnetz: 192.168.4.0/ 24 -> 172.10.0.2
Sophos UTM
- Zielnetz: 192.168.31.0/ 24 -> 172.10.0.1
Denke bei der UTM aber auch an die passenden Firewall-Regeln.
lässt sich bei Fritzbox A jedoch nicht so eintragen, mit Gateway 172.10.0.2 sagt er unzulässige Route beim Speichern
Die Frage ist WIE die Sophos angebunden ist ob mit oder ohne NAT (IP Adress Translation) am Koppelport?
Wenn es ohne NAT ist musst du in der Fritzbox A das Netzwerk der Sophos in der VPN Konfig Datei unter "permit ip any 192.168.4.0 255.255.255.0", nachtragen, damit die Fritzbox A auch .4.0er Netzwerk Traffic in den VPN S2S Tunnel zur Fritte B routet. (IPsec Phase 2)
Siehe auch:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/230_Uber-IPSe ...
Weitere Infos zu Router Kaskaden mit Firewalls findest du HIER.
Hast du ein Wireguard basiertes VPN ist das ein entsprechender Eintrag in den AllowedIPs.
Leider ist deine Beschreibung in beiden obigen Punkten zu oberflächlich und man kann hier nur Kristallkugeln.
Eine kurze Skizze mit IP Adressierung der Komponenten und detailiertere VPN Infos würden für ein zielführendes Troubleshooting allen helfen.
Grundlagen zum IP Routing auch HIER. Das erklärt dir dann auch warum es Blödsinn ist ein next Hop Gateway auf eine IP zusetzen die am Router nicht vorhanden ist.
Der Fehler ist sehr wahrscheinlich dein VPN Setup in Fritte A.
Wenn es ohne NAT ist musst du in der Fritzbox A das Netzwerk der Sophos in der VPN Konfig Datei unter "permit ip any 192.168.4.0 255.255.255.0", nachtragen, damit die Fritzbox A auch .4.0er Netzwerk Traffic in den VPN S2S Tunnel zur Fritte B routet. (IPsec Phase 2)
Siehe auch:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/230_Uber-IPSe ...
Weitere Infos zu Router Kaskaden mit Firewalls findest du HIER.
Hast du ein Wireguard basiertes VPN ist das ein entsprechender Eintrag in den AllowedIPs.
Leider ist deine Beschreibung in beiden obigen Punkten zu oberflächlich und man kann hier nur Kristallkugeln.
Eine kurze Skizze mit IP Adressierung der Komponenten und detailiertere VPN Infos würden für ein zielführendes Troubleshooting allen helfen.
Grundlagen zum IP Routing auch HIER. Das erklärt dir dann auch warum es Blödsinn ist ein next Hop Gateway auf eine IP zusetzen die am Router nicht vorhanden ist.
Der Fehler ist sehr wahrscheinlich dein VPN Setup in Fritte A.
lässt sich bei Fritzbox A jedoch nicht so eintragen, mit Gateway 172.10.0.2
Weil die IP-Adresse/ das Netz eine weltweit erreichbare ist und vermutlich per Default ins WAN der Fritte gesendet wird.Ändere erst das Transfernetz ab, danach kannst du weiter schauen.
1
Zitat von @superfun2k24:
Hi,
ich habe aktuell ein Problem beim Einrichten von statischen Routen in meinem Netzwerk.
Ich habe folgenden Aufbau:
Fritzbox A - Netzwerk 192.168.31.0/24
Fritzbox B - Netzwerk 172.10.0.0/24
Sophos UTM - Netzwerk 192.168.4.0/24, verbunden per Exposed-Host zur Fritzbox B - WAN-IP 172.10.0.2
Beide Fritzboxen sind per Fritz-Site2Site-Tunnel verbunden, soweit so gut.
Aus dem Netz der Sophos kann ich nun zwar die Fritzbox B anpingen und erreichen, ich möchte das aber auch für Fritzbox A mit ihrem gesamten Netzwerk erreichen.
Wie und wo muss ich Routen eintragen, damit alles untereinander kommunizieren kann?
Falls die Idee aufkommt, Fritzbox B komplett mit der UTM zu ersetzen, das ich nicht möglich, da Fritzbox B eine Cable ist ;)
Ich bedanke mich im Voraus für Ideen und Tipps
Hi,
ich habe aktuell ein Problem beim Einrichten von statischen Routen in meinem Netzwerk.
Ich habe folgenden Aufbau:
Fritzbox A - Netzwerk 192.168.31.0/24
Fritzbox B - Netzwerk 172.10.0.0/24
Sophos UTM - Netzwerk 192.168.4.0/24, verbunden per Exposed-Host zur Fritzbox B - WAN-IP 172.10.0.2
Beide Fritzboxen sind per Fritz-Site2Site-Tunnel verbunden, soweit so gut.
Aus dem Netz der Sophos kann ich nun zwar die Fritzbox B anpingen und erreichen, ich möchte das aber auch für Fritzbox A mit ihrem gesamten Netzwerk erreichen.
Wie und wo muss ich Routen eintragen, damit alles untereinander kommunizieren kann?
Falls die Idee aufkommt, Fritzbox B komplett mit der UTM zu ersetzen, das ich nicht möglich, da Fritzbox B eine Cable ist ;)
Ich bedanke mich im Voraus für Ideen und Tipps
Check ich so nicht ganz,
hast du also eine Sophos UTM und 2 Internet Anschlüsse mit 2 Fritzboxen im selben Haus ?
Zum Stichwort mit UTM ersetzen, wenn das so ist, dann stell die Fritzboxen auf:
Bridge Mode und router direkt den internet anschluss in die firewall.
Und dann ist der einzigste router die Sophos, und fertig.
Intern definierst du 1 bis x VLANs die entsprechend mit Regeln auch definiert werden können über welchen Anschluss ausgehender Verkehr gehen soll, und eingehende IP Adressen am Internet Anschluss kannst du entsprechend rein NATen auf einen Internen Server (im DMZ VLAN) also wenn du was hosten solltest.... was aus dem Internet erreichbar sein soll.
Und dann kannst du alles per Firewall Rules definieren wer von wo wohin kommen kann und soll.
Und das Routing macht die Firewall komplett.
Vorteil alles hängt hinter der der Firwall und ist abgesichert, und nicht parallel und neben der Firewall in Fritzbox LANs (für was hast du den sonst ne Firewall?)
Aber wie gesagt ich hab nicht genau verstanden was du oben so meinst, handelt es sich um mehrere Standorte? Dann kannst meine Theorie natürlich vergessen...
Dann wäre ein VPN zwischen den FBs ja unsinnig wenn die Anschlüsse im selben Haus wären.
Der TO hat es sicher gedrückt aus etwas unglücklich aber realistischer sind (vermutlich) 2 Fritzbox Standorte A und B die per VPN gekoppelt sind (Protokoll unbekannt) und an Standort B betreibt er eine Router Kaskade mit Fritte B und einer kaskadierten Sophos Firewall dahinter. Ob mit oder ohne NAT hat der TO ja leider auch nicht beantwortet.
Eine Redesign ohne Kaskade wäre zweifelsohne technisch besser, löst aber wie ein nur Routing basierter Denkansatz das eigentliche Problem auch nicht.
Um der Fritzbox A zu sagen das sie den IP Traffic für das .4.0er Netz auch in den Site to Site VPN Tunnel zur Fritzbox B (und damit weiter zur Sophos) senden soll muss der TO seine VPN Konfig auf der Fritte A anpassen wie oben beschrieben. Nur so wird ein Schuh draus...
Nebenbei: Einzig ist schon einzigartig und lässt sich damit nicht mehr weiter steigern!
Der TO hat es sicher gedrückt aus etwas unglücklich aber realistischer sind (vermutlich) 2 Fritzbox Standorte A und B die per VPN gekoppelt sind (Protokoll unbekannt) und an Standort B betreibt er eine Router Kaskade mit Fritte B und einer kaskadierten Sophos Firewall dahinter. Ob mit oder ohne NAT hat der TO ja leider auch nicht beantwortet.
Eine Redesign ohne Kaskade wäre zweifelsohne technisch besser, löst aber wie ein nur Routing basierter Denkansatz das eigentliche Problem auch nicht.
Um der Fritzbox A zu sagen das sie den IP Traffic für das .4.0er Netz auch in den Site to Site VPN Tunnel zur Fritzbox B (und damit weiter zur Sophos) senden soll muss der TO seine VPN Konfig auf der Fritte A anpassen wie oben beschrieben. Nur so wird ein Schuh draus...
Nebenbei: Einzig ist schon einzigartig und lässt sich damit nicht mehr weiter steigern!
