9
Hilfe zur Sophos
Hallo,
Ich habe die Tage die Sophos Engineer Schulung besucht, als absoluter Neuling.
Da ich kein Meister bin, der vom Himmel gefallen ist, werde ich mich die nächsten Tage und Wochen ein wenig mit der Sophos XGS beschäftigen und diverse Szenarien nachbauen und probieren.
Ich habe dazu ein paar Fragen, vielleicht mag mir jemand dabei helfen:
Szenario A:
Port 1 = Verwaltungsnetz 192.168.1.xxx
Port 2 = Werkstattnetz 192.168.10.xxx
Port 3 = WAN
Habe ich hier die Möglichkeit, für das Verwaltungsnetz + das Werkstattnetz jeweils ein eigenes WLAN zu erstellen, was den DHCP Server von den jeweiligen Netzen nutzt? Hier muss ich mit VLANs arbeiten, oder geht das auch so? Wie löst ihr das?
Szenario B:
vorhanden ist Port 1 = Alles - sprich Verwaltungsnetz + Voip TK-Anlage
Dieses würde ich gerne in Zukunft mal trennen. Laut meinem Vorgänger hat er das wegen CTI gedöns nicht getrennt. Ich sehe das etwas anders und würde es gerne trennen. Wie macht ihr das? Installiert Ihr die CSTA / Tapi Sachen im Extra Telefonie-Netz und Routet später die CTI Anwendungen?
VG und vorab vielen Dank für die Info
BpRaBa
Ich habe die Tage die Sophos Engineer Schulung besucht, als absoluter Neuling.
Da ich kein Meister bin, der vom Himmel gefallen ist, werde ich mich die nächsten Tage und Wochen ein wenig mit der Sophos XGS beschäftigen und diverse Szenarien nachbauen und probieren.
Ich habe dazu ein paar Fragen, vielleicht mag mir jemand dabei helfen:
Szenario A:
Port 1 = Verwaltungsnetz 192.168.1.xxx
Port 2 = Werkstattnetz 192.168.10.xxx
Port 3 = WAN
Habe ich hier die Möglichkeit, für das Verwaltungsnetz + das Werkstattnetz jeweils ein eigenes WLAN zu erstellen, was den DHCP Server von den jeweiligen Netzen nutzt? Hier muss ich mit VLANs arbeiten, oder geht das auch so? Wie löst ihr das?
Szenario B:
vorhanden ist Port 1 = Alles - sprich Verwaltungsnetz + Voip TK-Anlage
Dieses würde ich gerne in Zukunft mal trennen. Laut meinem Vorgänger hat er das wegen CTI gedöns nicht getrennt. Ich sehe das etwas anders und würde es gerne trennen. Wie macht ihr das? Installiert Ihr die CSTA / Tapi Sachen im Extra Telefonie-Netz und Routet später die CTI Anwendungen?
VG und vorab vielen Dank für die Info
BpRaBa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7918225564
Url: https://administrator.de/contentid/7918225564
Printed on: April 27, 2024 at 07:04 o'clock
9 Comments
Latest comment
Hallo,
Also als Bäcker-Lehrling? Und da dann ca. 1800 EUR und min. 3 Tage vergeudet, oder? Wars das Sophos XG/XGS Firewall Basics oder schon Sophos Certified Engineer mit abschluss Prüfung?
Gruß,
Peter
Also als Bäcker-Lehrling? Und da dann ca. 1800 EUR und min. 3 Tage vergeudet, oder? Wars das Sophos XG/XGS Firewall Basics oder schon Sophos Certified Engineer mit abschluss Prüfung?
Habe ich hier die Möglichkeit, für das Verwaltungsnetz + das Werkstattnetz jeweils ein eigenes WLAN zu erstellen,
Ja.was den DHCP Server von den jeweiligen Netzen nutzt?
Auch Ja.Hier muss ich mit VLANs arbeiten, oder geht das auch so? Wie löst ihr das?
vLANs - Ja. Oder halt mehr Kabel ziehen unf mehr Switche hinstellen.Dieses würde ich gerne in Zukunft mal trennen.
OK. vLAN ist dein FreundIch sehe das etwas anders und würde es gerne trennen.
Nicht alles was du trennen kannst funktioniert danach ohne weitere HW/SW. Es kommt halt darauf an.Installiert Ihr die CSTA / Tapi Sachen im Extra Telefonie-Netz und Routet später die CTI Anwendungen?
z.B. so. Es kommt halt darauf an. Bei z.B. nur einem Telefon im VOIP Netz... oder 1000 VOIP Teilnehmer...Gruß,
Peter
Moin Peter,
Es war schon die Sophos Certified Engineer mit Prüfung (Hab diese sogar bestanden)
Nein als Bäckerneuling auch nicht - komme schon aus dem Netzwerkbereich, so das vLAN schon Verständliche Wörter sind :-p
Ich habe vor Jahren mit der Astaro schon gearbeitet - bin dann aber komplett in die ITK Schiene gewechselt und würde mich jetzt gerne wieder in das Thema Firewall einarbeiten. Vielleicht war "absoluter Neuling" falsch ausgedrückt. Komplett ohne Praxis Erfahrung glaub klingt dann besser.
VG
BpRaBa
Es war schon die Sophos Certified Engineer mit Prüfung (Hab diese sogar bestanden)
Nein als Bäckerneuling auch nicht - komme schon aus dem Netzwerkbereich, so das vLAN schon Verständliche Wörter sind :-p
Ich habe vor Jahren mit der Astaro schon gearbeitet - bin dann aber komplett in die ITK Schiene gewechselt und würde mich jetzt gerne wieder in das Thema Firewall einarbeiten. Vielleicht war "absoluter Neuling" falsch ausgedrückt. Komplett ohne Praxis Erfahrung glaub klingt dann besser.
VG
BpRaBa
Vielleicht mag / kann mir hier jemand sagen, wo mein Fehler liegt:
Ich würde gerne den Port 6060 mit dem Dienst TCP weiterleiten vom WAN ins LAN auf den NCTI Server.
NCTI ist der Richtige Server per IP hinterlegt und der Dienst steht auf TCP 6060.
hier noch die hoffentlich passende NAT Regel.
Ich würde gerne den Port 6060 mit dem Dienst TCP weiterleiten vom WAN ins LAN auf den NCTI Server.
NCTI ist der Richtige Server per IP hinterlegt und der Dienst steht auf TCP 6060.
hier noch die hoffentlich passende NAT Regel.
Bitte teile uns mal deine genaue Konfiguration (IP Bereiche) mit. Wie hängt die Sophos am Internet?
Zitat von @LauneBaer:
Bitte teile uns mal deine genaue Konfiguration (IP Bereiche) mit. Wie hängt die Sophos am Internet?
Bitte teile uns mal deine genaue Konfiguration (IP Bereiche) mit. Wie hängt die Sophos am Internet?
Vorne hängt eine FB mit dem IP Bereich 192.168.179.xxx
DIE FB hat die 179.1 → die Sophos hat die 179.21 im WAN Eingang (auf der Sophos Port 2)
→ hier ist "Exposed Host" eingerichtet
Sophos Port 1 für mein Test mit dem IP Bereich 192.168.178.xxx
der NCTI Server hat die 192.168.178.77
Hi
die NAT Regel scheint ok, da sind ja auch "Hits" drauf (letzte Spalte), du musst auch eine passende FW Regel anlegen die das dann auch erlaubt.
Edit / Add: einfacher geht es mit der Webserver-Veröffentlichung Funktion, dann werden alle Regeln passend erstellt.
Edit / Add2: der IP Bereich sieht nach AVM FritzBox aus, gruselig
Edit / Add3: ups, der ersten Screenshot mit der FW Regel nicht gesehen, allerdings muss der auch die Rückregel haben, das eine beidseitige Kommunikation möglich ist. Und die default NAT Regel für ausgehenden Traffic muss auch existieren.
Nr. 4: Das Livelog sagt ihr eigentlich auch, an welcher Stelle es hackt.
die NAT Regel scheint ok, da sind ja auch "Hits" drauf (letzte Spalte), du musst auch eine passende FW Regel anlegen die das dann auch erlaubt.
Edit / Add: einfacher geht es mit der Webserver-Veröffentlichung Funktion, dann werden alle Regeln passend erstellt.
Edit / Add2: der IP Bereich sieht nach AVM FritzBox aus, gruselig
Edit / Add3: ups, der ersten Screenshot mit der FW Regel nicht gesehen, allerdings muss der auch die Rückregel haben, das eine beidseitige Kommunikation möglich ist. Und die default NAT Regel für ausgehenden Traffic muss auch existieren.
Nr. 4: Das Livelog sagt ihr eigentlich auch, an welcher Stelle es hackt.
Peter frisst gern Neulinge... Offenbar seine Art, sich abzureagieren.
Mir ist nicht ganz klar, was die Fragen im Ausgangspost mit dem Regelwerk zu tun haben
Wenn Du mit Firewall durchstarten willst, ist die Sophos sicher kein geeignetes Gerät. Das nötige Basiswissen bekommst Du eher durch eine Sense. Und den dazu passenden Tutorials nebst wertvollster Live-Unterstützung - günstiger und tausendmal besser als jede Engineer-Schulung - hier vom Kollegen @aqui.
Für die Sophos, ist Deine Regelfrage hier erklärt:
(Wenn ich das richtig sehe, fehlt in Deinem Fall die eigentliche NAT-Rule ("Specify the NAT rule settings" - ganz oben im Link): https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onli ...
Die (dann) vier Regeln machen nach meinem Verständnis Folgendes (bin aber gänzlich unzertifiziert
):
1. Destination NAT (DNAT) einrichten
2. Firewall-Regel WAN-Webserver
3. Firewall-Regel LAN-Webserver
4. Firewall-Regel Webserver-überall
Viele Grüße, commodity
Mir ist nicht ganz klar, was die Fragen im Ausgangspost mit dem Regelwerk zu tun haben
Wenn Du mit Firewall durchstarten willst, ist die Sophos sicher kein geeignetes Gerät. Das nötige Basiswissen bekommst Du eher durch eine Sense. Und den dazu passenden Tutorials nebst wertvollster Live-Unterstützung - günstiger und tausendmal besser als jede Engineer-Schulung - hier vom Kollegen @aqui.
Für die Sophos, ist Deine Regelfrage hier erklärt:
(Wenn ich das richtig sehe, fehlt in Deinem Fall die eigentliche NAT-Rule ("Specify the NAT rule settings" - ganz oben im Link): https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onli ...
Die (dann) vier Regeln machen nach meinem Verständnis Folgendes (bin aber gänzlich unzertifiziert
):1. Destination NAT (DNAT) einrichten
2. Firewall-Regel WAN-Webserver
3. Firewall-Regel LAN-Webserver
4. Firewall-Regel Webserver-überall
Viele Grüße, commodity
Hallo,
Das Gastnetz deiner Fritte?
Gruß,
Peter
Das Gastnetz deiner Fritte?
→ hier ist "Exposed Host" eingerichtet
der NCTI Server hat die 192.168.178.77
Im normalen Frittennetz?Gruß,
Peter
1