bpraba
Goto Top

Hilfe zur Sophos

Hallo,

Ich habe die Tage die Sophos Engineer Schulung besucht, als absoluter Neuling.
Da ich kein Meister bin, der vom Himmel gefallen ist, werde ich mich die nächsten Tage und Wochen ein wenig mit der Sophos XGS beschäftigen und diverse Szenarien nachbauen und probieren.

Ich habe dazu ein paar Fragen, vielleicht mag mir jemand dabei helfen:

Szenario A:
Port 1 = Verwaltungsnetz 192.168.1.xxx
Port 2 = Werkstattnetz 192.168.10.xxx
Port 3 = WAN

Habe ich hier die Möglichkeit, für das Verwaltungsnetz + das Werkstattnetz jeweils ein eigenes WLAN zu erstellen, was den DHCP Server von den jeweiligen Netzen nutzt? Hier muss ich mit VLANs arbeiten, oder geht das auch so? Wie löst ihr das?


Szenario B:
vorhanden ist Port 1 = Alles - sprich Verwaltungsnetz + Voip TK-Anlage
Dieses würde ich gerne in Zukunft mal trennen. Laut meinem Vorgänger hat er das wegen CTI gedöns nicht getrennt. Ich sehe das etwas anders und würde es gerne trennen. Wie macht ihr das? Installiert Ihr die CSTA / Tapi Sachen im Extra Telefonie-Netz und Routet später die CTI Anwendungen?

VG und vorab vielen Dank für die Info
BpRaBa

Content-Key: 7918225564

Url: https://administrator.de/contentid/7918225564

Printed on: May 26, 2024 at 06:05 o'clock

Member: Pjordorf
Pjordorf Jul 21, 2023 at 22:50:51 (UTC)
Goto Top
Hallo,

Zitat von @BpRaBa:
Ich habe die Tage die Sophos Engineer Schulung besucht, als absoluter Neuling.
Also als Bäcker-Lehrling? Und da dann ca. 1800 EUR und min. 3 Tage vergeudet, oder? Wars das Sophos XG/XGS Firewall Basics oder schon Sophos Certified Engineer mit abschluss Prüfung?

Habe ich hier die Möglichkeit, für das Verwaltungsnetz + das Werkstattnetz jeweils ein eigenes WLAN zu erstellen,
Ja.

was den DHCP Server von den jeweiligen Netzen nutzt?
Auch Ja.

Hier muss ich mit VLANs arbeiten, oder geht das auch so? Wie löst ihr das?
vLANs - Ja. Oder halt mehr Kabel ziehen unf mehr Switche hinstellen.

Dieses würde ich gerne in Zukunft mal trennen.
OK. vLAN ist dein Freund

Ich sehe das etwas anders und würde es gerne trennen.
Nicht alles was du trennen kannst funktioniert danach ohne weitere HW/SW. Es kommt halt darauf an.

Installiert Ihr die CSTA / Tapi Sachen im Extra Telefonie-Netz und Routet später die CTI Anwendungen?
z.B. so. Es kommt halt darauf an. Bei z.B. nur einem Telefon im VOIP Netz... oder 1000 VOIP Teilnehmer...

Gruß,
Peter
Member: BpRaBa
BpRaBa Jul 22, 2023 at 07:31:03 (UTC)
Goto Top
Moin Peter,

Es war schon die Sophos Certified Engineer mit Prüfung (Hab diese sogar bestanden) face-smile
Nein als Bäckerneuling auch nicht - komme schon aus dem Netzwerkbereich, so das vLAN schon Verständliche Wörter sind :-p

Ich habe vor Jahren mit der Astaro schon gearbeitet - bin dann aber komplett in die ITK Schiene gewechselt und würde mich jetzt gerne wieder in das Thema Firewall einarbeiten. Vielleicht war "absoluter Neuling" falsch ausgedrückt. Komplett ohne Praxis Erfahrung glaub klingt dann besser.

VG
BpRaBa
Member: BpRaBa
BpRaBa Jul 22, 2023 at 07:35:50 (UTC)
Goto Top
Vielleicht mag / kann mir hier jemand sagen, wo mein Fehler liegt:

screenshot 2023-07-22 093132

Ich würde gerne den Port 6060 mit dem Dienst TCP weiterleiten vom WAN ins LAN auf den NCTI Server.
NCTI ist der Richtige Server per IP hinterlegt und der Dienst steht auf TCP 6060.

nat

hier noch die hoffentlich passende NAT Regel.
Member: LauneBaer
LauneBaer Jul 22, 2023 at 07:40:28 (UTC)
Goto Top
Bitte teile uns mal deine genaue Konfiguration (IP Bereiche) mit. Wie hängt die Sophos am Internet?
Member: BpRaBa
BpRaBa Jul 22, 2023 at 07:49:40 (UTC)
Goto Top
Zitat von @LauneBaer:

Bitte teile uns mal deine genaue Konfiguration (IP Bereiche) mit. Wie hängt die Sophos am Internet?

Vorne hängt eine FB mit dem IP Bereich 192.168.179.xxx
DIE FB hat die 179.1 → die Sophos hat die 179.21 im WAN Eingang (auf der Sophos Port 2)
→ hier ist "Exposed Host" eingerichtet

Sophos Port 1 für mein Test mit dem IP Bereich 192.168.178.xxx
der NCTI Server hat die 192.168.178.77
Member: clSchak
clSchak Jul 22, 2023 updated at 10:14:14 (UTC)
Goto Top
Hi

die NAT Regel scheint ok, da sind ja auch "Hits" drauf (letzte Spalte), du musst auch eine passende FW Regel anlegen die das dann auch erlaubt.

Edit / Add: einfacher geht es mit der Webserver-Veröffentlichung Funktion, dann werden alle Regeln passend erstellt.

Edit / Add2: der IP Bereich sieht nach AVM FritzBox aus, gruselig face-smile

Edit / Add3: ups, der ersten Screenshot mit der FW Regel nicht gesehen, allerdings muss der auch die Rückregel haben, das eine beidseitige Kommunikation möglich ist. Und die default NAT Regel für ausgehenden Traffic muss auch existieren.

Nr. 4: Das Livelog sagt ihr eigentlich auch, an welcher Stelle es hackt.
Member: commodity
commodity Jul 22, 2023 updated at 10:20:23 (UTC)
Goto Top
Peter frisst gern Neulinge... Offenbar seine Art, sich abzureagieren.

Mir ist nicht ganz klar, was die Fragen im Ausgangspost mit dem Regelwerk zu tun haben face-smile
Wenn Du mit Firewall durchstarten willst, ist die Sophos sicher kein geeignetes Gerät. Das nötige Basiswissen bekommst Du eher durch eine Sense. Und den dazu passenden Tutorials nebst wertvollster Live-Unterstützung - günstiger und tausendmal besser als jede Engineer-Schulung - hier vom Kollegen @aqui.

Für die Sophos, ist Deine Regelfrage hier erklärt:
(Wenn ich das richtig sehe, fehlt in Deinem Fall die eigentliche NAT-Rule ("Specify the NAT rule settings" - ganz oben im Link): https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onli ...

Die (dann) vier Regeln machen nach meinem Verständnis Folgendes (bin aber gänzlich unzertifiziert face-big-smile):

1. Destination NAT (DNAT) einrichten
2. Firewall-Regel WAN-Webserver
3. Firewall-Regel LAN-Webserver
4. Firewall-Regel Webserver-überall

Viele Grüße, commodity
Member: aqui
aqui Jul 22, 2023 at 10:17:26 (UTC)
Goto Top
Grundlagen zum Thema Firewall und VLAN findest du, wie immer, HIER.
Wie das in Verbindung mit einer Router Kaskade arbeitet HIER.
Die beiden Threads erklären alles was man zu der Thematik wissen muss. face-wink
Member: Pjordorf
Pjordorf Jul 22, 2023 at 14:52:33 (UTC)
Goto Top
Hallo,

Zitat von @BpRaBa:
Vorne hängt eine FB mit dem IP Bereich 192.168.179.xxx
Das Gastnetz deiner Fritte?
→ hier ist "Exposed Host" eingerichtet

der NCTI Server hat die 192.168.178.77
Im normalen Frittennetz?

Gruß,
Peter