18
Ping kommt nicht an die Firewall
Mahlzeit zusammen!
Ich bin momentan dabei eine Firewall in mein Netzwerk Zuhause zu integrieren. Es handelt sich um eine Sophos UTM 220 mit installiertem UTM 9 mit aktivierter Home Lizenz.
Und zwar hab ich Richtung Internet eine Fritzbox die als Modem fungiert. Es sind alle Dienste ausgeschaltet. Sie hat die IP (10.40.1.2).
Und ist über ein VLAN am Switch an das Wan Interface der Sophos angeschlossen. Dieses Interface hat die IP (10.40.1.1).
Und mein Rechner steckt am LAN Interface (10.10.1.1). Der Rechner hat die IP 10.10.1.100.
Wenn ich nun versuche mit dem Rechner die Fritzbox anzupingen dann kommen diese Pings nicht durch. In der Firewall Log kommen diese Pakete auch nicht an. Ich hab eine Regel erstellt die jeden Verkehr durchlässt.
Und jeweils zwei statische Routen, die jeweils alles ins andere Netz routen.
Vielleicht weiß jemand was man da tun kann?
Und zweite Frage, kann man die Firewall problemlos 24/7 in der Wohnung laufen lassen? Abgesehen von der Lautstärke? Wirklich warm wird Sie ja nicht.
Vielen Dank!
Gruß Phillip
Ich bin momentan dabei eine Firewall in mein Netzwerk Zuhause zu integrieren. Es handelt sich um eine Sophos UTM 220 mit installiertem UTM 9 mit aktivierter Home Lizenz.
Und zwar hab ich Richtung Internet eine Fritzbox die als Modem fungiert. Es sind alle Dienste ausgeschaltet. Sie hat die IP (10.40.1.2).
Und ist über ein VLAN am Switch an das Wan Interface der Sophos angeschlossen. Dieses Interface hat die IP (10.40.1.1).
Und mein Rechner steckt am LAN Interface (10.10.1.1). Der Rechner hat die IP 10.10.1.100.
Wenn ich nun versuche mit dem Rechner die Fritzbox anzupingen dann kommen diese Pings nicht durch. In der Firewall Log kommen diese Pakete auch nicht an. Ich hab eine Regel erstellt die jeden Verkehr durchlässt.
Und jeweils zwei statische Routen, die jeweils alles ins andere Netz routen.
Vielleicht weiß jemand was man da tun kann?
Und zweite Frage, kann man die Firewall problemlos 24/7 in der Wohnung laufen lassen? Abgesehen von der Lautstärke? Wirklich warm wird Sie ja nicht.
Vielen Dank!
Gruß Phillip
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1633397488
Url: https://administrator.de/contentid/1633397488
Printed on: April 24, 2024 at 02:04 o'clock
18 Comments
Latest comment
nun - zum ersten teil müsste man wissen was du eingestellt hast - normal würde die FW ja nen nat machen da dein Modem vermutlich nix von deinem Netz weiss... schön wenn die FW das weiss, das modem verwirft das Paket aber (bzw. sendet es ans default-gw - was idR. das Internet is...)
zum zweiten: warum sollte man das nicht laufen lassen können? Wenn dich Strom + Lärm nich stört dann sind die Geräte für gewöhnlich für 24/7 ausgelegt... würde mich wundern wenns da anders is.
zum zweiten: warum sollte man das nicht laufen lassen können? Wenn dich Strom + Lärm nich stört dann sind die Geräte für gewöhnlich für 24/7 ausgelegt... würde mich wundern wenns da anders is.
Stellt die Fritzbox deswegen auch öfters solche Broadcast Anfragen an die Firewall um herauszufinden wohin er senden soll?
Also muss ich im aller ersten Punkt in der Fritzbox das Gateway (wenn das geht) auf die 10.40.1.1 setzen? Woher weiß die Fritzbox denn wohin Sie ins Internet routet?
Und das NAT, stelle ich an der Firewall ein? Also muss ich dort alle Ports „weiterleiten“? Und die Firewall filtert dann über die Regeln?
Ja dann ist ja perfekt, mich hatte gestern Nacht nur der Rauchmelder geweckt. Hatte erst Sorgen das dass Gerät Schuld ist. Aber ich kann bei dem keine Batterien tauschen und da keine Rauchbildung war denke ich mal das es die Batterien waren dann.
Und die Lüfterdrehzahl kann man nicht irgendwie anpassen? Weil das Gerät ja keine Hitze produziert. Vielleicht über SSH / CLI konfiguration? Kann man auf normalen Linux Systemen ja auch.
Danke schonmal!
Also muss ich im aller ersten Punkt in der Fritzbox das Gateway (wenn das geht) auf die 10.40.1.1 setzen? Woher weiß die Fritzbox denn wohin Sie ins Internet routet?
Und das NAT, stelle ich an der Firewall ein? Also muss ich dort alle Ports „weiterleiten“? Und die Firewall filtert dann über die Regeln?
Ja dann ist ja perfekt, mich hatte gestern Nacht nur der Rauchmelder geweckt. Hatte erst Sorgen das dass Gerät Schuld ist. Aber ich kann bei dem keine Batterien tauschen und da keine Rauchbildung war denke ich mal das es die Batterien waren dann.
Und die Lüfterdrehzahl kann man nicht irgendwie anpassen? Weil das Gerät ja keine Hitze produziert. Vielleicht über SSH / CLI konfiguration? Kann man auf normalen Linux Systemen ja auch.
Danke schonmal!
Der Broadcast hat erst mal nix mit dem Routing direkt zu tun - da fragt die halt wer im lokalem Netzwerk (im selben IP-Range) ist. Das sagt der aber nicht wohin die was routen soll... DAS sagt die Default-Route, die idR. beim Router eben über den Provider mitgeteilt wird. Und jedes IP die aus einem unbekannten Netzwerk kommt geht halt ans Default-Gateway. Da ist das IP-Protokoll recht egoistisch: Wenn der eigene Router es nich weiss gibt ers an den nächsten -> soll der sich um das Problem kümmern. Würde dein Provider auch tun - aber DEREN Router wissen das die eben aus den privaten Netzen die IPs einfach nur in die virtuelle Mülltonne werfen und fertig.
Du müsstest bei deiner Fritte (wenns geht - ka. hab lange keine mehr benutzt) sagen das die das Netzwerk 10.10.1.0/24 hinter dem Gateway 10.40.1.1 findet (und dem GW natürlich erlauben zu routen).
Ich VERMUTE aber du suchst wirklich nur das NAT in deiner Firewall da ich nicht glaube das du mit Routing da arbeiten würdest. Von dem was ich lese und _GLAUBE_ daraus zu verstehen würde das zumindest naheliegen. Damit hast du dann halt nen normales doppeltes NAT mit allen vor- und nachteilen ...
Was deinen Rauchmelder angeht: Nun, wenn du keinen Rauch siehst und da auch keiner war -> warum soll der denn losgehen? Den interessiert idR. eben NUR Rauch (daher der Name), selbst wenn du nen glühend heisses Metallstück hinlegst wird den das nich kümmern solang es eben nich raucht ;).
Was die Lüfterdrehzahl angeht weiss ichs auch nicht - ich würde aber ggf. eher gucken ob man den Lüfter gegen nen Silent-Modell tauschen kann... Es ist zwar nicht zu erwarten das die bei dir auf viel Wärme kommt (ich vermute mal die steht in spätestens 2-3 Wochen eh auf "any / any - allow"). Aber normal sind die Geräte nich darauf ausgelegt das man die Lüfter runterdreht weils eben für gewöhnlich irgendwo in nem extra raum steht (bzw im Rack hängt). Hier is es auch eigentlich einfach: Bei 19" Geräten: Je flacher umso kleiner die Lüfter -> höhere Drehzahl -> mehr Lärm...
Du müsstest bei deiner Fritte (wenns geht - ka. hab lange keine mehr benutzt) sagen das die das Netzwerk 10.10.1.0/24 hinter dem Gateway 10.40.1.1 findet (und dem GW natürlich erlauben zu routen).
Ich VERMUTE aber du suchst wirklich nur das NAT in deiner Firewall da ich nicht glaube das du mit Routing da arbeiten würdest. Von dem was ich lese und _GLAUBE_ daraus zu verstehen würde das zumindest naheliegen. Damit hast du dann halt nen normales doppeltes NAT mit allen vor- und nachteilen ...
Was deinen Rauchmelder angeht: Nun, wenn du keinen Rauch siehst und da auch keiner war -> warum soll der denn losgehen? Den interessiert idR. eben NUR Rauch (daher der Name), selbst wenn du nen glühend heisses Metallstück hinlegst wird den das nich kümmern solang es eben nich raucht ;).
Was die Lüfterdrehzahl angeht weiss ichs auch nicht - ich würde aber ggf. eher gucken ob man den Lüfter gegen nen Silent-Modell tauschen kann... Es ist zwar nicht zu erwarten das die bei dir auf viel Wärme kommt (ich vermute mal die steht in spätestens 2-3 Wochen eh auf "any / any - allow"). Aber normal sind die Geräte nich darauf ausgelegt das man die Lüfter runterdreht weils eben für gewöhnlich irgendwo in nem extra raum steht (bzw im Rack hängt). Hier is es auch eigentlich einfach: Bei 19" Geräten: Je flacher umso kleiner die Lüfter -> höhere Drehzahl -> mehr Lärm...
Okay danke!
Ja wie das Gateway generell arbeitet hab ich schon oft im Packet Tracer durch probiert.
Also muss ich das Gateway in der Fritzbox anpassen. Und die statischen Routen sind ja hinterlegt. (Dest: 10.10.1.0 -> Int: LAN) & (Dest: 10.40.1.0 -> WAN). Aber er kommt damit irgendwie nicht klar…
Trage ich dann im WAN Interface als Gateway die 10.40.1.2 ein und in der Fritze als GW die 10.40.1.1?
Also wenn ich das richtig verstehe, ich muss NAT aufjedenfall konfigurieren?
Ja hast da wohl recht, aber man hatte sich dennoch Sorgen gemacht :/
Ja bei mir steht das Ding hintermir im Büro, schön ist es nicht aber gibt schlimmeres 😅
Ja wie das Gateway generell arbeitet hab ich schon oft im Packet Tracer durch probiert.
Also muss ich das Gateway in der Fritzbox anpassen. Und die statischen Routen sind ja hinterlegt. (Dest: 10.10.1.0 -> Int: LAN) & (Dest: 10.40.1.0 -> WAN). Aber er kommt damit irgendwie nicht klar…
Trage ich dann im WAN Interface als Gateway die 10.40.1.2 ein und in der Fritze als GW die 10.40.1.1?
Also wenn ich das richtig verstehe, ich muss NAT aufjedenfall konfigurieren?
Ja hast da wohl recht, aber man hatte sich dennoch Sorgen gemacht :/
Ja bei mir steht das Ding hintermir im Büro, schön ist es nicht aber gibt schlimmeres 😅
hab ich Richtung Internet eine Fritzbox die als Modem fungiert.
Eine FritzBox kann nicht als reines Modem agieren ! Was du da betreibst ist eine klassische Router Kaskade mit doppeltem NAT und doppeltem Firewalling.Das ist technisch zu einer reinen Modemfunktion wie die eines Vigor 165 oder Zyxel VMG3006 ein Unterschied da die PPPoE Session (Internet) nicht direkt auf der Firewall terminiert wird sondern auf dem kaskadierten Router davor. Technisch nicht optimal aber machbar.
Die einzige FritzBox die das kann (PPPoE Passthrough) ist die 7412:
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Ping (ICMP Protokoll) geht deshalb nicht weil es in Firewalls generell deaktiviert ist. Du kannst das aber in der Sophos im Setup freigeben.
Moin,
Fange wir mal vorne an:
In deinem Konstrukt müsste die FRITZ!Box ohnehin alleine NAT machen. Dann muss das die SG nicht übernehmen.
Anschließen, wie schon geschrieben, muss du in der Fritte eine statische Route setzen:
Zielnetz: 10.10.1.0/24
Gateway: 10.40.1.1 (IP der SG)
Dann: Kannst du von der SG aus die FritzBox Pingen?
Ist das erfolgreich, geht es an den Client. Wichtig: ICMP muss als Services zugelassen sein (Network Protection).
Wenn das auch anschließend geht: an der Fritte den Zugriff aus „fremden Netzen“ erlauben. So oder so ähnlich lautet das. Dann kannst du auf die WebGUI der Fritte zugreifen.
Fange wir mal vorne an:
In deinem Konstrukt müsste die FRITZ!Box ohnehin alleine NAT machen. Dann muss das die SG nicht übernehmen.
Anschließen, wie schon geschrieben, muss du in der Fritte eine statische Route setzen:
Zielnetz: 10.10.1.0/24
Gateway: 10.40.1.1 (IP der SG)
Dann: Kannst du von der SG aus die FritzBox Pingen?
Ist das erfolgreich, geht es an den Client. Wichtig: ICMP muss als Services zugelassen sein (Network Protection).
Wenn das auch anschließend geht: an der Fritte den Zugriff aus „fremden Netzen“ erlauben. So oder so ähnlich lautet das. Dann kannst du auf die WebGUI der Fritte zugreifen.
Anschließen, wie schon geschrieben, muss du in der Fritte eine statische Route setzen:
Dann muss / sollte aber zwingend das NAT auf der Sophos deaktiviert sein.Grundlagen zu einem reinen Routing Setup ohne NAT auch HIER.
Jo, NAT an der SG muss aus bleiben.
Hinzu kommt noch, dass, wenn die FRITZ!Box die Einwahl übernimmt, die DNS-Server in der SG auf die FRITZ!Box eingestellt werden müssen.
Ferner muss die Default-Route in der SG ebenfalls auf die IP der FRITZ!Box verweisen…
Hinzu kommt noch, dass, wenn die FRITZ!Box die Einwahl übernimmt, die DNS-Server in der SG auf die FRITZ!Box eingestellt werden müssen.
Ferner muss die Default-Route in der SG ebenfalls auf die IP der FRITZ!Box verweisen…
1
Also… Ich konnte die Route nicht in der Fritzbox eingeben. Es handelt sich um eine Fritzbox 7530.
Im Anhang hab ich einmal ein Bild dazu angefügt.
Vermute mal das ich da irgendwo noch ein Fehler hab…
Auf der Sophos ist halt eine Maskierungsregel aktiv:
Lan -> WAN (Erste Adresse)
Im Anhang hab ich einmal ein Bild dazu angefügt.
Vermute mal das ich da irgendwo noch ein Fehler hab…
Auf der Sophos ist halt eine Maskierungsregel aktiv:
Lan -> WAN (Erste Adresse)
Ich konnte die Route nicht in der Fritzbox eingeben. Es handelt sich um eine Fritzbox 7530.
Komisch...Millionen andere Nutzer können das.Sieh dir bitte dazu noch einmal den Quatsch an den du da als statische Route eingegeben hast.
Du definierst eine statische Route in ein für die FB unbekanntes IP Netz und das Gateway dahin liegt ebenso in genu dem unbekannten IP Netz und ist so für die FritzBox logischerweise unereichbar.
Kein Wunder also das die FritzBox sich zu Recht bei solch einem nicht zulässigen Unsinn beschwert !
Das Gateway in ein unbekanntes Netz einer statischen Route muss doch logicherweise immer lokal erreichbar sein !!! Wie sollte es denn auch sonst gehen...?!
Beamen wie bei Scotty kann die FritzBox (noch) nicht !!
Vielleicht solltest du dir erstmal ein paar simple IP Routing Grundlagen zu Gemüte führen bevor du weitermachst:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Beachte insbesondere den "Paket Walk" dort.
Stimmt du sagst da was… Ich hab jetzt versucht mit der Route in das Destination Netz: 10.10.1.0 über das Gateway 10.40.1.1 (da es sich ja im lokalen Netz befindet). Gleicher Fehler…
Bzw mit „IPv4 Netz“ ist vermutlich die Destination gemeint oder?
Bzw mit „IPv4 Netz“ ist vermutlich die Destination gemeint oder?
Ps: Die Rückroute muss dann ja auf der Sophos konfiguriert werden meiner Meinung nach. Oder liege ich dort auch falsch?
Kenne es halt nur aus den „CLI Befehlen“
Destination Subnetz Gateway
Kenne es halt nur aus den „CLI Befehlen“
Destination Subnetz Gateway
Bzw mit „IPv4 Netz“ ist vermutlich die Destination gemeint oder?
Ja, das ist das Zielnetz ! Beachte dabei die Subnetz Masken ! Es ist möglich das sich die bei dir ggf. durch Fehler überschneiden, das mag die FritzBox dann auch nicht und quittiert es zu Recht mit einem Fehler.Vermutlich hast du als Gateway eine falsche IP eingegeben ?! Die .1 ist ja in dem meisten Fällen die FritzBox selber. Achte darauf !
Die Rückroute muss dann ja auf der Sophos konfiguriert werden meiner Meinung nach.
Das ist richtig !Arbeitet die Sophos mit der FritzBox in einer klassischen Kaskade ??
Wenn ja, dann reicht einfach eine Default Route auf die FritzBox IP.
Ja, also die Subnetzmasken hab ich erstmal auf das 24er gesetzt. Daher sind das überall
die selben. Die IP der Fritzbox hab ich schon umgestellt und diese ist auf der 10.40.1.2 erreichbar wie auf dem Screenshot zu sehen. Von Geräten die in dem Netz sind können auch untereinander kommunizieren. Sprich WLAN auf der Fritze ist an, aber DHCP übernimmt die Sophos genauso wie DNS. Hab als Sekundären DNS aber den Cloudflare DNS eingetragen.
Ob Sie in einer Kaskade arbeiten kann ich dir nicht genau sagen. Die Fritzbox hat nur eine statische IP bekommen, DNS und DHCP übernimmt die Sophos und das klappt auch soweit.
In der Schnittstellen Konfiguration des WAN Interfaces ist als Gateway die Fritzbox angegeben. Muss ich dort das deaktivieren und das per Routen realisieren?
Auf der Sophos sind jetzt zwei statische Routen:
- InterfaCe Route: Wan -> Wan Interface
- Interface Route: LAN -> Lan Interface
die selben. Die IP der Fritzbox hab ich schon umgestellt und diese ist auf der 10.40.1.2 erreichbar wie auf dem Screenshot zu sehen. Von Geräten die in dem Netz sind können auch untereinander kommunizieren. Sprich WLAN auf der Fritze ist an, aber DHCP übernimmt die Sophos genauso wie DNS. Hab als Sekundären DNS aber den Cloudflare DNS eingetragen.
Ob Sie in einer Kaskade arbeiten kann ich dir nicht genau sagen. Die Fritzbox hat nur eine statische IP bekommen, DNS und DHCP übernimmt die Sophos und das klappt auch soweit.
In der Schnittstellen Konfiguration des WAN Interfaces ist als Gateway die Fritzbox angegeben. Muss ich dort das deaktivieren und das per Routen realisieren?
Auf der Sophos sind jetzt zwei statische Routen:
- InterfaCe Route: Wan -> Wan Interface
- Interface Route: LAN -> Lan Interface
Ich kann die Route auf der Fritzbox hinzufügen, aber diese Aktiv zu schalten stellt sich als Problematisch heraus… Da kommt die oben angezeigte Fehlermeldung.
Laut Google wenn das Gateway nicht in seinem Netz befindet, aber es ist ja im selben Subnetz..
Laut Google wenn das Gateway nicht in seinem Netz befindet, aber es ist ja im selben Subnetz..
aber diese Aktiv zu schalten stellt sich als Problematisch heraus
Da muss der Fehler dann aber zw. den Kopfhörern liegen ! 
Nur um dir einmal das Grundprinzip klarzumachen....
Ja hab es jetzt auch hinbekommen gestern Abend.
Der Fehler lag an der Fritzbox. Diese hatte sich irgendwie verfressen...
Sobald ich die neu gestartet hab lief alles komischerweise. Erklärt sich für mich nur nicht wieso die Pakete vorher nicht bei der Firewall ankamen. Ich meine die Pakete müssen ja erst durch die FW durchgeroutet werden.
Naja es läuft! Und jetzt hab ich 5 Netze hier am laufen und das Routing klappt auch.
Danke nochmal!
Der Fehler lag an der Fritzbox. Diese hatte sich irgendwie verfressen...
Sobald ich die neu gestartet hab lief alles komischerweise. Erklärt sich für mich nur nicht wieso die Pakete vorher nicht bei der Firewall ankamen. Ich meine die Pakete müssen ja erst durch die FW durchgeroutet werden.
Naja es läuft! Und jetzt hab ich 5 Netze hier am laufen und das Routing klappt auch.
Danke nochmal!
👍
Bitte dann auch nicht vergessen den Thread hier als erledigt zu schliessen !
How can I mark a post as solved?
Danke nochmal!
Immer gerne !Bitte dann auch nicht vergessen den Thread hier als erledigt zu schliessen !
How can I mark a post as solved?
