knorkator
Goto Top

Sonicwall - WAN-Subnetz Probleme

Hallo zusammen,

Ich habe bei Dokom21 ein Subnetz gebucht und habe Probleme mit dem Forwarding.
Da weder Sonicwall noch Dokom21 den Fehler bei sich bzw. den eigenen Produkten sehen, hoffe ich, dass jemand nen Tipp hat.

Im Gegensatz zu unserem Telekom-Subnetz "hängt" das Dokom21-Subnetz nicht an der WAN-IP sondern muss "separat" konfiguriert werden.
WAN-IP 222.222.222.23/29 mit GW 222.222.222.17
Subnetz: 85.22.65.40/29
Sonicwall hat hierzu einen KB-Eintrag welchen ich brav abgearbeitet und schon mit Sonicwall diskutiert habe.
Ein anderer Weg von 2013 funktioniert auch nicht

Zu Testzwecken habe ich ein ICMP-NAT für die .41 aus dem Subnetz eingerichtet und warte seitdem auf Ping-Antworten.
Ping-Anforderung von Extern: 92.72.215.46
Annahme auf WAN-IP: 222.222.222.23
NAT-Regel für die .41 > Interner Server

Im NAT-Eintrag sowie in der Access-Rule werden die Pakete protokolliert und ich bin mittlerweile soweit, dass ich einen Switch zwischen dem WAN-Port der Sonicwall und dem Dokom21-Router gehangen habe um die Pakete mitzuschneiden. Ich hoffe, das Anhängen des Bildes funktioniert.

Ich bin jetzt nicht so der Paket-Experte, aber für mich sieht es so aus, als ob der Reply korrekt von der Sonicwall in Richtung Dokom21 weitergeleitet wird.

Leider ohne Antwort auf der Gegenstelle.

Hoffe, dass jemand noch einen Tipp hat!

Zusatz: Anbei noch ein weiterer Screenshot von der Sonicwall vom heutigen Tag.
icmp-sonicwall
icmp

Content-ID: 581209

Url: https://administrator.de/contentid/581209

Ausgedruckt am: 23.11.2024 um 08:11 Uhr

aqui
Lösung aqui 22.06.2020 aktualisiert um 10:20:05 Uhr
Goto Top
nicht an der WAN-IP sondern muss "separat" konfiguriert werden.
Ist nichts Besonderes sondern mehr oder minder üblich bei Providern.
als ob der Reply korrekt von der Sonicwall in Richtung Dokom21 weitergeleitet wird.
Ja, das ist richtig so !
Der Absender 92.72.215.46 sendet einen ICMP Echo Request (Ping) an das Ziel 85.22.65.41 und die antwortet dann ordnungsgemäß mit einem ICMP Echo Reply.
Ein klassischer Ping Vorgang also...works as designed ! face-wink

Was aber irgendwie komisch und vollkommen unverständlich ist an deiner Beschreibung: Du schreibst "...habe ich ein ICMP-NAT für die .41 aus dem Subnetz eingerichtet..."
Das ist irgendwie komplett unverständlich, denn beides sind ja öffentliche IP Adressen. Warum also ein NAT ??
NAT ist hier doch komplett sinnfrei und überflüssig bei öffentlichen IP Adressen !!
Knorkator
Knorkator 22.06.2020 aktualisiert um 10:32:11 Uhr
Goto Top
Hallo Aqui,

vielleicht hab ich es ja falsch beschrieben.
Über die NAT-Regel sorge ich doch dafür, dass die Pakete an die Private-IP weitergeleitet werden.
Bei der NAT-Regel habe ich ICMP als Dienst angegeben.
nat
Knorkator
Knorkator 22.06.2020 um 10:42:57 Uhr
Goto Top
Zitat von @aqui:
Der Absender 92.72.215.46 sendet einen ICMP Echo Request (Ping) an das Ziel 85.22.65.41 und die antwortet dann ordnungsgemäß mit einem ICMP Echo Reply.
Ein klassischer Ping Vorgang also...works as designed ! face-wink
Jain... und das ist ja mein Problem.
Die Antwort landet nicht beim Absender...
aqui
Lösung aqui 22.06.2020 aktualisiert um 11:07:37 Uhr
Goto Top
Über die NAT-Regel sorge ich doch dafür, dass die Pakete an die Private-IP weitergeleitet werden.
Ja, aber das du hast ja gar keine private IP in deinem Ping Pfad auf der Firewall ! Dein Firewall Design ist ja recht simpel und sollte dann immer so aussehen:

knorke

Wo muss man denn hier NAT machen ?? Nirgendwo....!!
Du solltest egal von woher aus dem Internet problemlos..
  • Die WAN Port IP
  • Die DMZ Port IP
  • Einen Host im DMZ Segment
ohne irgendwelche NAT Regeln pingen können. Entsprechend passende ICMP Regel natürlich vorausgesetzt an der Firewall !
Wenn du den Reply direkt am WAN Port gesniffert hast, dann sendet deine Firewall den ICMP Echo ja de facto ab Richtung Provider bzw. Internet.
Dann liegt es auch nicht mehr an deiner Firewall sondern wird irgendwo dazwischen gefiltert.
Entweder am Inbound Provider der Firewall oder da wo der Ping Client ist. Da sist auch klar.
Knorkator
Knorkator 22.06.2020 um 11:33:28 Uhr
Goto Top
Hallo Aqui,

vielen Dank für Deine Antwort und Deine Zeichnung.

Ich verstehe ja, was Du meinst, aber woher soll die FW wissen, welche Public IP an eine Private IP weitergeleitet wird?

Kannst Du Dir das hier vielleicht mal kurz ansehen?
So werden Portweiterleitungen bei Sonicwall gemacht und so funktionieren auch die Verbindungen über den Telekom-Anschluss.

Zitat von @aqui:
Wenn du den Reply direkt am WAN Port gesniffert hast, dann sendet deine Firewall den ICMP Echo ja de facto ab Richtung Provider bzw. Internet.
Dann liegt es auch nicht mehr an deiner Firewall sondern wird irgendwo dazwischen gefiltert.
Entweder am Inbound Provider der Firewall oder da wo der Ping Client ist. Da sist auch klar.
Ja.... klappt aber trotzdem nicht.
Dokom21 ist der Meinung, dass es an der Firewall liegt.
face-sad

Danke für Deine Geduld.
face-smile
142583
Lösung 142583 22.06.2020 um 11:59:03 Uhr
Goto Top
Was hast Du dem SW-Support an Daten übergeben und was war die genaue Auskunft?

Hast du testweise Mal ein anderes Gerät außer die Sonicwall dran gehangen?

Wie ist die globale Konfig der Routen der Sonicwall?
ChriBo
Lösung ChriBo 22.06.2020 um 12:25:28 Uhr
Goto Top
Hi,
So werden Portweiterleitungen bei Sonicwall gemacht ...
Wie @aqui auch schon versucht hat dir zu erklären:
Du brauchst kein NAT oder auch kein Port forwarding oder was auch immer !
Du brauchst ein simples Routing auf der Sonicwall.

CH
142583
Lösung 142583 22.06.2020 um 12:28:25 Uhr
Goto Top
@ChriBo: Das war auch einer meiner Gedanken. Bzw kann es sein dass eine globale Einstellung bezüglich der Routen hier schon "wirkt".
aqui
Lösung aqui 22.06.2020 aktualisiert um 12:43:18 Uhr
Goto Top
Wie ist die globale Konfig der Routen der Sonicwall?
Sinnfreie und überflüssige Frage, denn in der Firewall gibt es lediglich eine einzige Route und das ist die Default Route auf den Provider 222.222.222.23 !
welche Public IP an eine Private IP weitergeleitet wird?
Sorry, und nochmals: Das Problem existiert doch überhaupt nicht in einem richtigen Design mit deinen Vorgaben !! Port Weiterleitungen sind in deinem Setup doch Blödsinn und gibt es gar nicht wenn es dir nur um dein eigenes öffentliches IP Segment geht. In der deiner Beschreibung redest du mit keinem Wort von irgendwelchen RFC 1918 Netzen hinter einer NAT Firewall. Was gilt denn nun ?? Verwirrung komplett... face-sad

Entweder hast du dir die Zeichnung oben nicht richtig angesehen oder ein falsches Design. In deinem Testszenario kommt niemals ein RFC1918 IP Netz vor wenn es dir lediglich darum geht Endgeräte IPs in deinem eigenen öffentlichen Subnetz von außen zu erreichen ! Wo sind da (bezogen auf deinen ICMP Test) RFC 1918 IP Netze oder irgendwelches Port Forwarding ?? Nirgendwo und ist auch nirgendwo erforderlich ! Kein NAT = kein Port Forwarding !
Oder wir haben dich hier alle irgendwie missverstanden oder...du hast es falsch geschildert was du eigentlich genau willst ?! Kollege @ChriBo hat es ja auch schon mehrfach gesagt.
Knorkator
Knorkator 22.06.2020 um 12:47:43 Uhr
Goto Top
Sorry.. ich hab es falsch beschrieben.
face-sad

Für mich war das so selbstverständlich.. aber ich habe eben nicht erwähnt, dass die Pakete an ein privates Netz sollen.
Das erkennt man höchstens am Packet-Trace der Sonicwall (kleines Bild in obigen Beitrag).

Routing würde ausreichen wenn ich die Systeme mit Public IP in der DMZ stehen hätte.

Eigentlich möchte ich folgendes:
85.22.65.41 -> HTTPS Forwarding an 10.101.20.5 (icmp die nur dem Test)
85.22.65.42 -> HTTPS Forwarding an 10.101.20.6 (z.b.)
85.22.65.43 -> HTTPS und 6619 Forwarding an 10.101.20.7 (z.b.)
aqui
Lösung aqui 22.06.2020 aktualisiert um 13:09:41 Uhr
Goto Top
OK, dann gilt das Beschriebene für das lokale LAN in der o.a. Zeichnung, richtig ?
Nur was dann völlig unverständlich ist ist die Tatsache WO dann dein dir zugewiesenes öffentliches Subnetz liegt ??
Wenn du für deine eigenen 85.22er IP Adressen KEIN eigenes Segment vorgesehen hast musst du mit dieser etwas unsauberen Methode des ARP Spoofing arbeiten wie es im Sonicwall KB beschrieben ist, das ist zwar IP Design technisch unschön ala quick and dirty aber wenn du nichts umstellen willst der Weg den du gehen musst. Die Frage ist wie die Firewall Regel technisch diese IPs handhabt ? Vermutlich aber wie Secondary IP Adressen auf dem WAN Port, so das das WAN Port Regelwerk hier gilt.

Du willst doch etwa NICHT wirklich Endgeräte mit einer RFC 1918 IP Adresse im lokalen geNATeten Netz von außen (Internet) pingbar machen, oder ?
Knorkator
Knorkator 22.06.2020 um 13:04:29 Uhr
Goto Top
Zitat von @aqui:>
OK, dann gilt das Beschriebene für das lokale LAN in der o.a. Zeichnung, richtig ?
Ja, richtig.

Nur was dann völlig unverständlich ist ist die Tatsache WO dann dein dir zugewiesenes öffentliches Subnetz liegt ?? Oder liegt es wie oben beschrieben an einem separaten LAN/VLAN Port intern ?? Dein IP Adressierungs und Port Zuweisungs Design der Netzsegmente ist dann unverständlich.
Also nochmal sorry wenn ich mich unverständlich ausdrücke.
Das zugewiesene Subnetz liegt am Wan-Port X6 an, obwohl es nicht zum zugewiesen Wan-Port-Bereich liegt!
Die Vorgehensweise beschreibt Sonicwall hier.

Du willst doch etwa NICHT wirklich Endgeräte mit einer RFC 1918 IP Adresse im lokalen geNATeten Netz von außen (Internet) pingbar machen, oder ?
Nein.. selbstverständlich nicht wie schon geschrieben, dient dies nur dem Test.
Ich habe verschiedene Systeme in DMZs (mit privaten IPs) laufen welche per HTTPs erreicht werden sollen.
Weil HTTPS nicht funktionierte habe ich ICMP zum Test gewählt.. erschien mir einfacher von der Analyse.
142583
Lösung 142583 22.06.2020 um 13:09:20 Uhr
Goto Top
@aqui: Woher weißt Du denn, dass es lediglich eine einzige Route gibt und wir diese aussieht?
Und warum bist Du der Meinung, dass diese essentielle Frage überflüssig und unwichtig ist, wenn Du selbst keine nennenswertes Know-How im Umgang mit Sonicwall hast, um es nett zu formulieren?
ChriBo
Lösung ChriBo 22.06.2020 um 13:10:59 Uhr
Goto Top
Oha,

mach es doch "einfacher":
besorge dir einen echten Router (Cisco / Mikrotik oä.).
Gib dem Router die WAN IP 222.222.222.23/29 mit GW 222.222.222.17 auf der externen Seite.
Auf der internen Seite z.B. 85.22.65.41/29 deine Sonicwall bekommt dann z.B. die 85.22.65.46/29 mit GW 85.22.65.4. Dann kannst du einfach mit PAT und NAT auf der Sonicwall arbeiten.
Kein PAT oder NAT auf dem vorgeschaltetem Router !

CH
aqui
Lösung aqui 22.06.2020 aktualisiert um 13:22:22 Uhr
Goto Top
Woher weißt Du denn, dass es lediglich eine einzige Route gibt und wir diese aussieht?
Das weiss man doch sicher durch die IP Design Beschreibung des TOs. Wo sind denn dort IP Netze die NICHT lokal an der Firewall liegen und ggf. Routen erfordern würden ?? Nirgendwo !
Folglich gibts dann logischerweise nur eine einzige Default Route ! Alle Netze sind ja direkt an der Firewall verbunden die "kennt" die FW also immer selber also auch ohne Routen.

@Knorkator
Ich habe verschiedene Systeme in DMZs (mit privaten IPs) laufen welche per HTTPs erreicht werden sollen.
Ja aber dann ist dein Design doch falsch. Kollege @ChriBo hat es ja auch schon gesagt.
Deine Server gehören dann in ein separates Segment an der FW. Das würde auch diese gruselige Frickelei mit dem NAT Forwarding obsolet machen und wäre kinderleicht mit dem Setzen einer neuen IP auf dem Server in 5 Minuten erledigt.

So oder so auch wenn du es mit deiner Quick and Dirty Methode machst siehst du ja das die ICMP Pings richtig aus der Firewall in Richtung Provider bzw. Internet gehen. Alles gut also wenn dieser Packet Trace wirklich direkt vom WAN Port kommt wie du ja versicherst.
Letztlich liegt es dann NICHT mehr an deinem Firewall Setup selber !
142583
Lösung 142583 22.06.2020 um 13:17:28 Uhr
Goto Top
Er hat kein Wort zu dem Thema verloren oder den Nachweis dazu erbracht, aber man weiß es?

Ich wäre mit solchen Äußerungen besonders dann vorsichtig, wenn man nicht weiß wie eine Sonicwall im besonderen sich verhält.

Wir wissen nicht was der Support an Input bekommen hat, noch wissen wir welche Firmware um Einsatz ist. Zwischen Sonic OS 5.x und 6.x hat sich speziell zu diesem Thema einiges geändert. Der "andere" Weg von 2013 erwähnt ebenfalls nicht die Firmwareversion.
aqui
Lösung aqui 22.06.2020 um 13:21:28 Uhr
Goto Top
Er hat kein Wort zu dem Thema verloren oder den Nachweis dazu erbracht, aber man weiß es?
Das muss er ja auch nicht. Wenn wir jedem Fragesteller hier unterstellen das seine Netzwerk Schilderung per se falsch oder unvollständig ist und er noch 10 andere IP Netze mit einem nicht beschrieben Router irgendwo an der FW angebunden hat müsste man ja niemals mehr auf solche Threads antworten da das dann im Chaos enden würde.
Glauben wir also dem TO mal das er das alles sachlich richtig geschildert hat und es eben ein solches Banalszenario ist was KEINE statischen Routen sondern rein nur die Default Route erfordert.
Zurück zum Thema...
142583
Lösung 142583 22.06.2020 um 13:30:08 Uhr
Goto Top
Auch zu behaupten, dass es was im Design falsch ist, ohne Kenntnis über das Zoning der SW zu haben ist methodisch falsch. Bzw. unterstreicht nicht zu wissen, wie das Konzept des SonicOS ist.

Die Sonicwall bietet alle nötigen Werkzeuge um diesen Standardfall zu diagnostizieren.
142583
Lösung 142583 22.06.2020 um 13:32:19 Uhr
Goto Top
Zitat von @aqui:

Er hat kein Wort zu dem Thema verloren oder den Nachweis dazu erbracht, aber man weiß es?
Das muss er ja auch nicht. Wenn wir jedem Fragesteller hier unterstellen das seine Netzwerk Schilderung per se falsch oder unvollständig ist und er noch 10 andere IP Netze mit einem nicht beschrieben Router irgendwo an der FW angebunden hat müsste man ja niemals mehr auf solche Threads antworten da das dann im Chaos enden würde.
Glauben wir also dem TO mal das er das alles sachlich richtig geschildert hat und es eben ein solches Banalszenario ist was KEINE statischen Routen sondern rein nur die Default Route erfordert.
Zurück zum Thema...

Ich wiederhole mich. Du hast Null Ahnung von Sonicwall.
Die Frage ist (eine) Standardfrage bezüglich des Falles, die auch der Support als erstes prüft.
Knorkator
Knorkator 22.06.2020 um 15:21:08 Uhr
Goto Top
Streitet Euch bitte nicht weil ich die Fragen unsauber stelle.
face-smile

Zitat von @aqui:
So oder so auch wenn du es mit deiner Quick and Dirty Methode machst siehst du ja das die ICMP Pings richtig aus der Firewall in Richtung Provider bzw. Internet gehen. Alles gut also wenn dieser Packet Trace wirklich direkt vom WAN Port kommt wie du ja versicherst.
Letztlich liegt es dann NICHT mehr an deinem Firewall Setup selber !
Ja habe einen Switch zwischen dem WAN-Port X6 und dem Dokom21 Gerät (Cisco 2960) geschaltet und Port Mirroring eingeschaltet.
Dann ein Notebook an den Port gesteckt und per Wireshark alles aufgezeichnet.

Ich werde nochmal auf Dokom zugehen und nachfragen.

Vielen Dank!
aqui
Lösung aqui 22.06.2020 um 16:02:04 Uhr
Goto Top
Streitet Euch bitte nicht weil ich die Fragen unsauber stelle.
Nee, nee alles gut. Der Professor hat nur gerade ne Blockade weil er seinen HW Liebling angekratzt sieht. Daran erkennt man aber auch das er das Problem nicht verstanden hat, denn es geht NICHT um das Produkt oder Zoning oder wasauchimmer, sondern rein allein um das IP Netzwerk Design. Aber egal, zu dem Thema ist ja nun abschliessend alles gesagt...
einen Switch zwischen dem WAN-Port X6 und dem Dokom21 Gerät (Cisco 2960) geschaltet und Port Mirroring eingeschaltet.
OK, bestätigt dann das es de facto NICHT an deiner Firewall liegt, denn der Wireshark Trace zeigt ja dann an der Stelle eindeutig das das Echo Reply Paket sauber aus dem WAN Port Richtung Provider geht. Und das auch mit den richtigen IP Adressen.
Fazit:
Entweder der Provider oder das Segment wo der Client ist filtert ICMP Echo Pakete.
ChriBo
Lösung ChriBo 22.06.2020 um 16:03:55 Uhr
Goto Top
Hi Knorkator.
Schalte bitte einen Router zwischen deine Sonicwall und den Switch von Dokom21 (der Cisco2960).
Wie habe ich in einem anderen Post geschrieben.
das es nur mit der Sonicwall geht wage ich zu bezweifeln.
aqui
Lösung aqui 22.06.2020 aktualisiert um 16:50:09 Uhr
Goto Top
Doch, geht natürlich auch so mit der Sonicwall wenn er es so löst wie in der Zeichnung oben mit einem freien LAN Port bzw. separatem Segment.
Das hätte den großen Vorteil das die öffentlich erreichbaren Server auch in einem sicher abgetrennten und dedizierten IP Segment liegen das mit einem wasserdichten FW Regelwerk kontrolliert werden kann.
Fehlt ein Hardware Port macht man es mit einem VLAN Port. Letztlich egal, Hauptsache das Server Netz mit den öffi IPs ist abgetrennt.
Das derzeitige Design das man per ARP Spoofing am WAN und Port Forwarding klassische Ports wie Mail oder anderes in ein lokales RFC 1918 LAN leitet ist Sicherheits technisch gesehen eigentlich eine Todsünde und ein NoGo vom Design her. Von der Nutzung dieser Secindary Aliase auf dem gleichen IP Segment wie der Provider Router mal erst gar nicht zu reden.
Solche wellknown Ports sind permanent in Scan Attacken und anderen Angriffen die im Sekundentakt am WAN anliegen enthalten. Das ungeschützt in ein internes LAN mit anderen Rechnern forzuwarden spricht nicht gerade für ein intelligentes Security Konzept. Quick and Dirty Lösungen als Workaround für einfache Design Fehler sollten im Firewall Umfeld immer Tabu sein. Sollten.... Aber muss jeder letztlich selber entscheiden was er da macht und welches Risiko er bereit ist zu akzeptieren.
Ein Systemhaus was sowas "verbricht" sollte man dann besser niemals mehr an hausinterne IT lassen... face-wink
Aber das ist dann wieder ein ganz anderes Thema.
142583
Lösung 142583 22.06.2020 aktualisiert um 17:47:01 Uhr
Goto Top
Zitat von @aqui:

Streitet Euch bitte nicht weil ich die Fragen unsauber stelle.
Nee, nee alles gut. Der Professor hat nur gerade ne Blockade weil er seinen HW Liebling angekratzt sieht. Daran erkennt man aber auch das er das Problem nicht verstanden hat, denn es geht NICHT um das Produkt oder Zoning oder wasauchimmer, sondern rein allein um das IP Netzwerk Design. Aber egal, zu dem Thema ist ja nun abschliessend alles gesagt...
einen Switch zwischen dem WAN-Port X6 und dem Dokom21 Gerät (Cisco 2960) geschaltet und Port Mirroring eingeschaltet.
OK, bestätigt dann das es de facto NICHT an deiner Firewall liegt, denn der Wireshark Trace zeigt ja dann an der Stelle eindeutig das das Echo Reply Paket sauber aus dem WAN Port Richtung Provider geht. Und das auch mit den richtigen IP Adressen.
Fazit:
Entweder der Provider oder das Segment wo der Client ist filtert ICMP Echo Pakete.

Professional bitteschön.

Ich Frage ab, was der Support abfragen würde.
Es ist nämlich erst Mal sicherzustellen, dass X6 nicht zufällig für diese Route benutzt wird. Das hat einen Grund.

Auch ist es Quark zu erzählen, dass das Design falsch ist oder unsicher oder quick ans dirty. Besonderes dann wenn man traurige Berühmtheit erlangt hat im beleidigen von Hilfesuchenden, wenn sie nicht den persönlich präferierten weg oder Hersteller wählen.

Natürlich kann man dann noch vollends als Spinner rüberkommen, wenn man seine eigene "Ratschläge" weder befolgt noch kennt.

Zitat: "Das muss er ja auch nicht. Wenn wir jedem Fragesteller hier unterstellen das seine Netzwerk Schilderung per se falsch oder unvollständig ist und er noch 10 andere IP Netze mit einem nicht beschrieben Router irgendwo an der FW angebunden hat müsste man ja niemals mehr auf solche Threads antworten da das dann im Chaos enden würde."

Eigentlich müsstest du ihm jetzt deine Standardleier erklären.

Wenn du jedoch Ahnung hättest von den Sonicwalls, dann würdest du großes Interesse daran haben diese Sachen zu wissen wenn das WAN nicht über X1 läuft.
Derjenige der das WAN nicht über X1 erreichbar gemacht hat, muss die gesamte Sonicwall daraufhin reinpassen mit all ihren Standardconfigs. Und Routing und NAT sind bei der Sonicwall getrennt und generieren für Konfigs die nicht unbedingt offensichtlich sind, wenn man nicht gesteigertes know how hat.
aqui
Lösung aqui 22.06.2020 aktualisiert um 21:33:55 Uhr
Goto Top
Auch ist es Quark zu erzählen, dass das Design falsch ist oder unsicher oder quick ans dirty.
So so...du findest 2 IP Netze auf einem physischen Draht also ein normales Design ? Nur nebenbei: Der TCP/IP Standard sieht sowas nicht vor. Allein das ICMP Handling ist damit undefiniert und funktioniert nur mit der Primär Adressierung also dem Provider Netz. Nur einer von vielen Gründen warum das unsauber ist. Quark ist also de facto eine Sache, IP KnowHow etwas anderes...
Wie gesagt es ist alles zu dem Thema gesagt und es geht NICHT um das Produkt als solches sondern, um es nochmals zu wiederholen, ums IP Design an sich das eben nicht Protokoll konform ist. Solche Standards kennst du auch ganz sicher selber als Netzwerk Professional.
Es hat auch, wie bereits mehrfach gesagt, rein gar nichts mit Sonicwall Know How zu tun oder anderem dedizierten Produkt KnowHow. Es geht ums IP Knowhow an sich.
Natürlich ist sowas mehr oder minder mit allen Firewalls hinzubekommen nicht nur der Sonicwall. Es ist und bleibt aber IP technisch unsauber, egal ob man eine Sonicwall hat oder eine Cisco Firepower oder was auch immer.
Und in dem vom TO beschriebenen, einfachen Design reicht eine simple Default Route über den einzigen WAN Port. Da "versteckte" Routing Fehler zu konstruieren oder weitere fiktive WAN Ports und zu unterstellen ist in diesem Kontext einfach absurd. Aber egal...
Wir sollten den Thread des TO hier nicht durch sachfremde Themen kapern !
142583
Lösung 142583 22.06.2020 aktualisiert um 23:22:13 Uhr
Goto Top
Das Thema hatten wir dich zur Unterhaltung vieler Teilnehmer schon.

Wie heißt denn dieser TCP/IP Standard und wenn Du schon dabei bist, dann kannst du auch alle anderen Fragen bezüglich so Sachen wie "Guidelines" und "Standards" benennen. Da warten wir schon lange darauf.

Es wurden auch keine Routing Fehler konstruiert, sondern es sollte geklärt werden warum von Routing gesprochen wurde und auf X6 ein NAT arbeiten soll.
Wenn man SonicOS kennt, dann weiß man, dass die Wahl des Interfaces kein Zufall ist und es dafür sogar eine explizite Diagnose-Option gibt. Außerdem behandelt die Sonicwall die NAT Regeln unabhängig vom Routing, sie werden separat gepflegt und erzeugen unzählige Zusatzkonfiguration, die nicht in jeder Ansicht angezeigt werden. Außerdem ist das Zoning im Zusammenhang mit NAT ein Stolperstein und eventuell angelegte Objekte und deren Verschachtelung ist wichtig zu wissen.

Allein der Umstand, dass nicht X1 samt möglicher Subinterfaces für das WAN genutzt wird, heißt, dass jemand die gesamte Grundkonfiguration umgebaut hat. Wer sowas beherrscht, nimmt das NAT in Minuten in Betrieb und weiß auch die Ursache für die Thematik in Kürze zu ermitteln, weil die Sonicwall ein vollumfängliches Featureset dazu hat. Mit Traffic-Mirrorung im WAN, kann eigentlich nichts mehr schief gehen.

Noch Mal, falls es nicht ankam, SonicOS pflegt Routing und NAT getrennt und nicht zwangsläufig hat eine Routing oder Nat-Einstellung eine Auswirkung auf den anderen Typ, kann es aber haben. Dazu erfragt man das globale Routing und die NAT policies, Routing policies und Objects samt deren Verschachtelung. Dann hat die Firmware und auch Firewall noch einen Einfluss auf dieses Verhalten.

Also kläre uns auf, warum grundsätzlich supporte Konfigurationen nicht irgendwelchen Standards entsprechen und vor allem die diese Standards heißen.
Und denke Mal drüber nach, warum der Support nicht sonst gesagt hätte, es ist eine nichtunterstützte Konfigurationen. Nein sie sagten, die Konfig sollte funktionieren. Das heißt, dass dem Support zumindest diese Information bekannt waren.

Und wenn ich das machen würde, was du mir vorhälst lustigerweise aber deine Masche idt, dann hätte ich dem TO erklärt das seine Hardware Kacke ist, sein Design gruselig und ihm meine präferierte Lösung vorgeschlagen.

Dabei wäre die Frage nach einer anderen Konfigurationen, gerade weil er ein Subnetz hat angebracht, dennoch nicht gefragt.

Also?
142583
Lösung 142583 22.06.2020 aktualisiert um 23:39:01 Uhr
Goto Top
@Knorkator: Gucke dir Mal die Tabelle "Comparison of L2 Bridge Mode to Transparent Mode" an ob du alle diese Hinweise richtig umgesetzt hast nun Bezug auf das NAT. Das kann dir mindestens die Suppe versalzen.

http://help.sonicwall.com/help/sw/eng/8620/25/9/0/content/Ch27_Network_ ...

Auch solltest Du dir die Frage stellen ob nicht ein der beide fort verglichenen Verfahren für dich das optimale wäre. Zumindest könntest du dir alle Besonderheiten des NAT von Hals schaffen und hast nicht weniger Sicherheit.

@aqui: Überprüfe mal deinen Standardsschmarn mit den zwei Netzen auf dem physischen Interface, NUR mit dem, was für diese in den Link genannten Modis diesbezüglich geschrieben steht. Sonicwall erwähnt dort auch, dass Nat eine andere Baustelle ist.
Bestimmt wegen der Standards und dem Design?
🤦
Knorkator
Knorkator 24.06.2020 um 08:30:09 Uhr
Goto Top
Zitat von @ChriBo:

Hi Knorkator.
Schalte bitte einen Router zwischen deine Sonicwall und den Switch von Dokom21 (der Cisco2960).
Wie habe ich in einem anderen Post geschrieben.
Ich habe das Problem nochmal mit Dokom besprochen und wir werden nun einen Router zwischen Sonicwall und Dokom-Netz schalten.
Dieser steht auch im Angebot drin.. ist mir schleierhaft, warum ein Switch verbaut wurde.
So ganz gerafft habe ich es allerdings immer noch nicht.. Dokom hat ja auch im RZ einen Router der das ganze in unsere Richtung schickt.
Wie ein weiterer, lokaler Router hier helfen soll ist mir schleierhaft... aber ich versteh den Grund ja eh nicht.. das Paket geht ja lt. Paketmonitor korrekt in Richtung Dokom21.

Wie die endgültige Konfiguration dann allerdings mir dem Router aussehen soll... mal schauen..muss ich noch besprechen.

Vermutlich doch so:
Dokom Router erhält auf der WAN-Seite die WAN-IP 222.222.222.23/29 mit GW 222.222.222.17 welche ursprünglich an X6 war.
LAN-Seitig zur Sonicwall liegt dann das Subnetz: 85.22.65.40/29 an.
Cisco LAN-IP: 85.22.65.41
Sonicwall WAN-X6-IP: 85.22.65.

So hätte ich die WAN-Konfiguration wie ich sie von X1 bzw. Telekom kenne und wie sie seit Jahren funktioniert.

das es nur mit der Sonicwall geht wage ich zu bezweifeln.
Ärgerlich wäre dann, dass ich die VPN-Verbindungen etc. schon auf die .23 umgestellt habe.
Das Subnetz wird ja nur für einige DMZ-Dienste benötigt.
Knorkator
Knorkator 24.06.2020 um 08:44:58 Uhr
Goto Top
Zitat von @142583:

@Knorkator: Gucke dir Mal die Tabelle "Comparison of L2 Bridge Mode to Transparent Mode" an ob du alle diese Hinweise richtig umgesetzt hast nun Bezug auf das NAT. Das kann dir mindestens die Suppe versalzen.

http://help.sonicwall.com/help/sw/eng/8620/25/9/0/content/Ch27_Network_ ...

Auch solltest Du dir die Frage stellen ob nicht ein der beide fort verglichenen Verfahren für dich das optimale wäre. Zumindest könntest du dir alle Besonderheiten des NAT von Hals schaffen und hast nicht weniger Sicherheit.
Puh.. da muss ich doch passen.
Da fehlt mir grad der Kopf für und ich befürchte, dass ich meine Konfiguration der Sonicwall ziemlich umbasteln müsste.
Knorkator
Knorkator 24.06.2020 um 08:48:40 Uhr
Goto Top
Zitat von @142583:
Derjenige der das WAN nicht über X1 erreichbar gemacht hat, muss die gesamte Sonicwall daraufhin reinpassen mit all ihren Standardconfigs. Und Routing und NAT sind bei der Sonicwall getrennt und generieren für Konfigs die nicht unbedingt offensichtlich sind, wenn man nicht gesteigertes know how hat.

Zur Info:
X1 ist bei uns der bisherige CompanyConnect Anschluss (Zukünftig für Voip und zur Reserve)
X6 ist der neue Glasfaseranschluss (zukünftige Hauptleitung)

So viel Anpassung hab ich hier eigentlich nicht finde ich.
Im Failover & LB X6 als Primär einstellen und im Routing noch dafür sorgen, dass Mails (z.b.) über X1 rausgehen.
Da soll sich ja auch noch ändern.. wenn das Dokom Netz nutzbar für mich wird.
aqui
Lösung aqui 24.06.2020 um 09:33:26 Uhr
Goto Top
So hätte ich die WAN-Konfiguration wie ich sie von X1 bzw. Telekom kenne
Im Grunde hat die Dokom sich hier das Leben selber schwer gemacht. Es ist völlig unverständlich warum sie dir dein 85.22.65.40/29 nicht auf den Switch gelegt haben so wie es eigentlich generell üblich ist und wonach ihre Installation ja auch aussieht...?!
Das solltest du sie auch einmal fragen, denn es ist ja völlig unverständlich warum man jetzt nur für das Netz noch einen einsamen Router da als Durchlauferhitzer hinstellen muss zumal ihrer ja schon vor Ort ist.
Knorkator
Knorkator 30.06.2020 um 15:37:46 Uhr
Goto Top
Hallo zusammen,

ich wollte mich mal mit einem Status zurückmelden.

Dokom hat uns nun einen Cisco Router geliefert.
Dieser hat die .23 auf der WAN Seite und stellt und das Subnetz auf der LAN-Seite zur Verfügung.
Demnach hat X6 der Sonicwall nun auch ein Subnetz mit dem ich arbeiten kann.

Vielen Dank für Eure Unterstützung!
aqui
Lösung aqui 30.06.2020 um 16:28:25 Uhr
Goto Top
Case closed ! face-wink

Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !