11
Sophos als FW virtuell auf ESXi
Guten Morgen,
ich teste zurzeit in Szenario wie folgt im Bild zu sehen.
Soweit funktioniert auch alles. Die Sophos hat Internetzugriff und die Routerkaskade funktioniert.
Die Clients bekommen eine Adresse via DHCP von der Sophos.
Versuche ich von einen Client aus den Google DNS zu pingen, löst er zwar den dazugehörigen Namen auf, jedoch geht der Ping nicht raus.
Vom Client aus kann ich das LAN Interface der Sophos anpingen, nur von der Sophos aus nicht den Client.
Hattet ihr schon mal so einen Fall? Muss ich vielleicht was mit dem virtuellen Switch beachten? Bzw funktioniert dieses Szenario überhaupt so?
Eine LAN(Network) -> Any -> Any Regel habe ich gesetzt.
Vielleicht könnt ihr mir helfen.
Mfg maddig
ich teste zurzeit in Szenario wie folgt im Bild zu sehen.
Soweit funktioniert auch alles. Die Sophos hat Internetzugriff und die Routerkaskade funktioniert.
Die Clients bekommen eine Adresse via DHCP von der Sophos.
Versuche ich von einen Client aus den Google DNS zu pingen, löst er zwar den dazugehörigen Namen auf, jedoch geht der Ping nicht raus.
Vom Client aus kann ich das LAN Interface der Sophos anpingen, nur von der Sophos aus nicht den Client.
Hattet ihr schon mal so einen Fall? Muss ich vielleicht was mit dem virtuellen Switch beachten? Bzw funktioniert dieses Szenario überhaupt so?
Eine LAN(Network) -> Any -> Any Regel habe ich gesetzt.
Vielleicht könnt ihr mir helfen.
Mfg maddig
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 333001
Url: https://administrator.de/contentid/333001
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
11 Kommentare
Neuester Kommentar
Guten Morgen
Versuche ich von einen Client aus den Google DNS zu pingen, löst er zwar den dazugehörigen Namen auf, jedoch geht der Ping nicht raus.
ICMP ausgehend gesperrt?
Vom Client aus kann ich das LAN Interface der Sophos anpingen, nur von der Sophos aus nicht den Client.
Windows-Firewall auf dem Client / den Clients aktiv?
Eine LAN(Network) -> Any -> Any Regel habe ich gesetzt.
Die Regel ist auch an Position 1 ganz oben oder weiter unten?
ICMP ist offen. Habe ja die Any Any Regel die auf Position 1 steht weil das die einzigste ist.
Über die Windows Firewall habe ich gar nicht nachgedacht, weil ich es eig. gewohnt bin das die ICMP zulässt.
Jedoch muss der Client erreichbar sein. Er erhält ja auch eine IP vom DHCP.
Über die Windows Firewall habe ich gar nicht nachgedacht, weil ich es eig. gewohnt bin das die ICMP zulässt.
Jedoch muss der Client erreichbar sein. Er erhält ja auch eine IP vom DHCP.
Die Windows Firewall lässt seit Vista ICMP nicht mehr passieren.
Zitat von @maddig:
ICMP ist offen. Habe ja die Any Any Regel die auf Position 1 steht weil das die einzigste ist.
ICMP ist offen. Habe ja die Any Any Regel die auf Position 1 steht weil das die einzigste ist.
Wenn zum Abschluss keine any any deny - Regel exisitiert, ist deine Regel nicht von Bedeutung ;)
Jedoch muss der Client erreichbar sein. Er erhält ja auch eine IP vom DHCP.
Zwei völlig verschiedene paar Schuhe... OSI-Modell lässt hier auch grüßen ;)
Wenn ich eine LAN -> any -> any permit setze und danach eine LAN -> any -> any deny, was gibt das für einen Sinn?
Bei der Sophos hab ich noch nie gesehen das die Regel nicht funktioniert ohne eine any any deny Regel?
Bei der Sophos hab ich noch nie gesehen das die Regel nicht funktioniert ohne eine any any deny Regel?
Zitat von @maddig:
Wenn ich eine LAN -> any -> any permit setze und danach eine LAN -> any -> any deny, was gibt das für einen Sinn?
Wenn ich eine LAN -> any -> any permit setze und danach eine LAN -> any -> any deny, was gibt das für einen Sinn?
Standard-Firewalling ist, dass man ganz unten die any any deny-Regel hat dann dann oben drüber verschiebene Netzwerke/Ports/Dienst aufmacht.
Du hast ja neben LAN evtl. auch noch ne DMZ oder LAN2, ohne any any deny am Ende ist das Scheunentor offen für Alles und Jeden.
BTT:
Wen haben die Clients als DNS eingetragen?
Die Sophos ist mit der Standard Config geschlossen. Mit der Regel erlaube ich den Zugriff von innen nach außen aus dem LAN. Den Rest regelt die Sophos ab.
Die Sophos also die 10.5.1.1
Die Sophos also die 10.5.1.1
Hallo,
es kann an verschiedenen Stelen liegen, dass so etwas nicht funktioniert, und von daher würde ich die alle nach und
nach "abklappern" um sicher zu gehen dass man nichts vergessen hat. Klar kann man vorher auch erst einmal sammeln
und sich Notizen dazu machen, aber der Ablauf wäre bei mir der selbe.
Wird dort im LAN (Windows-Firewall) ICMP unterbunden?
Wurde ICMP an der Firewall (Spophos) unterbunden?
Ist am Switch (VM Einstellungen) etwas eingestellt dass ICMP nicht durchgeht?
Macht die VM (VM Einstellungen Hypervisor) auch noch einmal NAT und Du hast dann eine Tripple-NAT
Situation und es kann von daher gar nicht funktionieren?
Gruß
Dobby
P.S. Ist das LAN denn so groß dass eine keinen Appliance es nicht auch gebracht hätte ohne den ganzen VM Kram!?
Ich meine eine kleine APU2C4 oder gar ein Jetway NF9HG-2930 das sind Kosten von 220 Euro bis 350 Euro und die
Sache rennt rund ohne zu zicken! Ist mir nur leider zu spät eingefallen danach zu fragen.
es kann an verschiedenen Stelen liegen, dass so etwas nicht funktioniert, und von daher würde ich die alle nach und
nach "abklappern" um sicher zu gehen dass man nichts vergessen hat. Klar kann man vorher auch erst einmal sammeln
und sich Notizen dazu machen, aber der Ablauf wäre bei mir der selbe.
Wird dort im LAN (Windows-Firewall) ICMP unterbunden?
Wurde ICMP an der Firewall (Spophos) unterbunden?
Ist am Switch (VM Einstellungen) etwas eingestellt dass ICMP nicht durchgeht?
Macht die VM (VM Einstellungen Hypervisor) auch noch einmal NAT und Du hast dann eine Tripple-NAT
Situation und es kann von daher gar nicht funktionieren?
Gruß
Dobby
P.S. Ist das LAN denn so groß dass eine keinen Appliance es nicht auch gebracht hätte ohne den ganzen VM Kram!?
Ich meine eine kleine APU2C4 oder gar ein Jetway NF9HG-2930 das sind Kosten von 220 Euro bis 350 Euro und die
Sache rennt rund ohne zu zicken! Ist mir nur leider zu spät eingefallen danach zu fragen.
Ok und die Sophos hat auf der WAN-Seite (10.5.0.2) als Default-Gateway und DNS die Fritzbox drin? Kann die Sophos www.google.de anpingen?
Was passiert, wenn die Clients 8.8.8.8 anpingen?
Was passiert, wenn du von den Clients tracert auf www.google.de machst?
Statische Route in der Fritzbox eingetragen, dass der Traffic von und nach 10.5.1.0/24 über das Gateway 10.5.0.2 geschickt werden soll?
Was passiert, wenn die Clients 8.8.8.8 anpingen?
Was passiert, wenn du von den Clients tracert auf www.google.de machst?
Statische Route in der Fritzbox eingetragen, dass der Traffic von und nach 10.5.1.0/24 über das Gateway 10.5.0.2 geschickt werden soll?
Hallo maddig,
prüfe mal bitte
hier
unter 'Network Protection > Firewall > ICMP' musst du das richtig einstellen.
Gruß Walle
prüfe mal bitte
hier
unter 'Network Protection > Firewall > ICMP' musst du das richtig einstellen.
Gruß Walle
