chris1
Goto Top

Sophos Firewall hinter FritzBox

Hi Admins,

Ich habe eine Sophos Firewall XG auf einer Proxmox VM laufen, aber noch nicht richtig eingestellt weil ich mir unsicher bin wie es am besten lösen soll. Deswegen wende ich mich heute an euch.

Habe eine FRITZ!Box 7590 im Einsatz. Meine Reihenfolge wie mein Server, bzw. da auch meine Sophos Firewall VM, angeschlossen ist, ist wie folgt: FRITZ!Box —> Managed Switch —> Unmanaged Switch —> Server

Die erste Einrichtung der Firewall habe ich durchgemacht und habe jetzt zwei IP-Adressen dafür festgelegt. Jetzt stellen sich für mich drei grundlegende Fragen:

1. Müsste die Firewall nicht noch vor der FRITZ!Box geschaltet sein damit sie überhaupt reagieren und nicht erst dahinter wenn es den ganzen Weg bereits durch mein Netzwerk gegangen ist? (Dann müsste die Route Internetanschluss —> Sophos Firewall —> FRITZ!Box —> … sein)

2. Bräuchte ich nicht an meinem Server zwei Netzwerkports damit diese „doppelte Belastung“ und die beiden vergebenen IP-Adressen nicht über einen einzelnen Anschluss laufen müssen?

3. Best-practice: Welche Services würdet ihr über die Firewall realisieren anstatt über andere Maschinen (Router, DNS, Windows Server, Access Point)? Bspw. den DHCP Server über Sophos statt auf dem Windows Server oder über den Router (bzgl. tieferer Konfiguration)

Ich weiß auch nicht ob die Sophos Firewall für den Anfang ein bisschen zu groß gestochen ist. Aber ich stehe auf Herausforderungen deswegen habe ich mich direkt daran gewagt. Oder meint Ihr ich sollte mich mit pfSense erstmal langsam an das Thema Firewall herantasten? Denn an sich habe ich nicht sooo viel Kenntnisse darüber, außer ein bisschen durch meine Arbeit (bis jetzt).

(Sry für diesen langen Beitrag aber ich möchte es so genau wie möglich für euch darstellen)

Falls ihr weitere Informationen braucht stehe ich euch auch gerne zur Verfügung ;)

Content-ID: 1973768112

Url: https://administrator.de/forum/sophos-firewall-hinter-fritzbox-1973768112.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

DTCTVE
DTCTVE 22.02.2022 um 03:27:49 Uhr
Goto Top
Das nennt sich Routerkaskade. Sofern das LAN dann irgendwann hinter der Sophos geschaltet ist (z.B. mit VLAN-fähigen Switches), hört es spätestens beim Thema WLAN auf - die Geräte im WLAN der FritzBox sind dann weiterhin "vor" der Firewall.

1. Nein, dahinter, da die FritzBox die Internetverbindung herstellen muss. Daher muss eigentlich alles was ins "LAN" gehört auch hinter die Sophos. (ob physikalisch oder logisch mit VLAN ist egal) Vor der Fritz-Box kann die Firewall nicht stehen, da müsste diese dann die PPPoE Verbindung selbst aufbauen - was die FritzBox dann überflüssig machen würde

2. Nein, mit Nutzung von VLAN reicht ein einziges Kabel. Was du allerdings unter Punkt 2 schreibst klingt verwirrend. Sind die beiden Interfaces der Sophos etwa im gleichen Netz? Ich glaube, das ist weder technisch möglich noch macht es sinn.

3. Das kommt auf die persönlichen Vorlieben, aber auch stark auf die Anforderungen an


Grundsätzlich hier mal ein einfacher Aufbau:

TAE-Dose <-> WAN |FritzBox| LAN1 <-> WAN |Firewall| LAN <-> LAN-Switch
(Am LAN-Switch dann alle Geräte dran, auch Access-Points, ggf. gerne mit VLAN getrennt)

- Firewall in der FritzBox als "Exposed Host" konfigurieren (da sonst doppelter Aufwand bei Freigaben)
- Alles andere ausschalten, auch WLAN
- Nichts anderes als die Firewall an die FritzBox anschließen
- Alternativ kann man dafür auch z.B. ein Draytek-modem nutzen, was man tatsächlich als Modem hinstellt (Macht die überladene FritzBox die für Privatkunden gedacht ist überflüssig)


Die Sophos eignet sich genauso wie pfSense zum "rantasten". Für ein Labor kannst du auch eine VM hinter die Firewall klemmen, um einmal damit anzufangen. Vorteil: Man zerschießt sich nicht gleich die komplette "produktive" Heimumgebung, und hat niemanden mit einem nicht funktionierenden internet im nacken face-smile
kpunkt
kpunkt 22.02.2022 um 08:19:40 Uhr
Goto Top
Genau so.

WLAN ist so eine Sache. Ich hab da so eine ähnlich Konfiguration (Lancom hinter Fritzbox in einer kleinen Außenstelle).
Ich hab da WLAN an der Fritzbox angelassen. Weil da ist so gut wie kein Mobilfunknetz. Da können die die hin und wieder vor Ort sind mit dem Handy einfach aufs passwortgeschützte WLAN zugreifen. Aber ich weiß, dass die das Passwort auch mal an welche weitergeben, die nix mit dem Betrieb zu tun haben. Dann haben die von mir aus Zugriff (den ich nicht gänzlich verhindern kann), sind aber nicht gleich im Firmennetz.
Laptops haben dann den LAN-Port hinter dem Lancom zu nehmen.
Ansonsten halt einen AP hinter die Sophos klemmen.

Ein Draytek Vigor habe ich auch mal als Modem für meine Fortigate eingeplant. Alleine ich mit Hilfe eines Netzwerkfuzzis haben die Kombination nicht zum Laufen gebracht. Jetzt werkelt da auch ein Lancom als Quasi-Modem vor der Fortigate. Der lag rum und mir war es nach eienr Weile zu blöd nach der passenden Konfiguration zu schauen.
aqui
aqui 22.02.2022 um 09:53:30 Uhr
Goto Top
Ansonsten steht HIER alles was man zum Thema Router Kaskaden wissen muss.
MirkoKR
MirkoKR 22.02.2022 aktualisiert um 10:13:01 Uhr
Goto Top
Mal aus dem Hirn heraus ;- )
Die Fritzen können PPPoE-Pathtrough

Die Sophos müsste ja m.W. die PPPoE -- Einwahl unterstützen.
Wenn du also die Fritze zum Modem degradierst und PPPoE PassThrough aktivierst,sollte sich das realisieren lassen, das deine Sophos alleiniger Herr deines Netzwerks ist ...

NACHTRAG:
Es ist praktisch meist möglich, das die Fritze sich einwählt, und ein nachgeschaltetes Gerät - hier deine Sophos - mit denselben Zugangsdaten parallel => das kann bei mehrfacher Einwahl zusätzliche Kosten verursachen !
radiogugu
radiogugu 22.02.2022 um 11:02:34 Uhr
Goto Top
Zitat von @MirkoKR:
NACHTRAG:
Es ist praktisch meist möglich, das die Fritze sich einwählt, und ein nachgeschaltetes Gerät - hier deine Sophos - mit denselben Zugangsdaten parallel => das kann bei mehrfacher Einwahl zusätzliche Kosten verursachen !

Morschen.

Die Zusatzkosten kann man sich ersparen, wenn man der Fritzbox einfach entsprechend die Einwahl wegnimmt und "weitere Internetanbieter" auswählt und keine Zugangsdaten hinterlegt, jedoch das PPPoE Passthrough aktiviert.

Damit sollte ein reines Modem aus dem Gerät geworden sein.

Die Einstellung eines Exposed Hosts (in dem Fall die Sophos) ist zwar genauso möglich, schiebt aber die Thematik des doppelten NAT wieder in den Fokus.

Gruß
Marc