schlueterit
Goto Top

SOPHOS Red baut keine Internet-Verbindung auf

Guten Morgen,

ich bin derzeit bei der Einrichtung meiner SOPHOS RED 15 am verzweifeln. Aber zunächst zu Situation:

Ich habe zwei Netzwerke. An einem Netzwerk liegt eine syncrone Glasfaserleitung mit 100 Up- / 100 Download. Hier steht eine Sophos SG115 hinter einer Fritz!Box 7490. Die FritzBox kann gern entfernt werden. In der Fritz!Box habe ich Exposed-Host auf die SOPHOS SG115 freigegeben. Die Fritz!Box hat das IP-Netzwerk 192.168.11.0 - 192.168.11.255 wobei die FritzBox die 192.168.11.1 und die SOPHOS die 192.168.11.200 hat. Andere Geräte sind im Netzwerk nicht vorhanden, DHCP ist ausgeschaltet.

In meinem zweiten Netzwerk (Home-Office) habe ich die SOPHOS RED 15 stehen. Es liegt ein 1 & 1 Internet 100 VDSL, wobei ca. 46000 im Download und etwa 10000 im Download ankommen / rausgehen. Hier steht ebenfalls eine Fritz!Box. Natürlich ist kein Exposed Host eingerichtet. Die FritzBox hat das IP-Netzwerk 192.168.10.0 - 192.168.10.255 wobei die FritzBox die 192.168.10.1 hat. Das DHCP-Netzwerk liegt im Bereich 192.168.10.20 - 192.168.10.150. Es befinden sich diverse andere Geräte (ca. 10 Stk) im Netzwerk.


Nun zum Problem: Ich richte also in der SG115 die RED ein. Hierzu gehe ich auf meine SG115 und wähle den Navigationspunkt "RED Verwaltung". Dann wähle ich in der Unternavigation "[SERVER] Clientverwaltung" und klicke die Schaltfläche "+ Neues RED". Ich befülle das Formular:

Zweigstellenname: HomeOffice

Clienttyp: RED15

RED-ID: meine RED-ID (abgelesen vom Gerät)

Tunnel-ID: Automatisch

Entsperrcode: leer

UTM-Hostname: feste IP des Anschlusses in der Firma (bei der SG115, nicht die 192.168.11.200 sondern die öffentliche)

2. UTM-Hostname: leer

Uplink-Modus: DHCP Client

Betriebsmodus: Standard/Vereint

Anschließend schließe ich die RED bei mir im HomeOffice direkt an die FritzBox (LAN 1) an. Es fängt die Systemleuchte an zu grün blinken, dann leuchtet sie. Es fängt die Routerleuchte an grün zu blinken, dann leuchtet sie. Es fängt die Internetleuchte an zu blinken, dann blinken System & Internet Rot (und Router leuchtet weiterin grün). Das Gerät macht einen Neustart. Anschließend wiederholt sich das Schauspiel.

Nach dem Internet / Handbuch bedeutet es, dass die RED keine Internetverbindung aufbauen kann. Jedoch kann ich mir nicht erklären warum. Denn Sie kann sich eine IP-Adresse aus der FritzBox ziehen. Sie kann ebenfalls uneingeschränkt nach außen kommunizieren, FritzBox blockiert ausgehend nichts (richtig?). Internet habe ich, mit meinem an der Fritz!Box per Kabel angeschlossenen Notebook funktioniert das Internet. Genug IP-Adressen sind im DHCP verfügbar.

Ich freue mich auf Antworten...

Danke und schönen Sonntag!

Eike

Content-Key: 388079

Url: https://administrator.de/contentid/388079

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 30.09.2018 um 11:16:50 Uhr
Goto Top
Hallo Eike,

vllt ist deine RED auch einfach kaputt oder verkonfiguriert. Wenn du da natürlich die falschen Settings gesetzt hast, dann hast du ein Problem. Normal ist das aber easy going.

VG
Mitglied: kippchri
kippchri 30.09.2018 aktualisiert um 13:07:45 Uhr
Goto Top
Mahlzeit,

was sagt denn das RED LiveLog?
Kommen dort anfragen an?
Ist die RED neu? oder schon einmal im Einsatz gewesen?
Es kann durchaus sein, dass ein Exposed Host nicht ausreicht, das würde dann bedeuten, dass die FritzBox dort entfernt werden müsste.

Grüße aus Ratingen
Mitglied: aqui
aqui 30.09.2018 aktualisiert um 14:20:57 Uhr
Goto Top
Nein, die FB müsste nicht zwingend entfernt werden.
Auf den LAN Ports vergibt sie ja an Endgeräte entsprechende IP Adressen und auch DNS und Default Gateway.
In sofern hat der TO alles richtig gemacht wenn er das Interface der Firewall was an die FB angeschlossen wir in den DHCP Client Modus gesetzt hat.

Was er da macht ist das er die Firewall in einer simplen Router Kaskade mit doppeltem NAT betreibt wie sie hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
und auch hier:
Kopplung von 2 Routern am DSL Port
ausführlich beschrieben sind.
Eigentlich eine simple und banale Allerweltskonfig die auf Anhieb laufen sollte.
Man kann nur, wie der Kollege @certifiedit.net schon richtig vermutet, schlussfolgern das irgendwas an der Sophos entweder defekt oder falsch konfiguriert wurde.
Normal kann man das dort einfach checken, denn das WAN Interface der Sophos sollte eine IP aus dem DHCP Bereich der FB bekommen haben sowie als DNS IP und Gateway die LAN IP Adresse der FritzBox.
Hilfreich wäre es gewesen wenn der TO mal beschrieben hätte ober er:
  • Von der Sophos die LAN IP der FritzBox pingen kann
  • Von der Sophos die WAN / Internet IP der FritzBox pingen kann
  • Von der Sophos eine nackte IP im Internet wie z.B. 8.8.8.8 pingen kann.
Ebenso wäre ein Screenshot der Routing Tabelle und des DNS Eintrages der Sophos hier hilfreich gewesen um zu sehem das dort die WAN Port IP Adressierung korrekt ist.
Leider hat es dazu aber beim TO nicht gereicht...aus welchem Grund auch immer ?! face-sad
So können auch wir nur raten und in die Glaskugel sehen face-sad

Generell sind solche Router Kaskaden wie sie der TO betreibt immer kontraproduktiv. Gerade in Verbindung mit einer kaskadierten Firewall.
Das doppelte NAT was da zwangsweise gefahren wird, schafft erhebliche Probleme in der Performance und mit dem Traffic Forwarding aus dem Internet auf die Firewall weil immer das NAT des davor kaskadierten Systems mühsam überwunden werden muss was logischerweise immer Fehler nach sich zieht.
Abgesehen davon ist es noch schlimmer das kaskadierte WAN Interface im DHCP Client Mode laufen zu lassen. Technisch gesehen kann man das machen, aber....
Nachteil ist das der dann zwangsweise zu forwardende Traffic (PFW oder Exposed Host) dann auf eine dynamische IP Adresse gelegt werden muss.
Ändert die sich mal, ists aus mit VPNs oder anderen Diensten die man über die kaskadierte Firewall abbildet. Schlechtes Design !
Hier sollten also IMMER statische IP Adressen verwendet werden, mindestens aber über die Mac Adresse des WAN Ports eine feste IP Adressreservierung im FritzBox DHCP Server gemacht werden damit der Firewall WAN Port in so einer Kaskade eine feste, verlässliche IP hat.
Der TO hat sich also vermutlich aus Unwissenheit selber Steine in den Weg gelegt.
Das aber nur nebenbei.

Sinnvoll wäre es die FritzBoxen durch reine Modems wie z.B. dem Vigor 130 oder Allnet BM200V zu ersetzen
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
Das eliminiert das doppelte NAT und auch das damit verbundene Port Forwarding Problem und ist die technisch bessere Lösung.
Bei Glasfaser bekommt man so oder so einen Übergabepunkt mit Kupfer RJ-45 vom Provider. Da dann noch eine FritzBox dazwischen zu hängen als überflüssiger "Durchlauferhitzer" obwohl man die Sophos direkt anschliessen kann ist so oder so sinnfrei und zeugt eher von wenig Fachkenntniss.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.10.2018 um 09:19:16 Uhr
Goto Top
Zitat von @schlueterit:

Guten Morgen,

Moin,


ich bin derzeit bei der Einrichtung meiner SOPHOS RED 15 am verzweifeln. Aber zunächst zu Situation:

Dann hol Dir jemanden, der sich damit auskennt udn schon Deine nerven. face-smile

Ich habe zwei Netzwerke. An einem Netzwerk liegt eine syncrone Glasfaserleitung mit 100 Up- / 100 Download.

Unterschied zwischen (a)symmetrisch und (a)synchron

Hier steht eine Sophos SG115 hinter einer Fritz!Box 7490. Die FritzBox kann gern entfernt werden.

Dann häng Doch einfach direkt die Sophos an die Leitung statt der Fritzbox.

In der Fritz!Box habe ich Exposed-Host auf die SOPHOS SG115 freigegeben. Die Fritz!Box hat das IP-Netzwerk 192.168.11.0 - 192.168.11.255 wobei die FritzBox die 192.168.11.1 und die SOPHOS die 192.168.11.200 hat. Andere Geräte sind im Netzwerk nicht vorhanden, DHCP ist ausgeschaltet.

o.k soweit ganz i.O.


In meinem zweiten Netzwerk (Home-Office) habe ich die SOPHOS RED 15 stehen. Es liegt ein 1 & 1 Internet 100 VDSL, wobei ca. 46000 im Download und etwa 10000 im Download ankommen / rausgehen. Hier steht ebenfalls eine Fritz!Box. Natürlich ist kein Exposed Host eingerichtet. Die FritzBox hat das IP-Netzwerk 192.168.10.0 - 192.168.10.255 wobei die FritzBox die 192.168.10.1 hat. Das DHCP-Netzwerk liegt im Bereich 192.168.10.20 - 192.168.10.150. Es befinden sich diverse andere Geräte (ca. 10 Stk) im Netzwerk.


Ersmal auch ganz o.k. ber warum nimmst Du nicht gleich ein Modem wie Draytek Vigor o.ä. statt mit der Fritzbox eine unötige Routerkaskade zu bauen?


Nun zum Problem: Ich richte also in der SG115 die RED ein. Hierzu gehe ich auf meine SG115 und wähle den Navigationspunkt "RED Verwaltung". Dann wähle ich in der Unternavigation "[SERVER] Clientverwaltung" und klicke die Schaltfläche "+ Neues RED". Ich befülle das Formular:

Zweigstellenname: HomeOffice

Clienttyp: RED15

RED-ID: meine RED-ID (abgelesen vom Gerät)

Tunnel-ID: Automatisch

Entsperrcode: leer

UTM-Hostname: feste IP des Anschlusses in der Firma (bei der SG115, nicht die 192.168.11.200 sondern die öffentliche)

2. UTM-Hostname: leer

Uplink-Modus: DHCP Client

Betriebsmodus: Standard/Vereint

Anschließend schließe ich die RED bei mir im HomeOffice direkt an die FritzBox (LAN 1) an. Es fängt die Systemleuchte an zu grün blinken, dann leuchtet sie. Es fängt die Routerleuchte an grün zu blinken, dann leuchtet sie. Es fängt die Internetleuchte an zu blinken, dann blinken System & Internet Rot (und Router leuchtet weiterin grün). Das Gerät macht einen Neustart. Anschließend wiederholt sich das Schauspiel.

Kaputt?


Nach dem Internet / Handbuch bedeutet es, dass die RED keine Internetverbindung aufbauen kann. Jedoch kann ich mir nicht erklären warum. Denn Sie kann sich eine IP-Adresse aus der FritzBox ziehen. Sie kann ebenfalls uneingeschränkt nach außen kommunizieren, FritzBox blockiert ausgehend nichts (richtig?). Internet habe ich, mit meinem an der Fritz!Box per Kabel angeschlossenen Notebook funktioniert das Internet. Genug IP-Adressen sind im DHCP verfügbar.

Ich freue mich auf Antworten...

Häng einen sniffer dran oder sniffe auf der Fritzbox mit, was sich da tut.

lks