Sophos SG öffentliche IP Routing
Moin,
ich habe gerade keine Idee, wie ich die Überschrift formulieren sollte. Das Problem ist vielleicht auch halb so wild.
Also aktuell haben wir ein öffentliches /30 Netz (künftig A). Wir nutzen öffentlich nur eine IP (a).
Nun wurde die Glasfaser bzw. wird die Glasfaser umgebaut. Es soll ein zusätzlicher Backup mittels DSL erfolgen.
Bisher war in der SG 210 eine Netzwerkkarte mit der IP-Adresse a und dem dazugehörigen Default-GW konfig.
Nun hat der Provider ein neues /29er Netz (B) angelegt, da sie sonst das Backup nicht hinbekommen. Vereinbart ist, dass der alte IP-Adressen-Range beibehalten wird.
Nun klappt das so nicht wie gedacht. Also ist folgender Plan:
Die IP-Adressen von B werden auf A geroutet.
Das bedeutet ja, dass ich in der SG eine andere öffentliche IP b konfiguriere, diese 1:1 auf a geroutet wird und umgekehrt. Richtig?
Nun generiert die SG für OWA etc. die Zertifikate. Das bedeutet doch, dass diese für die IP-Adresse b ausgestellt werden. Oder denke ich gerade falsch?
ich habe gerade keine Idee, wie ich die Überschrift formulieren sollte. Das Problem ist vielleicht auch halb so wild.
Also aktuell haben wir ein öffentliches /30 Netz (künftig A). Wir nutzen öffentlich nur eine IP (a).
Nun wurde die Glasfaser bzw. wird die Glasfaser umgebaut. Es soll ein zusätzlicher Backup mittels DSL erfolgen.
Bisher war in der SG 210 eine Netzwerkkarte mit der IP-Adresse a und dem dazugehörigen Default-GW konfig.
Nun hat der Provider ein neues /29er Netz (B) angelegt, da sie sonst das Backup nicht hinbekommen. Vereinbart ist, dass der alte IP-Adressen-Range beibehalten wird.
Nun klappt das so nicht wie gedacht. Also ist folgender Plan:
Die IP-Adressen von B werden auf A geroutet.
Das bedeutet ja, dass ich in der SG eine andere öffentliche IP b konfiguriere, diese 1:1 auf a geroutet wird und umgekehrt. Richtig?
Nun generiert die SG für OWA etc. die Zertifikate. Das bedeutet doch, dass diese für die IP-Adresse b ausgestellt werden. Oder denke ich gerade falsch?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5048724680
Url: https://administrator.de/contentid/5048724680
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
18 Kommentare
Neuester Kommentar
Moin...
Zertifikate werden für SANs (Subject Alternative Name) ausgestellt, nicht für IP Adressen!
also kommt da der Hostname rein, nicht die IP
Frank
Nun generiert die SG für OWA etc. die Zertifikate. Das bedeutet doch, dass diese für die IP-Adresse b ausgestellt werden. Oder denke ich gerade falsch?
ja!Zertifikate werden für SANs (Subject Alternative Name) ausgestellt, nicht für IP Adressen!
also kommt da der Hostname rein, nicht die IP
Frank
Es gibt auch Zertifikate die auf sie IP gemünzt sind.
Doch mit eigener CA ist das möglich, ob es auch öffentlich erhältliche Zertifikate nur mit IP-Adressen gibt, keine Ahnung. Muss man schauen, ob z.B. Let´s Encrypt das macht. Eher unwahrscheinlich, da hier die Missbrauchsgefahr zu hoch ist.
Wir nutzen öffentlich nur eine IP
Das ist logisch, denn mehr geht auch gar nicht bei einem /30er Prefix!Eine ist der Provider Router und eine ist deine Sophos, das wars. Default Gateway der Sophos zeigt auf die Provider IP des /30er Netzes...fertisch.
Nun hat der Provider ein neues /29er Netz (B) angelegt
Ist ja egal... Routing bleibt ja gleich.Beispiel:
Alte /30er Konfig mit 2 nutzbaren Hostadressen
Netz: 10.1.1.0 /30
IP Provider: 10.1.1.1
IP Sophos: 10.1.1.2
Default Route: 0.0.0.0/0 10.1.1.1
Neue /29er Konfig mit 6 nutzbaren Hostadressen:
Netz: 10.1.1.0 /29
IP Provider: 10.1.1.1
IP Sophos: 10.1.1.2
Default Route: 0.0.0.0/0 10.1.1.1
Adressen .3 bis .6 zur freien Verfügung für dich.
Wichtig ist natürlich das der Provider bei der neuen /29er Adressierung seine IP beibehalten hat!! Darauf zeigt ja deine Default Route der Sophos.
Ist das nicht der Fall musst du logischerweise die statische Default Router in der Sophos auf diese neue IP umstellen.
Alles kein Hexenwerk!
Die IP-Adressen von B werden auf A geroutet.
Das ist natürlich Quatsch wenn das IP Netz gleich bleibt und nur die Maske verändert wird.Wenn du allerdings ein komplett neues /29er IP Netz bekommen hast musst du dann natürlich auch die WAN IP der Sophos UND die Default Route umstellen.
dass ich in der SG eine andere öffentliche IP b konfiguriere
Das ist Unsinn, denn das war bei A ja auch der Fall nur das du da nur 2 IP Adressen hattest bei einem /29er Prefix aber derer 6.Entscheidend ist ob dein /29er Provider IP Netz gleichgeblieben ist und welches die Provider IP ist in dem Netz! Nur das ist relevant für dein Routing.
Leider machst du dazu keine oder wenig hilfreiche Angaben so das eine zielführende Hilfe nicht möglich ist.
Zu den Zertifikaten ist oben ja schon alles gesagt worden. Die haben mit dem IP Routing rein gar nichts zu tun. 2 völlig unterschiedliche Baustellen!
Nur das ich(wir) das alle richtig verstanden haben.
Ihr habe:
-- einen Anschluss über Glasfaser mit der IP bzw. Subnetz 10.1.1.0/30
und zusätzlich
-- einen Anschluss über xDSL Technik mit einem /29 IP Subent welches ein andere IP hat 10.2.1.0/29
Also habt Ihr an der Sophos 2 Interfaces welche nach Internet/Extern kommunizieren können ?
Einmal über die IP 10.1.1.2 bzw. das Subnetz 10.1.1.0/30 und einmal über die IP 10.2.1.2 bzw. das andere Subnetz 10.2.1.0/29 ?
Habe ich das so richtig verstanden ?
Warum sollen jetzt die IP´s von Netz B - DSL Backup auf die IP von Netz A - Glasfaseranschluss umgeroutet
werden ?
Ihr macht ja scheinbar über den Glasfaseranschluss A eine OWA bereitstellung nach extern. Also würde ich hier einfach die DNS Einstelllungen so anpassen das OWA.Firma.de auf die IP Adresse der Glasfaserleitung zeigt.
Entsprechendes Zertifikat für OWA.firma.de bestellen und gut ist. Bzw. ich würde den Eintrag OWA2.firma.de mit ins SAN Zertifikat aufnehmen und den Backupanschluss B auf die DSL Schnittstelle zeigen lassen. Wenn Anschluss A ausfällt muss eben über OWA2.firma.de das OWA aufgerufen werden anstatt über OWA.firma.de
Ihr habe:
-- einen Anschluss über Glasfaser mit der IP bzw. Subnetz 10.1.1.0/30
und zusätzlich
-- einen Anschluss über xDSL Technik mit einem /29 IP Subent welches ein andere IP hat 10.2.1.0/29
Also habt Ihr an der Sophos 2 Interfaces welche nach Internet/Extern kommunizieren können ?
Einmal über die IP 10.1.1.2 bzw. das Subnetz 10.1.1.0/30 und einmal über die IP 10.2.1.2 bzw. das andere Subnetz 10.2.1.0/29 ?
Habe ich das so richtig verstanden ?
Warum sollen jetzt die IP´s von Netz B - DSL Backup auf die IP von Netz A - Glasfaseranschluss umgeroutet
werden ?
Ihr macht ja scheinbar über den Glasfaseranschluss A eine OWA bereitstellung nach extern. Also würde ich hier einfach die DNS Einstelllungen so anpassen das OWA.Firma.de auf die IP Adresse der Glasfaserleitung zeigt.
Entsprechendes Zertifikat für OWA.firma.de bestellen und gut ist. Bzw. ich würde den Eintrag OWA2.firma.de mit ins SAN Zertifikat aufnehmen und den Backupanschluss B auf die DSL Schnittstelle zeigen lassen. Wenn Anschluss A ausfällt muss eben über OWA2.firma.de das OWA aufgerufen werden anstatt über OWA.firma.de
Moin...
schau in die Firewall, da sollte alles drinstehen!
Zitat von @matze81:
Moin,
Stand jetzt:
wir haben eine Glasfaser, sym. 200 MBit mit einer IP-Adresse 212....
Nun wechseln wir das Produkt. Das Produkt wird eine asym. Gigabit-Leitung mit einem DSL-Backup. Beides liefert der Provider inkl. diverser Router etc.
Der DSLer ist im Hot-Standby und beim Ausfall der Glasfaser wird der DSLer aktiv, die öffentliche IP-Adresse bleibt gleich. D.h. bei uns kommt dennoch nur ein Kabel mit einer öffentlichen IP-Adresse an.
Nun lässt sich laut Provider das, was sie uns verkauft haben aber so nicht realisieren.
Der Plan ist, dass wir ein neues öffentliches /29er Netz bekommen. Das ist glaube ich irgendwo was mit 61.....
Nun soll die alte, öffentliche IP-Adresse auf eine Adresse aus dem 29er Netz geroutet werden.
Der Auftrag war, dass der Adressbereich beibehalten wird. Danach kam die Info von dem Provider, dass das nur über den Umweg mit dem 29er Netz funktioniert.
Heute kam die Info, dass nicht klar ist ob HSRP dann wirklich funktioniert.
Ich möchte keine neue öffentliche IP, da ich nicht weiß, was ich dann alles ändern muss.
na dann finde es raus!Moin,
Stand jetzt:
wir haben eine Glasfaser, sym. 200 MBit mit einer IP-Adresse 212....
Nun wechseln wir das Produkt. Das Produkt wird eine asym. Gigabit-Leitung mit einem DSL-Backup. Beides liefert der Provider inkl. diverser Router etc.
Der DSLer ist im Hot-Standby und beim Ausfall der Glasfaser wird der DSLer aktiv, die öffentliche IP-Adresse bleibt gleich. D.h. bei uns kommt dennoch nur ein Kabel mit einer öffentlichen IP-Adresse an.
Nun lässt sich laut Provider das, was sie uns verkauft haben aber so nicht realisieren.
Der Plan ist, dass wir ein neues öffentliches /29er Netz bekommen. Das ist glaube ich irgendwo was mit 61.....
Nun soll die alte, öffentliche IP-Adresse auf eine Adresse aus dem 29er Netz geroutet werden.
Der Auftrag war, dass der Adressbereich beibehalten wird. Danach kam die Info von dem Provider, dass das nur über den Umweg mit dem 29er Netz funktioniert.
Heute kam die Info, dass nicht klar ist ob HSRP dann wirklich funktioniert.
Ich möchte keine neue öffentliche IP, da ich nicht weiß, was ich dann alles ändern muss.
schau in die Firewall, da sollte alles drinstehen!
Wir hatten zwei Angebote über diese Lösung. Das eine belief sich auf 250 pro Monat, das andere auf 500. Ich habe das teurere genommen um nicht zu einer neuen IP Adresse zu switchen. Ich fürchte aber, dass ich es irgendwann eh muss.
Frank
Das Umstellen auf eine neue IP ist nun wirklich kein Hexenwerk?!
Schau nach, ob irgendwelche VPN Tunnel existieren. Wenn ja musst du die neue IP mit der Gegenseite kommunizieren.
Ansonsten musste halt noch den DNS anpassen, wenn er eingerichtet ist beim Provider und vermutlich den MX Eintrag anpassen, wenn ihr nen internen Exchange habt.
Also ggf. einfach mal beim Provider nachsehen und wie Frank schreibt in der Firewall, was alles auf die "alte" IP verweist.
Schau nach, ob irgendwelche VPN Tunnel existieren. Wenn ja musst du die neue IP mit der Gegenseite kommunizieren.
Ansonsten musste halt noch den DNS anpassen, wenn er eingerichtet ist beim Provider und vermutlich den MX Eintrag anpassen, wenn ihr nen internen Exchange habt.
Also ggf. einfach mal beim Provider nachsehen und wie Frank schreibt in der Firewall, was alles auf die "alte" IP verweist.
dass das auf Seiten des Providers nicht funktionieren wird und der verwendet Cisco
Doch, dann klappt das natürlich wenn der Provider auch einen Cisco einsetzt und man die HSRP Konfig mit ihm abspricht.Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!