matze81
Goto Top

Sophos SG öffentliche IP Routing

Moin,
ich habe gerade keine Idee, wie ich die Überschrift formulieren sollte. Das Problem ist vielleicht auch halb so wild.

Also aktuell haben wir ein öffentliches /30 Netz (künftig A). Wir nutzen öffentlich nur eine IP (a).

Nun wurde die Glasfaser bzw. wird die Glasfaser umgebaut. Es soll ein zusätzlicher Backup mittels DSL erfolgen.

Bisher war in der SG 210 eine Netzwerkkarte mit der IP-Adresse a und dem dazugehörigen Default-GW konfig.

Nun hat der Provider ein neues /29er Netz (B) angelegt, da sie sonst das Backup nicht hinbekommen. Vereinbart ist, dass der alte IP-Adressen-Range beibehalten wird.

Nun klappt das so nicht wie gedacht. Also ist folgender Plan:

Die IP-Adressen von B werden auf A geroutet.

Das bedeutet ja, dass ich in der SG eine andere öffentliche IP b konfiguriere, diese 1:1 auf a geroutet wird und umgekehrt. Richtig?

Nun generiert die SG für OWA etc. die Zertifikate. Das bedeutet doch, dass diese für die IP-Adresse b ausgestellt werden. Oder denke ich gerade falsch?

Content-ID: 5048724680

Url: https://administrator.de/contentid/5048724680

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

Vision2015
Vision2015 22.12.2022 um 04:37:23 Uhr
Goto Top
Moin...

Nun generiert die SG für OWA etc. die Zertifikate. Das bedeutet doch, dass diese für die IP-Adresse b ausgestellt werden. Oder denke ich gerade falsch?
ja!
Zertifikate werden für SANs (Subject Alternative Name) ausgestellt, nicht für IP Adressen!
also kommt da der Hostname rein, nicht die IP

Frank
DerMaddin
DerMaddin 22.12.2022 um 07:35:55 Uhr
Goto Top
So wie Vision2015 schreibt. Zertifikate werden in der Regel auf DNS-Namen ausgestellt. Da können dann mehrere DNS-Namen enthalten sein. Alternativ sind aber auch IP-Adressen möglich aber ein Name muss enthalten sein. Schau dir euer aktuelles Zertifikat im Browser an.
NordicMike
NordicMike 22.12.2022 um 08:17:54 Uhr
Goto Top
Oder anders gesagt: Du kannst jedes Zertifikat mit jeder IP Adresse benutzen und auch hin und her tauschen usw.
2423392070
2423392070 22.12.2022 um 08:32:29 Uhr
Goto Top
Es gibt auch Zertifikate die auf sie IP gemünzt sind.
Mystery-at-min
Mystery-at-min 22.12.2022 um 08:40:46 Uhr
Goto Top
Nein.
DerMaddin
DerMaddin 22.12.2022 um 08:51:53 Uhr
Goto Top
Zitat von @2423392070:

Es gibt auch Zertifikate die auf sie IP gemünzt sind.

Ja, gibt es, macht aber wenig Sinn wenn man Web-Dienste (hier OWA) über DNS-Namen aufruft, dann kommt eine Warnung. Hat man beides, Hostname und IP-Adresse im Zertifikat hinterlegt, dann ist alles gut.
DerMaddin
DerMaddin 22.12.2022 um 08:55:46 Uhr
Goto Top
Zitat von @Mystery-at-min:

Nein.

Doch face-wink mit eigener CA ist das möglich, ob es auch öffentlich erhältliche Zertifikate nur mit IP-Adressen gibt, keine Ahnung. Muss man schauen, ob z.B. Let´s Encrypt das macht. Eher unwahrscheinlich, da hier die Missbrauchsgefahr zu hoch ist.
matze81
matze81 22.12.2022 um 09:32:54 Uhr
Goto Top
Ich war gestern nicht mehr auf der Höhe. Sorry und vielen Dank.

Der Provider schrieb mir das hsr so nicht funktioniert.
aqui
aqui 22.12.2022 aktualisiert um 09:42:15 Uhr
Goto Top
Wir nutzen öffentlich nur eine IP
Das ist logisch, denn mehr geht auch gar nicht bei einem /30er Prefix!
Eine ist der Provider Router und eine ist deine Sophos, das wars. Default Gateway der Sophos zeigt auf die Provider IP des /30er Netzes...fertisch.
Nun hat der Provider ein neues /29er Netz (B) angelegt
Ist ja egal... Routing bleibt ja gleich.
Beispiel:
Alte /30er Konfig mit 2 nutzbaren Hostadressen
Netz: 10.1.1.0 /30
IP Provider: 10.1.1.1
IP Sophos: 10.1.1.2
Default Route: 0.0.0.0/0 10.1.1.1

Neue /29er Konfig mit 6 nutzbaren Hostadressen:
Netz: 10.1.1.0 /29
IP Provider: 10.1.1.1
IP Sophos: 10.1.1.2
Default Route: 0.0.0.0/0 10.1.1.1
Adressen .3 bis .6 zur freien Verfügung für dich.

Wichtig ist natürlich das der Provider bei der neuen /29er Adressierung seine IP beibehalten hat!! Darauf zeigt ja deine Default Route der Sophos.
Ist das nicht der Fall musst du logischerweise die statische Default Router in der Sophos auf diese neue IP umstellen.
Alles kein Hexenwerk!
Die IP-Adressen von B werden auf A geroutet.
Das ist natürlich Quatsch wenn das IP Netz gleich bleibt und nur die Maske verändert wird.
Wenn du allerdings ein komplett neues /29er IP Netz bekommen hast musst du dann natürlich auch die WAN IP der Sophos UND die Default Route umstellen.
dass ich in der SG eine andere öffentliche IP b konfiguriere
Das ist Unsinn, denn das war bei A ja auch der Fall nur das du da nur 2 IP Adressen hattest bei einem /29er Prefix aber derer 6.

Entscheidend ist ob dein /29er Provider IP Netz gleichgeblieben ist und welches die Provider IP ist in dem Netz! Nur das ist relevant für dein Routing.
Leider machst du dazu keine oder wenig hilfreiche Angaben so das eine zielführende Hilfe nicht möglich ist. face-sad
Zu den Zertifikaten ist oben ja schon alles gesagt worden. Die haben mit dem IP Routing rein gar nichts zu tun. 2 völlig unterschiedliche Baustellen!
Mystery-at-min
Mystery-at-min 22.12.2022 um 09:38:32 Uhr
Goto Top
Du meinst als CN die IP? Ja, kann man vielleicht machen, aber das ist dann praktisch nur dumm und wohl auch RFC widersprüchlich.
Mr-Gustav
Mr-Gustav 22.12.2022 um 16:19:09 Uhr
Goto Top
Nur das ich(wir) das alle richtig verstanden haben.

Ihr habe:
-- einen Anschluss über Glasfaser mit der IP bzw. Subnetz 10.1.1.0/30
und zusätzlich
-- einen Anschluss über xDSL Technik mit einem /29 IP Subent welches ein andere IP hat 10.2.1.0/29

Also habt Ihr an der Sophos 2 Interfaces welche nach Internet/Extern kommunizieren können ?
Einmal über die IP 10.1.1.2 bzw. das Subnetz 10.1.1.0/30 und einmal über die IP 10.2.1.2 bzw. das andere Subnetz 10.2.1.0/29 ?
Habe ich das so richtig verstanden ?

Warum sollen jetzt die IP´s von Netz B - DSL Backup auf die IP von Netz A - Glasfaseranschluss umgeroutet
werden ?
Ihr macht ja scheinbar über den Glasfaseranschluss A eine OWA bereitstellung nach extern. Also würde ich hier einfach die DNS Einstelllungen so anpassen das OWA.Firma.de auf die IP Adresse der Glasfaserleitung zeigt.
Entsprechendes Zertifikat für OWA.firma.de bestellen und gut ist. Bzw. ich würde den Eintrag OWA2.firma.de mit ins SAN Zertifikat aufnehmen und den Backupanschluss B auf die DSL Schnittstelle zeigen lassen. Wenn Anschluss A ausfällt muss eben über OWA2.firma.de das OWA aufgerufen werden anstatt über OWA.firma.de
matze81
matze81 22.12.2022 um 17:47:48 Uhr
Goto Top
Moin,
Stand jetzt:
wir haben eine Glasfaser, sym. 200 MBit mit einer IP-Adresse 212....

Nun wechseln wir das Produkt. Das Produkt wird eine asym. Gigabit-Leitung mit einem DSL-Backup. Beides liefert der Provider inkl. diverser Router etc.

Der DSLer ist im Hot-Standby und beim Ausfall der Glasfaser wird der DSLer aktiv, die öffentliche IP-Adresse bleibt gleich. D.h. bei uns kommt dennoch nur ein Kabel mit einer öffentlichen IP-Adresse an.

Nun lässt sich laut Provider das, was sie uns verkauft haben aber so nicht realisieren.

Der Plan ist, dass wir ein neues öffentliches /29er Netz bekommen. Das ist glaube ich irgendwo was mit 61.....

Nun soll die alte, öffentliche IP-Adresse auf eine Adresse aus dem 29er Netz geroutet werden.

Der Auftrag war, dass der Adressbereich beibehalten wird. Danach kam die Info von dem Provider, dass das nur über den Umweg mit dem 29er Netz funktioniert.

Heute kam die Info, dass nicht klar ist ob HSRP dann wirklich funktioniert.

Ich möchte keine neue öffentliche IP, da ich nicht weiß, was ich dann alles ändern muss.
Wir hatten zwei Angebote über diese Lösung. Das eine belief sich auf 250 pro Monat, das andere auf 500. Ich habe das teurere genommen um nicht zu einer neuen IP Adresse zu switchen. Ich fürchte aber, dass ich es irgendwann eh muss.
Vision2015
Vision2015 22.12.2022 um 19:54:31 Uhr
Goto Top
Moin...
Zitat von @matze81:

Moin,
Stand jetzt:
wir haben eine Glasfaser, sym. 200 MBit mit einer IP-Adresse 212....

Nun wechseln wir das Produkt. Das Produkt wird eine asym. Gigabit-Leitung mit einem DSL-Backup. Beides liefert der Provider inkl. diverser Router etc.

Der DSLer ist im Hot-Standby und beim Ausfall der Glasfaser wird der DSLer aktiv, die öffentliche IP-Adresse bleibt gleich. D.h. bei uns kommt dennoch nur ein Kabel mit einer öffentlichen IP-Adresse an.

Nun lässt sich laut Provider das, was sie uns verkauft haben aber so nicht realisieren.

Der Plan ist, dass wir ein neues öffentliches /29er Netz bekommen. Das ist glaube ich irgendwo was mit 61.....

Nun soll die alte, öffentliche IP-Adresse auf eine Adresse aus dem 29er Netz geroutet werden.

Der Auftrag war, dass der Adressbereich beibehalten wird. Danach kam die Info von dem Provider, dass das nur über den Umweg mit dem 29er Netz funktioniert.

Heute kam die Info, dass nicht klar ist ob HSRP dann wirklich funktioniert.

Ich möchte keine neue öffentliche IP, da ich nicht weiß, was ich dann alles ändern muss.
na dann finde es raus!
schau in die Firewall, da sollte alles drinstehen!

Wir hatten zwei Angebote über diese Lösung. Das eine belief sich auf 250 pro Monat, das andere auf 500. Ich habe das teurere genommen um nicht zu einer neuen IP Adresse zu switchen. Ich fürchte aber, dass ich es irgendwann eh muss.
Frank
Xaero1982
Xaero1982 22.12.2022 um 23:45:17 Uhr
Goto Top
Das Umstellen auf eine neue IP ist nun wirklich kein Hexenwerk?!

Schau nach, ob irgendwelche VPN Tunnel existieren. Wenn ja musst du die neue IP mit der Gegenseite kommunizieren.
Ansonsten musste halt noch den DNS anpassen, wenn er eingerichtet ist beim Provider und vermutlich den MX Eintrag anpassen, wenn ihr nen internen Exchange habt.

Also ggf. einfach mal beim Provider nachsehen und wie Frank schreibt in der Firewall, was alles auf die "alte" IP verweist.
matze81
matze81 22.12.2022 um 23:57:20 Uhr
Goto Top
Moin,
grundsätzlich ja, allerdings stehe ich auf dem Standpunkt, dass es mit dem großen blauen Anbieter eine Vereinbarung gibt. Es gibt hier noch einen kleinen lokalen Anbieter der deutlich günstiger ist...

Ja, die DNS-Einträge zu ändern ist nicht das Drama. Aber irgendwie nervt es, da dies Grundlage für den Fortbestand der Glasfaser war...
aqui
aqui 23.12.2022 aktualisiert um 14:37:51 Uhr
Goto Top
Heute kam die Info, dass nicht klar ist ob HSRP dann wirklich funktioniert.
Wird es ganz sicher NICHT, denn HSRP ist ein Cisco proprietäres HA Protokoll was mit der Sophos garantiert nicht geht da nicht supportet. Wenn, dann vermutlich nur VRRP.
matze81
matze81 23.12.2022 um 14:56:27 Uhr
Goto Top
Moin,
Nein, das ist schon richtig so, es geht darum, dass das auf Seiten des Providers nicht funktionieren wird und der verwendet Cisco
aqui
aqui 02.02.2023 um 11:52:50 Uhr
Goto Top
dass das auf Seiten des Providers nicht funktionieren wird und der verwendet Cisco
Doch, dann klappt das natürlich wenn der Provider auch einen Cisco einsetzt und man die HSRP Konfig mit ihm abspricht.

Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!