Sophos SG135 - Routing
Moin Zusammen,
ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135.
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.
Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.
Grüße und danke
ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135.
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.
Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.
Grüße und danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387450
Url: https://administrator.de/forum/sophos-sg135-routing-387450.html
Ausgedruckt am: 04.04.2025 um 09:04 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
Dir ist schon klar das eine Sophos SG 135 eine UTM ist, die auch Routen kann, DUAL Wan beherrschen kann usw. Die kann einiges mehr und oder anders und oder weniger als dein CISCO DualWAN Router.
Gruß,
Peter
Dir ist schon klar das eine Sophos SG 135 eine UTM ist, die auch Routen kann, DUAL Wan beherrschen kann usw. Die kann einiges mehr und oder anders und oder weniger als dein CISCO DualWAN Router.
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Also ich greife mit einer Öffentlichen IP auf einer Öffentlichen IP von dir zu, du nimmst diese Anfrage entgegen und wilst diese IP an eine andere IP (Öffentlich, VPN, Intranet, DMZ) senden damit die dort geprüft wird ob die erlaubniss hat auf deine Öffentliche IP zuzugreifen (Odre get es um Dienste bei dir)?Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.
Und dann frag dich einmal wer dann das Routing für dieses Szenario gemacht hat, wenn nichts dazu irgendwo Konfiguriert war.Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.
Eigentlich genauso wie es vorher bei dir Konfiguriert war.Gruß,
Peter
Die Formulierung...
Die Frage die sich stellt ist ob du von außen, sprich Internet, auf die öffentliche SDSL IP zugreifen willst die an der Sophos anliegt oder ob das von innen (lokale LANs) geschehen soll.
Bei ersterem wäre die Frage des Routings Blödsinn, denn den Routing Weg im Provider Netz kannst du nicht beeinflussen.
Bleibt also nur die Option 2 aber da wäre dann der SDSL Port Unsinn, denn der spielt ja intern keine Rolle.
Das ist vermutlich die Unklarheit die nicht nur den Kollegen @Pjordorf verwirrt...!
Vielleicht bringt eine kleine Skizze Licht ins Dunkel oder eine etwas bessere Erklärung des Sachverhalts ?!
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Ist recht unklar und verwirrt.Die Frage die sich stellt ist ob du von außen, sprich Internet, auf die öffentliche SDSL IP zugreifen willst die an der Sophos anliegt oder ob das von innen (lokale LANs) geschehen soll.
Bei ersterem wäre die Frage des Routings Blödsinn, denn den Routing Weg im Provider Netz kannst du nicht beeinflussen.
Bleibt also nur die Option 2 aber da wäre dann der SDSL Port Unsinn, denn der spielt ja intern keine Rolle.
Das ist vermutlich die Unklarheit die nicht nur den Kollegen @Pjordorf verwirrt...!
Vielleicht bringt eine kleine Skizze Licht ins Dunkel oder eine etwas bessere Erklärung des Sachverhalts ?!
Moin,
Ich Name an, du willst ein Policy-Based-Routing anhand eines Dienstes betreiben.
Schaue mal hier:
https://community.sophos.com/kb/en-us/123579
P.S.
Habe die im übrigen im ersten Post bereits verstanden ;)
Gruß
em-pie
Ich Name an, du willst ein Policy-Based-Routing anhand eines Dienstes betreiben.
Schaue mal hier:
https://community.sophos.com/kb/en-us/123579
P.S.
Habe die im übrigen im ersten Post bereits verstanden ;)
Gruß
em-pie
Und natürlich geht es darum aus dem internernen Netz über die SDSL Leitung ein bestimmtes Ziel zu erreichen und das NUR über die SDSL
Na ja,...das ist ja nun eine Lachnummer und machst du über die Balancing Regeln im Router indem du dort mit einer Policy bestimmst das alles an Paketen was die Google IP als Zieladresse hat über den SDSL WAN Port geht.Das sind doch simple Basics bei einem Balancing Router wo es eigentlich doch keinen Thread für bedarf.
vermutlich ist die Sophos nicht richtig konfiguriert.
Dem kann man nur beipflichten !!
Eventuell ist es einfacher das Anhand der Ziel-IP bzw. des IP-Adressbereiches zu definieren.
Beispiel:
Interfaces & Routing \ Static Routing \ Standard Static Routing
Route Type: Interface route
Network: <Ziel-IP-Netz>
Interface: <WAN-Schnittstelle mit pasender IP>
oder
Interfaces & Routing \ Static Routing \ Policy Routes
Route Type: Gateway route
Source interface: any
Source network: any
Service: any
Destination network: <Ziel-IP-Netz>
Gateway: <WAN-Schnittstelle mit pasender IP>
Beispiel:
Interfaces & Routing \ Static Routing \ Standard Static Routing
Route Type: Interface route
Network: <Ziel-IP-Netz>
Interface: <WAN-Schnittstelle mit pasender IP>
oder
Interfaces & Routing \ Static Routing \ Policy Routes
Route Type: Gateway route
Source interface: any
Source network: any
Service: any
Destination network: <Ziel-IP-Netz>
Gateway: <WAN-Schnittstelle mit pasender IP>
- Router ist in beiden IP Netzen mit der jeweiligen Netz-internen IP des Routers als Gateway eingetragen.
- Auf beiden Geräten blockt keine eigene Firewall den IPv4 Ping.
- In der Routerfirewall dürfen beide! Netze auf das jeweils andere zugreifen.
- Eventuell ist noch NAT konfiguriert oder nicht konfiguriert, kann deine Sophos diese Box direkt pingen und bekommt eine Antwort?
Ich würde außerdem nicht zwei Probleme in einem Thread besprechen...
- Auf beiden Geräten blockt keine eigene Firewall den IPv4 Ping.
- In der Routerfirewall dürfen beide! Netze auf das jeweils andere zugreifen.
- Eventuell ist noch NAT konfiguriert oder nicht konfiguriert, kann deine Sophos diese Box direkt pingen und bekommt eine Antwort?
Ich würde außerdem nicht zwei Probleme in einem Thread besprechen...
Kannst du mal bildlich skizzieren (zeichnen), wie jetzt was zusammenhängt?
Klingt so, als gäbe es bei die im LAN zwei WANs:
WAN1 ist direkt an der FW terminiert.
WAN2 hängt an der ominösen BOX, die wiederum an der FW terminiert ist!?
Wenn dem tatsächlich so ist, musst du doch nur die richtigen Routen setzen (sofern das Zielnetz zu dem Testamentsserver bekannt ist):
0.0.0.0/0 läuft über WAN 1, 47.118.15.0/ 30 (mal fiktiv als Netz der Testamentsserver) läuft über die IP private IP der Box, welche an WAN2 hängt....
Klingt so, als gäbe es bei die im LAN zwei WANs:
WAN1 ist direkt an der FW terminiert.
WAN2 hängt an der ominösen BOX, die wiederum an der FW terminiert ist!?
Wenn dem tatsächlich so ist, musst du doch nur die richtigen Routen setzen (sofern das Zielnetz zu dem Testamentsserver bekannt ist):
0.0.0.0/0 läuft über WAN 1, 47.118.15.0/ 30 (mal fiktiv als Netz der Testamentsserver) läuft über die IP private IP der Box, welche an WAN2 hängt....
Hallo,
Gruß,
Peter
Zitat von @Xaero1982:
- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
Wohin denn wird gepingt?- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
- Dürfen sie mit -any-
Wer darf mit -any-?- die Box lässt sich pingen, aber die Webseite nicht
Erkläre uns dösbaddel mal wie du eine WebSeite anpingen tust?Die Box baut eine VPN Verbindung zum Testamentsregisterserver auf
Warum haben wir den Verdacht gehabt das du uns wichtige Sachen verschweigen tust?und nur wenn man als Gateway die Box hat geht der Zugriff. Sprich, wenn auf dem Client eine entsprechende Route gesetzt ist.
Und was in deinem Konstrukt funktioniert jetzt nicht?Gruß,
Peter
Die Box selbst muss deinen Router als GW konfiguriert haben, und zwar mit der IP 192.168.0.103 also der Subnetz-internen IP der Sophos. Dein PC muss als Gateway die 172er IP der Sophos eingetragen haben. Das Gateway muss im eigenen IP-Netz liegen!
Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.
Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.