22
Sophos SG135 - Routing
Moin Zusammen,
ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135.
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.
Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.
Grüße und danke
ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135.
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.
Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.
Grüße und danke
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387450
Url: https://administrator.de/forum/sophos-sg135-routing-387450.html
Ausgedruckt am: 16.03.2025 um 03:03 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
Dir ist schon klar das eine Sophos SG 135 eine UTM ist, die auch Routen kann, DUAL Wan beherrschen kann usw. Die kann einiges mehr und oder anders und oder weniger als dein CISCO DualWAN Router.
Gruß,
Peter
Dir ist schon klar das eine Sophos SG 135 eine UTM ist, die auch Routen kann, DUAL Wan beherrschen kann usw. Die kann einiges mehr und oder anders und oder weniger als dein CISCO DualWAN Router.
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Also ich greife mit einer Öffentlichen IP auf einer Öffentlichen IP von dir zu, du nimmst diese Anfrage entgegen und wilst diese IP an eine andere IP (Öffentlich, VPN, Intranet, DMZ) senden damit die dort geprüft wird ob die erlaubniss hat auf deine Öffentliche IP zuzugreifen (Odre get es um Dienste bei dir)?Bei dem Cisco hab ich das Ziel angegeben, das GW und das Interface und das wars.
Und dann frag dich einmal wer dann das Routing für dieses Szenario gemacht hat, wenn nichts dazu irgendwo Konfiguriert war.Wie muss ich das bei der SG konfigurieren? Irgendwie bekomme ich es nicht hin.
Eigentlich genauso wie es vorher bei dir Konfiguriert war.Gruß,
Peter
Hi,
ehm das ist mir klar?! Verstehe die Frage nicht um die es auch gar nicht geht?
Hä?
Wir benutzen bestimmte "Dienste", die aber nur genutzt werden können, wenn wir "von" unserer statischen IP kommen - da wir aber auch noch eine VDSL Leitung mit dynamischer IP haben, will ich sicher stellen und muss ich sicher stellen, dass dieser Dienst nur über die SDSL Leitung läuft, weil dort geprüft wird wer zugreift und nur bekannte - unsere SDSL IP - Zugriff bekommen.
Auf dem Cisco ist es konfiguriert und der fliegt raus und daher die Frage: Wie auf der Sophos?
Ich gehe auf static routing, erstelle eine neue Route,
Route Type: interface route
Network: das Ziel - die IP auf die zugegriffen werden soll
Interface: das SDSL Interface
Route aktiv - es geht nicht mal mehr ein Ping. Da die SDSL aktuell die primäre Leitung ist geht es zwar ohne die statische Route, aber ... ich würde gerne zur Sicherheit eine statische Route festlegen.
Wo ist also mein Denkfehler?
Grüße
ehm das ist mir klar?! Verstehe die Frage nicht um die es auch gar nicht geht?
Hä?
Wir benutzen bestimmte "Dienste", die aber nur genutzt werden können, wenn wir "von" unserer statischen IP kommen - da wir aber auch noch eine VDSL Leitung mit dynamischer IP haben, will ich sicher stellen und muss ich sicher stellen, dass dieser Dienst nur über die SDSL Leitung läuft, weil dort geprüft wird wer zugreift und nur bekannte - unsere SDSL IP - Zugriff bekommen.
Auf dem Cisco ist es konfiguriert und der fliegt raus und daher die Frage: Wie auf der Sophos?
Ich gehe auf static routing, erstelle eine neue Route,
Route Type: interface route
Network: das Ziel - die IP auf die zugegriffen werden soll
Interface: das SDSL Interface
Route aktiv - es geht nicht mal mehr ein Ping. Da die SDSL aktuell die primäre Leitung ist geht es zwar ohne die statische Route, aber ... ich würde gerne zur Sicherheit eine statische Route festlegen.
Wo ist also mein Denkfehler?
Grüße
Hallo,
vermutlich ist die Sophos nicht richtig konfiguriert. Kannst mir gerne schreiben, dann können wir das aus der Welt schaffen.
VG,
Christian
vermutlich ist die Sophos nicht richtig konfiguriert. Kannst mir gerne schreiben, dann können wir das aus der Welt schaffen.
VG,
Christian
Die Formulierung...
Die Frage die sich stellt ist ob du von außen, sprich Internet, auf die öffentliche SDSL IP zugreifen willst die an der Sophos anliegt oder ob das von innen (lokale LANs) geschehen soll.
Bei ersterem wäre die Frage des Routings Blödsinn, denn den Routing Weg im Provider Netz kannst du nicht beeinflussen.
Bleibt also nur die Option 2 aber da wäre dann der SDSL Port Unsinn, denn der spielt ja intern keine Rolle.
Das ist vermutlich die Unklarheit die nicht nur den Kollegen @Pjordorf verwirrt...!
Vielleicht bringt eine kleine Skizze Licht ins Dunkel oder eine etwas bessere Erklärung des Sachverhalts ?!
Ich muss bestimmte Ziele über unsere SDSL Leitung erreichen, weil dort die IP gerprüft wird die zugreift.
Ist recht unklar und verwirrt.Die Frage die sich stellt ist ob du von außen, sprich Internet, auf die öffentliche SDSL IP zugreifen willst die an der Sophos anliegt oder ob das von innen (lokale LANs) geschehen soll.
Bei ersterem wäre die Frage des Routings Blödsinn, denn den Routing Weg im Provider Netz kannst du nicht beeinflussen.
Bleibt also nur die Option 2 aber da wäre dann der SDSL Port Unsinn, denn der spielt ja intern keine Rolle.
Das ist vermutlich die Unklarheit die nicht nur den Kollegen @Pjordorf verwirrt...!
Vielleicht bringt eine kleine Skizze Licht ins Dunkel oder eine etwas bessere Erklärung des Sachverhalts ?!
Ehm 
Client - Router - SDSL - Google (der Dienst der erreicht werden soll als Beispiel)
und nicht Client - Router - SDSL/VDSL - Google (der Dienst der erreicht werden soll als Beispiel)
und dann:
Client - SDSL/VDSL - restliches www - völlig wurscht
Und natürlich geht es darum aus dem internernen Netz über die SDSL Leitung ein bestimmtes Ziel zu erreichen und das NUR über die SDSL und nicht mal so und mal so.
Grüße
Client - Router - SDSL - Google (der Dienst der erreicht werden soll als Beispiel)
und nicht Client - Router - SDSL/VDSL - Google (der Dienst der erreicht werden soll als Beispiel)
und dann:
Client - SDSL/VDSL - restliches www - völlig wurscht
Und natürlich geht es darum aus dem internernen Netz über die SDSL Leitung ein bestimmtes Ziel zu erreichen und das NUR über die SDSL und nicht mal so und mal so.
Grüße
Moin,
Ich Name an, du willst ein Policy-Based-Routing anhand eines Dienstes betreiben.
Schaue mal hier:
https://community.sophos.com/kb/en-us/123579
P.S.
Habe die im übrigen im ersten Post bereits verstanden ;)
Gruß
em-pie
Ich Name an, du willst ein Policy-Based-Routing anhand eines Dienstes betreiben.
Schaue mal hier:
https://community.sophos.com/kb/en-us/123579
P.S.
Habe die im übrigen im ersten Post bereits verstanden ;)
Gruß
em-pie
Hi em-pie,
nur leider gibt es bei mir diese ganzen Einstellungen nicht?
Aber ich glaube der Knackpunkt ist, dass ich eine Gatewayroute anlegen muss mit dem SDSL GW als GW.
Nun noch eins:
Zwei Netze aktuell
192.168.0.x/24
172.16.10.x/24
wie bekomme ich Zugriff von einem ins andere?
Grüße
nur leider gibt es bei mir diese ganzen Einstellungen nicht?
Aber ich glaube der Knackpunkt ist, dass ich eine Gatewayroute anlegen muss mit dem SDSL GW als GW.
Nun noch eins:
Zwei Netze aktuell
192.168.0.x/24
172.16.10.x/24
wie bekomme ich Zugriff von einem ins andere?
Grüße
Firewallregel von A nach B erstellen, wenn beide an der Sophos anliegen?!
Zitat von @certifiedit.net:
Firewallregel von A nach B erstellen, wenn beide an der Sophos anliegen?!
Firewallregel von A nach B erstellen, wenn beide an der Sophos anliegen?!
eh ich glaub ich hab was vergessen
es ist Sonntag ... mal sehen
Mh doch nicht. Regel ist da und die Netze sind beide dran.
und nun? Händchen halten?
Zitiere:
Zitiere:
vermutlich ist die Sophos nicht richtig konfiguriert. Kannst mir gerne schreiben, dann können wir das aus der Welt schaffen.
Zitat von @certifiedit.net:
und nun? Händchen halten?
Zitiere:
und nun? Händchen halten?
Zitiere:
vermutlich ist die Sophos nicht richtig konfiguriert. Kannst mir gerne schreiben, dann können wir das aus der Welt schaffen.
Bitte bitte
Und natürlich geht es darum aus dem internernen Netz über die SDSL Leitung ein bestimmtes Ziel zu erreichen und das NUR über die SDSL
Na ja,...das ist ja nun eine Lachnummer und machst du über die Balancing Regeln im Router indem du dort mit einer Policy bestimmst das alles an Paketen was die Google IP als Zieladresse hat über den SDSL WAN Port geht.Das sind doch simple Basics bei einem Balancing Router wo es eigentlich doch keinen Thread für bedarf.
vermutlich ist die Sophos nicht richtig konfiguriert.
Dem kann man nur beipflichten !!
Eventuell ist es einfacher das Anhand der Ziel-IP bzw. des IP-Adressbereiches zu definieren.
Beispiel:
Interfaces & Routing \ Static Routing \ Standard Static Routing
Route Type: Interface route
Network: <Ziel-IP-Netz>
Interface: <WAN-Schnittstelle mit pasender IP>
oder
Interfaces & Routing \ Static Routing \ Policy Routes
Route Type: Gateway route
Source interface: any
Source network: any
Service: any
Destination network: <Ziel-IP-Netz>
Gateway: <WAN-Schnittstelle mit pasender IP>
Beispiel:
Interfaces & Routing \ Static Routing \ Standard Static Routing
Route Type: Interface route
Network: <Ziel-IP-Netz>
Interface: <WAN-Schnittstelle mit pasender IP>
oder
Interfaces & Routing \ Static Routing \ Policy Routes
Route Type: Gateway route
Source interface: any
Source network: any
Service: any
Destination network: <Ziel-IP-Netz>
Gateway: <WAN-Schnittstelle mit pasender IP>
Wobei hier die Betonung auf Bereich liegt, denn jeder weiss das Google GeoIPs nutzt mit Load Balancern die die Requests je nach GeoIP auf die jeweils nächsten Hosts im Internet balanced. Davon gibt es dann pro Region auch noch mehrere.
Ganz so trivial wird die Policy Route also nicht
Ganz so trivial wird die Policy Route also nicht
Das mit google war nur ein Beispiel
ich hab hier eine Registerbox vom Testamentsregister.
Intern: 192.168.0.223/24
GW: 192.168.0.103 (ehem Cisco Dualwanrouter)
Neues Netz:
172.16.10.x/24
gw: 172.16.10.1
Es gibt nun zwei Wege: Entweder ich schicke diese Box ein und lasse sie neu konfigurieren, weil man selbst nicht ran kommt oder ich finde einen Weg diese mit der alten IP nutzbar zu machen.
Also habe ich ein Interface genommen auf der SG135 und der die IP des alten Cisco verpasst . 192.168.0.103.
Wenn ich jetzt nen Rechner in das alte Netz packe geht auch alles wunderbar.
Die Registerbox geht aber ebenfalls nur dann wenn ich mir eine statische IP aus diesem Netz gebe. Noch hab ich nicht rausbekommen was da nicht stimmt.
Eine Route ist gesetzt an den Clients - musste man bisher so machen.
Ich kann aus dem 172.16.10.x Netz die 192.168.0.223 anpingen, aber mach ich einen Tracert auf die Zieladresse kommt er bis zur Registerbox und dann wars das. Auch wenn ich any - any - any anschalte ändert sich nichts.
Idee?
ich hab hier eine Registerbox vom Testamentsregister.
Intern: 192.168.0.223/24
GW: 192.168.0.103 (ehem Cisco Dualwanrouter)
Neues Netz:
172.16.10.x/24
gw: 172.16.10.1
Es gibt nun zwei Wege: Entweder ich schicke diese Box ein und lasse sie neu konfigurieren, weil man selbst nicht ran kommt oder ich finde einen Weg diese mit der alten IP nutzbar zu machen.
Also habe ich ein Interface genommen auf der SG135 und der die IP des alten Cisco verpasst . 192.168.0.103.
Wenn ich jetzt nen Rechner in das alte Netz packe geht auch alles wunderbar.
Die Registerbox geht aber ebenfalls nur dann wenn ich mir eine statische IP aus diesem Netz gebe. Noch hab ich nicht rausbekommen was da nicht stimmt.
Eine Route ist gesetzt an den Clients - musste man bisher so machen.
Ich kann aus dem 172.16.10.x Netz die 192.168.0.223 anpingen, aber mach ich einen Tracert auf die Zieladresse kommt er bis zur Registerbox und dann wars das. Auch wenn ich any - any - any anschalte ändert sich nichts.
Idee?
- Router ist in beiden IP Netzen mit der jeweiligen Netz-internen IP des Routers als Gateway eingetragen.
- Auf beiden Geräten blockt keine eigene Firewall den IPv4 Ping.
- In der Routerfirewall dürfen beide! Netze auf das jeweils andere zugreifen.
- Eventuell ist noch NAT konfiguriert oder nicht konfiguriert, kann deine Sophos diese Box direkt pingen und bekommt eine Antwort?
Ich würde außerdem nicht zwei Probleme in einem Thread besprechen...
- Auf beiden Geräten blockt keine eigene Firewall den IPv4 Ping.
- In der Routerfirewall dürfen beide! Netze auf das jeweils andere zugreifen.
- Eventuell ist noch NAT konfiguriert oder nicht konfiguriert, kann deine Sophos diese Box direkt pingen und bekommt eine Antwort?
Ich würde außerdem nicht zwei Probleme in einem Thread besprechen...
Moin,
was meinste mit dem ersten?
- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
- Dürfen sie mit -any-
- die Box lässt sich pingen, aber die Webseite nicht auf die nur zugegriffen werden kann, wenn der Zugriff über die Box erfolgt.
Ich vermute fast das wird so nix. Die Box baut eine VPN Verbindung zum Testamentsregisterserver auf und nur wenn man als Gateway die Box hat geht der Zugriff. Sprich, wenn auf dem Client eine entsprechende Route gesetzt ist.
was meinste mit dem ersten?
- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
- Dürfen sie mit -any-
- die Box lässt sich pingen, aber die Webseite nicht auf die nur zugegriffen werden kann, wenn der Zugriff über die Box erfolgt.
Ich vermute fast das wird so nix. Die Box baut eine VPN Verbindung zum Testamentsregisterserver auf und nur wenn man als Gateway die Box hat geht der Zugriff. Sprich, wenn auf dem Client eine entsprechende Route gesetzt ist.
Kannst du mal bildlich skizzieren (zeichnen), wie jetzt was zusammenhängt?
Klingt so, als gäbe es bei die im LAN zwei WANs:
WAN1 ist direkt an der FW terminiert.
WAN2 hängt an der ominösen BOX, die wiederum an der FW terminiert ist!?
Wenn dem tatsächlich so ist, musst du doch nur die richtigen Routen setzen (sofern das Zielnetz zu dem Testamentsserver bekannt ist):
0.0.0.0/0 läuft über WAN 1, 47.118.15.0/ 30 (mal fiktiv als Netz der Testamentsserver) läuft über die IP private IP der Box, welche an WAN2 hängt....
Klingt so, als gäbe es bei die im LAN zwei WANs:
WAN1 ist direkt an der FW terminiert.
WAN2 hängt an der ominösen BOX, die wiederum an der FW terminiert ist!?
Wenn dem tatsächlich so ist, musst du doch nur die richtigen Routen setzen (sofern das Zielnetz zu dem Testamentsserver bekannt ist):
0.0.0.0/0 läuft über WAN 1, 47.118.15.0/ 30 (mal fiktiv als Netz der Testamentsserver) läuft über die IP private IP der Box, welche an WAN2 hängt....
Hallo,
Gruß,
Peter
Zitat von @Xaero1982:
- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
Wohin denn wird gepingt?- korrekt - ein Ping funktioniert, wenn ich den Rechner ins 192.168.0.x'er Netz packe.
- Dürfen sie mit -any-
Wer darf mit -any-?- die Box lässt sich pingen, aber die Webseite nicht
Erkläre uns dösbaddel mal wie du eine WebSeite anpingen tust?Die Box baut eine VPN Verbindung zum Testamentsregisterserver auf
Warum haben wir den Verdacht gehabt das du uns wichtige Sachen verschweigen tust?und nur wenn man als Gateway die Box hat geht der Zugriff. Sprich, wenn auf dem Client eine entsprechende Route gesetzt ist.
Und was in deinem Konstrukt funktioniert jetzt nicht?Gruß,
Peter
Die Box selbst muss deinen Router als GW konfiguriert haben, und zwar mit der IP 192.168.0.103 also der Subnetz-internen IP der Sophos. Dein PC muss als Gateway die 172er IP der Sophos eingetragen haben. Das Gateway muss im eigenen IP-Netz liegen!
Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.
Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.
1Zitat von @ukulele-7:
Die Box selbst muss deinen Router als GW konfiguriert haben, und zwar mit der IP 192.168.0.103 also der Subnetz-internen IP der Sophos. Dein PC muss als Gateway die 172er IP der Sophos eingetragen haben. Das Gateway muss im eigenen IP-Netz liegen!
Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.
Die Box selbst muss deinen Router als GW konfiguriert haben, und zwar mit der IP 192.168.0.103 also der Subnetz-internen IP der Sophos. Dein PC muss als Gateway die 172er IP der Sophos eingetragen haben. Das Gateway muss im eigenen IP-Netz liegen!
Die Sophos muss für Anfragen an dein Testamentsregister die Box als Gateway haben! Also unter Policy Route alle relevanten Services (außer natürlich VPN Verbindungen) auf die Box schicken. Dafür entfällt die statische Route an deinem PC.
Perfekt
So hatte ich es dann gemacht - dacht es schon vorher mal so getestet zu haben ... aber nun geht es.Habe allerdings eine GW Route hinzugefügt mit dem Ziel (die Ip die wir erhalten haben mit einem 23er Netz) und das GW ist die Registerbox und nun geht das auch.
Also klappt jetzt alles was gewünscht war.
