23
Sophos SG210 UTM9-kein Internet im VLAN
Hallo zusammen. Ich habe ein Problem und stehe da gerade irgendwie auf dem Schlauch und hoffe ihr könnt mich erleuchten.
Konstallation der Sophos UTM9 SG210
Schnittstellen:
- eth0: internes Netz (Art:Ethernet) --> 192.168.110.254/24
- eth1: WAN (Gateway mit Internetproxy und andere Dienste) (Art:Ethernet) --> 10.1.83.2/24
- eth2: EXT-DSL (VPN Nutzung)(Fritzbox dahinter) (Art:Ethernet) --> 192.168.0.5/24
- eth3: EXT-DSL-Frei (freie Internetnutzung)(Vodafone Kabelrouter dahinter) (Art:Ethernet) (IPv4-Standard-GW: aktiviert mit eingetragenen GW: 192.168.1.1) --> 192.168.1.6/24
- eth0: Internal-Frei-VLAN999 (Art:VLAN999) --> 192.168.110.254/24
An den Port ETH0 ist ein HP Switch, der VLAN1 untagged und VLAN999 Tagged konfiguriert hat. An dem Switch bin ich mit einen Laptop am Port mit dem VLAN999 Untagged.
Mein Ziel ist es, dass das VLAN999 über eth3 ins Internet kommt ohne Einschränkungen.
Ich kann einen Ping auf den Vodafone Kabelrouter absetzen und komme auch auf die Benutzeroberfläche, aber komme da nicht mehr weiter.
Folgendes ist konfiguriert:
- Firewall: Internal-Frei-VLAN999(Netzwerk) zu EXT-DSL-Frei(Netzwerk) und anders herum
- Maskierung(NAT): Internal-Frei-VLAN999(Netzwerk) zu Schnittstelle EXT-DSL-Frei
- unter Netzwerkdienste DNS --> Allgemein zugelassene Netzwerke: Internal-Frei-VLAN999(Netzwerk)
- unter Netzwerkdienste DNS --> DNS-Forwarders: Vodafone Kabelrouter eingetragen
- IP-Helper vom DHCP aus eth0: internes Netz -->bekomme DHCP vom Windows Server
Beim Tracrt zeigt er mir nur das GW vom VLAN999 an und dann nur noch * * *
Auf dem Vodafone Kabelrouter habe ich nichts eingestellt. Der Router wird auch noch für andere Sachen genutzt und es kann daher nicht die Funktion wie bei Fritzbox (extended Host) eingestellt werden.
Ich hoffe Ihr könnt mir folgen und helfen. Danke schon mal im Vorraus für eure Hilfe.
Konstallation der Sophos UTM9 SG210
Schnittstellen:
- eth0: internes Netz (Art:Ethernet) --> 192.168.110.254/24
- eth1: WAN (Gateway mit Internetproxy und andere Dienste) (Art:Ethernet) --> 10.1.83.2/24
- eth2: EXT-DSL (VPN Nutzung)(Fritzbox dahinter) (Art:Ethernet) --> 192.168.0.5/24
- eth3: EXT-DSL-Frei (freie Internetnutzung)(Vodafone Kabelrouter dahinter) (Art:Ethernet) (IPv4-Standard-GW: aktiviert mit eingetragenen GW: 192.168.1.1) --> 192.168.1.6/24
- eth0: Internal-Frei-VLAN999 (Art:VLAN999) --> 192.168.110.254/24
An den Port ETH0 ist ein HP Switch, der VLAN1 untagged und VLAN999 Tagged konfiguriert hat. An dem Switch bin ich mit einen Laptop am Port mit dem VLAN999 Untagged.
Mein Ziel ist es, dass das VLAN999 über eth3 ins Internet kommt ohne Einschränkungen.
Ich kann einen Ping auf den Vodafone Kabelrouter absetzen und komme auch auf die Benutzeroberfläche, aber komme da nicht mehr weiter.
Folgendes ist konfiguriert:
- Firewall: Internal-Frei-VLAN999(Netzwerk) zu EXT-DSL-Frei(Netzwerk) und anders herum
- Maskierung(NAT): Internal-Frei-VLAN999(Netzwerk) zu Schnittstelle EXT-DSL-Frei
- unter Netzwerkdienste DNS --> Allgemein zugelassene Netzwerke: Internal-Frei-VLAN999(Netzwerk)
- unter Netzwerkdienste DNS --> DNS-Forwarders: Vodafone Kabelrouter eingetragen
- IP-Helper vom DHCP aus eth0: internes Netz -->bekomme DHCP vom Windows Server
Beim Tracrt zeigt er mir nur das GW vom VLAN999 an und dann nur noch * * *
Auf dem Vodafone Kabelrouter habe ich nichts eingestellt. Der Router wird auch noch für andere Sachen genutzt und es kann daher nicht die Funktion wie bei Fritzbox (extended Host) eingestellt werden.
Ich hoffe Ihr könnt mir folgen und helfen. Danke schon mal im Vorraus für eure Hilfe.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8165909865
Url: https://administrator.de/forum/sophos-sg210-utm9-kein-internet-im-vlan-8165909865.html
Ausgedruckt am: 22.04.2025 um 18:04 Uhr
23 Kommentare
Neuester Kommentar
Was genau funktioniert nicht? Scheitert schon der Ping auf eine externe IP oder funktioniert nur die Namensauflösung nicht?
1
Hi. Beides funktioniert nicht. Komme quasi nur bis zum Kabel Modem.
Ist das Modem wirklich ein NUR Modem (öff. IP direkt auf der FW) oder ist es ein Router mit NAT in einer üblichen Router Kaskade? Begrifflich wird das leider sehr oft laienhaft verwechselt ist aber netztechnisch ein großer Unterschied.
Du kannst die Vodafone Box pingen, weil du ihre IP Nummer verwendest und deine Sophos Schnittstelle im gleichen Subnetz ist, also weiß Sophos wohin die Anfrage geschickt werden muss. Wenn du jedoch eine externe IP pingen möchtest, dann geht es scheinbar nicht zur Vodafone Box. Es könnte sein, dass du zu einer anderen externen Leitung raus sendest. Du hast ja auch nirgends definiert auf welche Leitung es raus schicken soll. Das kannst du kontrollieren, indem du die Schnittstellen auf die Ping Befehle beobachtest.
Ich denke du benötigst noch ein Policy Routing.
Ich denke du benötigst noch ein Policy Routing.
Zitat von @aqui:
Ist das Modem wirklich ein NUR Modem (öff. IP direkt auf der FW) oder ist es ein Router mit NAT in einer üblichen Router Kaskade? Begrifflich wird das leider sehr oft laienhaft verwechselt ist aber netztechnisch ein großer Unterschied.
Ist das Modem wirklich ein NUR Modem (öff. IP direkt auf der FW) oder ist es ein Router mit NAT in einer üblichen Router Kaskade? Begrifflich wird das leider sehr oft laienhaft verwechselt ist aber netztechnisch ein großer Unterschied.
Danke für deine Antwort/ Frage. Es ist tatsächlich ein Router mit NAT und nicht nur ein Modem , wo dann die Einwahldaten in der Firewall sind.
Zitat von @NordicMike:
Du kannst die Vodafone Box pingen, weil du ihre IP Nummer verwendest und deine Sophos Schnittstelle im gleichen Subnetz ist, also weiß Sophos wohin die Anfrage geschickt werden muss. Wenn du jedoch eine externe IP pingen möchtest, dann geht es scheinbar nicht zur Vodafone Box. Es könnte sein, dass du zu einer anderen externen Leitung raus sendest. Du hast ja auch nirgends definiert auf welche Leitung es raus schicken soll. Das kannst du kontrollieren, indem du die Schnittstellen auf die Ping Befehle beobachtest.
Ich denke du benötigst noch ein Policy Routing.
Du kannst die Vodafone Box pingen, weil du ihre IP Nummer verwendest und deine Sophos Schnittstelle im gleichen Subnetz ist, also weiß Sophos wohin die Anfrage geschickt werden muss. Wenn du jedoch eine externe IP pingen möchtest, dann geht es scheinbar nicht zur Vodafone Box. Es könnte sein, dass du zu einer anderen externen Leitung raus sendest. Du hast ja auch nirgends definiert auf welche Leitung es raus schicken soll. Das kannst du kontrollieren, indem du die Schnittstellen auf die Ping Befehle beobachtest.
Ich denke du benötigst noch ein Policy Routing.
Das ist soweit richtig und auch logisch, da das Netz ja unmittelbar an der Firewall ist und ich per Allow Policy freigegeben habe.
Ja, da hast du Recht, das offenbar die Anfrage wo anders hin geht statt zu meinen gewünschten Gateway.
Was ich gerade sehe und nicht geschrieben habe. Ich habe ebenfalls eine Gateway Route gesetzt
Netzwerk: Internal-Frei-VLAN999(Netzwerk)
Gateway: Kabel-Router (Vodafone Kabelrouter)
Was jetzt auch etwas zeitlich unglücklich ist. Ich bin Morgen und für die nächste Woche im Urlaub und werde daher gehend erstmal alles wieder deaktivieren, bis ich mich dann, wenn ich wieder da bin, mich dem Thema wieder widtmen kann und meine Kollegen nicht verwirrt sind. Das schon mal soweit als Info für euch.
Man kann halt dennoch darüber reden was ich ggf. vergessen habe oder falsch denke.
Man kann halt dennoch darüber reden was ich ggf. vergessen habe oder falsch denke.
Was ich gerade sehe und nicht geschrieben habe. Ich habe ebenfalls eine Gateway Route gesetzt
Netzwerk: Internal-Frei-VLAN999(Netzwerk)
Gateway: Kabel-Router (Vodafone Kabelrouter)
Hmmm... ob das funktioniert? Ich habe die WAN Leitungen alle in einen Uplink Ausgleich gepackt und per Policy Route definiert wer wohin darf. Das hat zumindest den zusätzlichen Vorteil, wenn eine WAN Leitung ausfällt.Netzwerk: Internal-Frei-VLAN999(Netzwerk)
Gateway: Kabel-Router (Vodafone Kabelrouter)
Die Route ist völlig unsinnig und sinnfrei. In VLAN 999 befinden sich ja keinerlei Endgeräte. Und auch wenn würde die FW dieses Netz ja auch ganz ohne Route „kennen“ weil es ja direkt an ihr angeschlossen ist.
Den Blödsinn kannst du gleich wieder löschen und nochmal ein paar Grundlagen zum IP Routing lesen und verstehen! 😉
Den Blödsinn kannst du gleich wieder löschen und nochmal ein paar Grundlagen zum IP Routing lesen und verstehen! 😉
Zitat von @NordicMike:
Was ich gerade sehe und nicht geschrieben habe. Ich habe ebenfalls eine Gateway Route gesetzt
Netzwerk: Internal-Frei-VLAN999(Netzwerk)
Gateway: Kabel-Router (Vodafone Kabelrouter)
Hmmm... ob das funktioniert? Ich habe die WAN Leitungen alle in einen Uplink Ausgleich gepackt und per Policy Route definiert wer wohin darf. Das hat zumindest den zusätzlichen Vorteil, wenn eine WAN Leitung ausfällt.Netzwerk: Internal-Frei-VLAN999(Netzwerk)
Gateway: Kabel-Router (Vodafone Kabelrouter)
Ich habe es probiert. Da ob es was für mich bringt, da ich damit noch mit Funktion etwas unbedarft bin.
Das Problem ist mit dem Uplink Ausgleich ist, sobald man die Schnittstelle als Gateway-Schnittstelle definiert, wird der Automatisch zum Uplink hinzugefügt. Musste den aber wieder aus dem Uplink raus nehmen, weil ja jede Schnittstelle seine eigene Funktion hat und Netz bestimmt ist.
Zitat von @aqui:
Die Route ist völlig unsinnig und sinnfrei. In VLAN 999 befinden sich ja keinerlei Endgeräte. Und auch wenn würde die FW dieses Netz ja auch ganz ohne Route „kennen“ weil es ja direkt an ihr angeschlossen ist.
Den Blödsinn kannst du gleich wieder löschen und nochmal ein paar Grundlagen zum IP Routing lesen und verstehen! 😉
Die Route ist völlig unsinnig und sinnfrei. In VLAN 999 befinden sich ja keinerlei Endgeräte. Und auch wenn würde die FW dieses Netz ja auch ganz ohne Route „kennen“ weil es ja direkt an ihr angeschlossen ist.
Den Blödsinn kannst du gleich wieder löschen und nochmal ein paar Grundlagen zum IP Routing lesen und verstehen! 😉
Ja, die ist auch mehr ein verzweifelter Versuch gewesen. Ich denke das ich IP-Routing verstehe (Statisches Routing), denke ich zumindest. Habe mir dazu extra nochmal Video in einer Umgebung mit dem Packet-Tracer angesehen um das noch mal aufzufrischen bzw das wissen zu bestätigen.
Ich denke ich werde mir das ganze wohl selbst mal in einen Packet-Tracer Versuch nachstellen, vielleicht sehe ich dann, was ich falsch mache und denke. Dann sehe ich genau was die Pakete machen oder auch nicht.
1
Danke für eure Kommentare und schöne Grüße aus dem Urlaub 
Das Problem ist mit dem Uplink Ausgleich ist, sobald man die Schnittstelle als Gateway-Schnittstelle definiert, wird der Automatisch zum Uplink hinzugefügt. Musste den aber wieder aus dem Uplink raus nehmen, weil ja jede Schnittstelle seine eigene Funktion hat und Netz bestimmt ist.
Das ist richtig. Mit dem Policy Routing bestimmst du dann welches Subnetz auf welche der Uplink Schnittstellen raus telefoniert. Damit definierst du nicht nur das Gastnetz mit der neuen Uplink Schnittstelle, auch die alten vorhandenen Netze benötigen nun eine Definition wohin sie raus dürfen.
2
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Hallo Aqui, leider war es das noch nicht gewesen, weil ich aktuell nicht mehr dazu kam mich dem zu widtmen. Bin aber gerade jetzt wieder drüber und schaue was ich umsetzen kann.
Was gerade noch meine Überlegungen sind. Ist die Firewall richtig eingestellt?
Habe mal das "Internal-Frei-VLAN999(Netzwerk)" Protokoll: Any und Ziel auch Any eingestellt.
Mach einen Dauer-Ping auf 8.8.8.8 und Vodafone Kabelrouter (Internet). Bei 8.8.8.8 komme ich nicht durch, allerdings aber zum Kabelrouter.
Ich denke die Pakete wissen nicht, das zum Kabelrouter gehen sollen, wenn ich ein Tracert auf 8.8.8.8 mache. Bekomme nur 192.168.199.254 angezeigt und nicht weiter.
Ich habe aber die Maskierung von Internal-Frei-VLAN999(Netzwerk) auf EXT-DSL-Frei(Netzwerk) stehen.
Auf der Sophos kann man einen Ping absetzen gezielt über die Schnittstelle des Kabelnetzes und da komme ich raus.
Habe mal das "Internal-Frei-VLAN999(Netzwerk)" Protokoll: Any und Ziel auch Any eingestellt.
Mach einen Dauer-Ping auf 8.8.8.8 und Vodafone Kabelrouter (Internet). Bei 8.8.8.8 komme ich nicht durch, allerdings aber zum Kabelrouter.
Ich denke die Pakete wissen nicht, das zum Kabelrouter gehen sollen, wenn ich ein Tracert auf 8.8.8.8 mache. Bekomme nur 192.168.199.254 angezeigt und nicht weiter.
Ich habe aber die Maskierung von Internal-Frei-VLAN999(Netzwerk) auf EXT-DSL-Frei(Netzwerk) stehen.
Auf der Sophos kann man einen Ping absetzen gezielt über die Schnittstelle des Kabelnetzes und da komme ich raus.
Betreibst du Kabelrouter und Firewall in einer klassischen Router Kaskade??
Möglich das du die Default Route auf den Kablerouter vergessen hast? Bzw. die statischen Routen für die IP Netze hinter der Firewall wenn du ohne doppeltes NAT arbeitest?!
Guckst du zu den Grundlagen auch hier.
Möglich das du die Default Route auf den Kablerouter vergessen hast? Bzw. die statischen Routen für die IP Netze hinter der Firewall wenn du ohne doppeltes NAT arbeitest?!
Guckst du zu den Grundlagen auch hier.
Ja, das mache ich, wie oben beschrieben. Mein Problem ist, in dem Kabel Router kann man keine statische Route setzen, sonst wäre das einfach und hätte nicht "Problem". Und ich habe somit ein Doppel NAT. Danke für den Link, werde ihn mir nochmal zu Gemühte führen. Man kann ja immernoch mal was lernen
Sobald du Multipath Routing verwendest, musst du jedem Netzwerkteilnehmer definieren zu welcher Schnittstelle es raus telefonieren soll. Nicht nur die, die zur neuen Schnittstelle raus sollen, sondern auch die, die bisher zur Standard Gateway raus telefoniert haben.
Mit jedem Teilnehmer ist gemeint: Du kannst z.B. nach Netzwerkbereichen, nach Schnittstelle oder nach Diensten definieren wer gemeint ist.
Mit jedem Teilnehmer ist gemeint: Du kannst z.B. nach Netzwerkbereichen, nach Schnittstelle oder nach Diensten definieren wer gemeint ist.
1
2
Das Netz was durch geschleift werden muss, da soll jeder Port frei sein. Das soll zukünftig das freie Netz werden für Gäste usw. das die mit ihren Geräte ankommen und Datenbankverbindungen oder Ihren eigenen Tools arbeiten können. Wenn ich das richtig verstanden habe, definierst oben nach Dienste. Kann ich auch sagen, das ich bei Dienst "Any" eintrage und rechts und links dann meine Netze?
Wenn ich das richtig verstanden habe, definierst oben nach Dienste.
Du kannst z.B. nach Netzwerkbereichen, nach Schnittstelle oder nach Diensten definieren
nach allem, was du im Menü auswählen kannst.
Hallo Leute, das ganze funktioniert nun. Das lustige daran ist, ich habe ein Unternehmen zur Hilfe genommen um drüber zu schauen und wir haben die von mir erstellten Einstellungen aktiviert und es ging komischer weise. Wir haben in der Firewall noch von Any zu Internet/V6 geändert und alles schickt.
Hier meine Einstellungen dazu für die, die auch Probleme haben
Die Schnittstelle VLAN999, ist mit den Switch verbunden und getagged mit VLAN999.
Die Schnittstelle zum WAN (Kabelrouter).
DNS Allgemein
DNS Weiterleitung
Maskierung
Firewall-Regel
Multipathregel
Hier meine Einstellungen dazu für die, die auch Probleme haben
Die Schnittstelle VLAN999, ist mit den Switch verbunden und getagged mit VLAN999.
Die Schnittstelle zum WAN (Kabelrouter).
DNS Allgemein
DNS Weiterleitung
Maskierung
Firewall-Regel
Multipathregel
