126664
16.01.2016, aktualisiert am 23.01.2016
11739
8
0
Sophos UTM 9.2 zweites internes LAN
Hallo, habe mit unserer Sophos ein kleines Problem.
Das ganze wird zuhause eingesetzt, es ist also keine lebenswichtige Systeminstallation trotzdem sollte es bald funktionieren.
Herangehensweise: die bei der Installation eingestellten Netzwerkkarten External und Internal mit DHCP funktionieren so wie sie sollen.
Da jetzt jedoch ein Windows Server 2012 mit Active Directory hinzugekommen ist, wurde das Internal LAN mit DHCP in ein Gastnetzwerk umfunktioniert. Daher die Verbindung zum Switch und den Rechnern getrennt und ein alter WLAN Router angeschlossen. Funktioniert so wie ein Gastnetzwerk funktionieren sollte.
Da jedoch auch ein neues internes Netz her muss, brauche ich eine Anleitung wie ich das einrichte. DHCP sollte aus sein, da der Windows Server DHCP bereitstellen soll und es bereits auch tut. Bei der neuen Netzwerkkarte habe ich 192.168.2.1 als Gateway verwendet.
Die Verbindung der Computer/Arbeitsstationen zum Server funktioniert einwandfrei, und jeder Benutzer kann sich anmelden.
Wie weise ich dem neuen Netzwerk den Internetzugriff zu??? alles funktioniert, komme aber nicht mehr ins Netz!
Danke für eure Antworten im Vorraus,
Gruß
ZYLOSUS
Das ganze wird zuhause eingesetzt, es ist also keine lebenswichtige Systeminstallation trotzdem sollte es bald funktionieren.
Herangehensweise: die bei der Installation eingestellten Netzwerkkarten External und Internal mit DHCP funktionieren so wie sie sollen.
Da jetzt jedoch ein Windows Server 2012 mit Active Directory hinzugekommen ist, wurde das Internal LAN mit DHCP in ein Gastnetzwerk umfunktioniert. Daher die Verbindung zum Switch und den Rechnern getrennt und ein alter WLAN Router angeschlossen. Funktioniert so wie ein Gastnetzwerk funktionieren sollte.
Da jedoch auch ein neues internes Netz her muss, brauche ich eine Anleitung wie ich das einrichte. DHCP sollte aus sein, da der Windows Server DHCP bereitstellen soll und es bereits auch tut. Bei der neuen Netzwerkkarte habe ich 192.168.2.1 als Gateway verwendet.
Die Verbindung der Computer/Arbeitsstationen zum Server funktioniert einwandfrei, und jeder Benutzer kann sich anmelden.
Wie weise ich dem neuen Netzwerk den Internetzugriff zu??? alles funktioniert, komme aber nicht mehr ins Netz!
Danke für eure Antworten im Vorraus,
Gruß
ZYLOSUS
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 293324
Url: https://administrator.de/forum/sophos-utm-9-2-zweites-internes-lan-293324.html
Ausgedruckt am: 09.04.2025 um 19:04 Uhr
8 Kommentare
Neuester Kommentar
Hi,
zunächst wäre es interessant zu wissen, um welche UTM es sich handelt?
9.2 ist ja nur der Softwarestand!
Wenn es eine ist, die neben WAN und LAN noch ein weiteres Interface bereitstellt, so sollte das zweite Interface 192.168.2.1 haben. (also ungleich der IP deines Gast-Netzwerkes)
Des weiteren musst du eine Netzwerk-Regel anlegen, welche Daten von 192.168.2.0 an EXTERNAL sendet. Dienste entweder ANY oder klassiche wie HTTP, HTTPS, FTP, SMTP/ IMAP, etc.
Des Weiteren noch eine weitere Frage:
läuft der WebProxy mit auf der UTM? wenn ja, musst du natürlich die vorhandenen Regeln ebenfalls anpassen.
Da sollte dann erstmal passen.
gruß
em-pie
zunächst wäre es interessant zu wissen, um welche UTM es sich handelt?
9.2 ist ja nur der Softwarestand!
Wenn es eine ist, die neben WAN und LAN noch ein weiteres Interface bereitstellt, so sollte das zweite Interface 192.168.2.1 haben. (also ungleich der IP deines Gast-Netzwerkes)
Des weiteren musst du eine Netzwerk-Regel anlegen, welche Daten von 192.168.2.0 an EXTERNAL sendet. Dienste entweder ANY oder klassiche wie HTTP, HTTPS, FTP, SMTP/ IMAP, etc.
Des Weiteren noch eine weitere Frage:
läuft der WebProxy mit auf der UTM? wenn ja, musst du natürlich die vorhandenen Regeln ebenfalls anpassen.
Da sollte dann erstmal passen.
gruß
em-pie
Also bei meiner UTM handelt es sich um eine Eigenbaulösung auf Basis eines alten Dell Dimension 9200, ist nicht das beste aber für diesen Zweck sollte es reichen (2GB RAM, Intel Pent. D, 4xNetzwerkkarte)
Proxy ist deaktiviert.
Wenn ich eine Regel anlege habe ich nirgends die Möglichkeit eine Netzwerkkarte auszuwählen sondern nur Netzwerk, Host, DNS-Host, DNS-Gruppe, Bereich, Multicast Gruppe, Netzwerkgruppe, Verfügbarkeitsgruppe. Bei meinem Gastnetzwerk ist ein grünes Symbol zu sehen. Das gibt es nicht wenn ich eine neue Regel erstellen möchte.
Wie lege ich denn eine Regel richtig an?
Proxy ist deaktiviert.
Wenn ich eine Regel anlege habe ich nirgends die Möglichkeit eine Netzwerkkarte auszuwählen sondern nur Netzwerk, Host, DNS-Host, DNS-Gruppe, Bereich, Multicast Gruppe, Netzwerkgruppe, Verfügbarkeitsgruppe. Bei meinem Gastnetzwerk ist ein grünes Symbol zu sehen. Das gibt es nicht wenn ich eine neue Regel erstellen möchte.
Wie lege ich denn eine Regel richtig an?
Moin,
du musst das Netzwerk (Interface) ja auch erst mal als Objekt anlegen, bevor du es woanderst in der Config nutzen kannst...
https://www.sophos.com/de-de/support/knowledgebase/118991.aspx
Handbuch lesen täte mal ganz gut ...
Gruß grexit
du musst das Netzwerk (Interface) ja auch erst mal als Objekt anlegen, bevor du es woanderst in der Config nutzen kannst...
https://www.sophos.com/de-de/support/knowledgebase/118991.aspx
Handbuch lesen täte mal ganz gut ...
Gruß grexit
@ grexit: Habe ich bereits gemacht, es funktioniert aber leider trotzdem nicht.
Zitat von @126664:
@ grexit: Habe ich bereits gemacht, es funktioniert aber leider trotzdem nicht.
Handbuch gelesen aber wohl anscheinend nicht, einfach das Netz der richtigen Zone zuweisen, DHCP in diesem Netz deaktivieren, dann lüppt das.@ grexit: Habe ich bereits gemacht, es funktioniert aber leider trotzdem nicht.
Ist ein ganz einfaches Object orientet System das auf verknüpften Objekten aufgebaut ist.
So muss man nicht alles doppelt und dreifach erfassen.
Dein DHCP muss natürlich den Clients auch das richtige GW zuweisen.
In der Firewall der Zone die gewünschten Services freischalten, und läuft !!
um grexit zu ergänzen:
Den DHCP musst du nicht separat irgendwo abwählen, da dieser unter Network Services -> DHCP bewusst angelegt werden muss
unter Network-Protection -> Firewall eine neue Regel bauen
wenn fertig, an der erstellten Regel noch den Switch von O auf I setzen.
fertig.
Meine config basiert auf einer derzeit 9.3er FW, wurde aber unter 9.1 konfiguriert.
edit:
Dem DHCP-Server trägst du als GW dann die 192.168.2.254 ein.
denk auch an das DNS, dass der DHCP-Server auch die richtigen DNS-Server mitgibt, bzw der DHCP-Server (sofern er intern DNS macht) nach draußen (also mit der UTM) via DNS kommunizieren darf
- Im Menübaum unter Interfaces & Routing das RICHTIGE Interface anlegen, ich nenne es mal myPrivate, und eine IP vergeben, z.B. 192.168.2.254
- danach hast du drei entsprechende Objekt der Objektliste: myPrivate (Broadcast), myPrivate (Network) und myPrivateAdress
- unter definition & Usersers könntest du noch eine netzwerkgruppe anlegen, so habe ich es gemacht: net_myPrivate und als Netz dann dein 192.168.2.0 und die 24er Netzmaske dabei
Den DHCP musst du nicht separat irgendwo abwählen, da dieser unter Network Services -> DHCP bewusst angelegt werden muss
unter Network-Protection -> Firewall eine neue Regel bauen
- Source: entweder myParivate[Network] oder net_myPrivate
- Service: any (sollte man ggf. aber auf wichtige Dienste einschränken)
- Destination: External [NETWORK]
wenn fertig, an der erstellten Regel noch den Switch von O auf I setzen.
fertig.
Meine config basiert auf einer derzeit 9.3er FW, wurde aber unter 9.1 konfiguriert.
edit:
Dem DHCP-Server trägst du als GW dann die 192.168.2.254 ein.
denk auch an das DNS, dass der DHCP-Server auch die richtigen DNS-Server mitgibt, bzw der DHCP-Server (sofern er intern DNS macht) nach draußen (also mit der UTM) via DNS kommunizieren darf
Wie meine Vorredner schon beschrieben haben musst du das neue Interface als Objekt anlegen und dann den Verkehr in der Firewall freischalten.
Evtl. musst du auch noch die NAT-Regel anpassen/hinzufügen- müsste auch unter Schnittstellen & Routing im Bereich Masquerading zu finden sein.
Evtl. musst du auch noch die NAT-Regel anpassen/hinzufügen- müsste auch unter Schnittstellen & Routing im Bereich Masquerading zu finden sein.
Hat geklappt, danke :D
