126664
Goto Top

Sophos UTM 9.2 zweites internes LAN

Hallo, habe mit unserer Sophos ein kleines Problem.

Das ganze wird zuhause eingesetzt, es ist also keine lebenswichtige Systeminstallation trotzdem sollte es bald funktionieren.

Herangehensweise: die bei der Installation eingestellten Netzwerkkarten External und Internal mit DHCP funktionieren so wie sie sollen.
Da jetzt jedoch ein Windows Server 2012 mit Active Directory hinzugekommen ist, wurde das Internal LAN mit DHCP in ein Gastnetzwerk umfunktioniert. Daher die Verbindung zum Switch und den Rechnern getrennt und ein alter WLAN Router angeschlossen. Funktioniert so wie ein Gastnetzwerk funktionieren sollte.

Da jedoch auch ein neues internes Netz her muss, brauche ich eine Anleitung wie ich das einrichte. DHCP sollte aus sein, da der Windows Server DHCP bereitstellen soll und es bereits auch tut. Bei der neuen Netzwerkkarte habe ich 192.168.2.1 als Gateway verwendet.

Die Verbindung der Computer/Arbeitsstationen zum Server funktioniert einwandfrei, und jeder Benutzer kann sich anmelden.

Wie weise ich dem neuen Netzwerk den Internetzugriff zu??? alles funktioniert, komme aber nicht mehr ins Netz!

Danke für eure Antworten im Vorraus,

Gruß
ZYLOSUS

Content-Key: 293324

Url: https://administrator.de/contentid/293324

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: em-pie
em-pie 16.01.2016 um 17:31:00 Uhr
Goto Top
Hi,

zunächst wäre es interessant zu wissen, um welche UTM es sich handelt?
9.2 ist ja nur der Softwarestand!

Wenn es eine ist, die neben WAN und LAN noch ein weiteres Interface bereitstellt, so sollte das zweite Interface 192.168.2.1 haben. (also ungleich der IP deines Gast-Netzwerkes)
Des weiteren musst du eine Netzwerk-Regel anlegen, welche Daten von 192.168.2.0 an EXTERNAL sendet. Dienste entweder ANY oder klassiche wie HTTP, HTTPS, FTP, SMTP/ IMAP, etc.

Des Weiteren noch eine weitere Frage:
läuft der WebProxy mit auf der UTM? wenn ja, musst du natürlich die vorhandenen Regeln ebenfalls anpassen.

Da sollte dann erstmal passen.

gruß
em-pie
Mitglied: 126664
126664 16.01.2016 um 17:52:46 Uhr
Goto Top
Also bei meiner UTM handelt es sich um eine Eigenbaulösung auf Basis eines alten Dell Dimension 9200, ist nicht das beste aber für diesen Zweck sollte es reichen (2GB RAM, Intel Pent. D, 4xNetzwerkkarte)

Proxy ist deaktiviert.

Wenn ich eine Regel anlege habe ich nirgends die Möglichkeit eine Netzwerkkarte auszuwählen sondern nur Netzwerk, Host, DNS-Host, DNS-Gruppe, Bereich, Multicast Gruppe, Netzwerkgruppe, Verfügbarkeitsgruppe. Bei meinem Gastnetzwerk ist ein grünes Symbol zu sehen. Das gibt es nicht wenn ich eine neue Regel erstellen möchte.

Wie lege ich denn eine Regel richtig an?
Mitglied: 122990
122990 16.01.2016 aktualisiert um 18:05:49 Uhr
Goto Top
Moin,
du musst das Netzwerk (Interface) ja auch erst mal als Objekt anlegen, bevor du es woanderst in der Config nutzen kannst...
https://www.sophos.com/de-de/support/knowledgebase/118991.aspx
Handbuch lesen täte mal ganz gut ...

Gruß grexit
Mitglied: 126664
126664 16.01.2016 um 18:07:54 Uhr
Goto Top
@ grexit: Habe ich bereits gemacht, es funktioniert aber leider trotzdem nicht.
Mitglied: 122990
122990 16.01.2016 aktualisiert um 18:17:48 Uhr
Goto Top
Zitat von @126664:

@ grexit: Habe ich bereits gemacht, es funktioniert aber leider trotzdem nicht.
Handbuch gelesen aber wohl anscheinend nicht, einfach das Netz der richtigen Zone zuweisen, DHCP in diesem Netz deaktivieren, dann lüppt das.
Ist ein ganz einfaches Object orientet System das auf verknüpften Objekten aufgebaut ist.
So muss man nicht alles doppelt und dreifach erfassen.
Dein DHCP muss natürlich den Clients auch das richtige GW zuweisen.
In der Firewall der Zone die gewünschten Services freischalten, und läuft !!
Mitglied: em-pie
Lösung em-pie 16.01.2016, aktualisiert am 23.01.2016 um 14:59:01 Uhr
Goto Top
um grexit zu ergänzen:

  • Im Menübaum unter Interfaces & Routing das RICHTIGE Interface anlegen, ich nenne es mal myPrivate, und eine IP vergeben, z.B. 192.168.2.254
  • danach hast du drei entsprechende Objekt der Objektliste: myPrivate (Broadcast), myPrivate (Network) und myPrivateAdress
  • unter definition & Usersers könntest du noch eine netzwerkgruppe anlegen, so habe ich es gemacht: net_myPrivate und als Netz dann dein 192.168.2.0 und die 24er Netzmaske dabei

Den DHCP musst du nicht separat irgendwo abwählen, da dieser unter Network Services -> DHCP bewusst angelegt werden muss

unter Network-Protection -> Firewall eine neue Regel bauen
  • Source: entweder myParivate[Network] oder net_myPrivate
  • Service: any (sollte man ggf. aber auf wichtige Dienste einschränken)
  • Destination: External [NETWORK]

wenn fertig, an der erstellten Regel noch den Switch von O auf I setzen.


fertig.

Meine config basiert auf einer derzeit 9.3er FW, wurde aber unter 9.1 konfiguriert.

edit:
Dem DHCP-Server trägst du als GW dann die 192.168.2.254 ein.
denk auch an das DNS, dass der DHCP-Server auch die richtigen DNS-Server mitgibt, bzw der DHCP-Server (sofern er intern DNS macht) nach draußen (also mit der UTM) via DNS kommunizieren darf
Mitglied: Philipp711
Philipp711 16.01.2016 aktualisiert um 19:58:02 Uhr
Goto Top
Wie meine Vorredner schon beschrieben haben musst du das neue Interface als Objekt anlegen und dann den Verkehr in der Firewall freischalten.

Evtl. musst du auch noch die NAT-Regel anpassen/hinzufügen- müsste auch unter Schnittstellen & Routing im Bereich Masquerading zu finden sein.
Mitglied: 126664
126664 23.01.2016 um 14:59:35 Uhr
Goto Top
Hat geklappt, danke :D