Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sophos UTM 9 Netze trennen

Mitglied: Florian86

Florian86 (Level 2) - Jetzt verbinden

04.09.2017 um 08:30 Uhr, 2746 Aufrufe, 19 Kommentare

Hallo,

wir haben eine Sophos UTM9 und wollen dort unsere vorhandenen Netze trennen.

Netze:

192.168.0.0/24 Netz 1
255.255.255.0
192.168.0.1 GW

192.168.1.0/24 Netz 2
255.255.255.0
192.168.1.1 GW

Jetzt habe ich folgende Schnittstelle generiert 192.168.0.1 auf eth0
Das 2. Netz habe ich als zusätzliche Adresse angegeben und läuft auch auf eth0

Nun habe ich eine Regel erstell welche die Pakete von dem einen Netz in das andere ablehnt

Netz 1 -> any -> Netz 2 -> ablehnen
Netz 2 -> any -> Netz 1 -> ablehnen

ICMP auf Gateway ist abgeschalten

Leider gehen immer noch alle Pakete durch.

Grüße

Florian

Mitglied: Hendrik2586
04.09.2017 um 08:51 Uhr
Zitat von Florian86:

Hallo,

wir haben eine Sophos UTM9 und wollen dort unsere vorhandenen Netze trennen.

Netze:

192.168.0.0/24 Netz 1
255.255.255.0
192.168.0.1 GW

192.168.1.0/24 Netz 2
255.255.255.0
192.168.1.1 GW

Jetzt habe ich folgende Schnittstelle generiert 192.168.0.1 auf eth0
Das 2. Netz habe ich als zusätzliche Adresse angegeben und läuft auch auf eth0

Das Einfachste wäre es doch, hier das ganze Physisch zu trennen und für das 2. Netz einen anderen Ethernetport zu nutzen.




Nun habe ich eine Regel erstell welche die Pakete von dem einen Netz in das andere ablehnt

Netz 1 -> any -> Netz 2 -> ablehnen
Netz 2 -> any -> Netz 1 -> ablehnen

ICMP auf Gateway ist abgeschalten

Leider gehen immer noch alle Pakete durch.

Grüße

Florian
Bitte warten ..
Mitglied: em-pie
04.09.2017 um 08:56 Uhr
Moin,

ich nehme mal an, dass ihr nicht mit VLANs arbeitet?

Wenn dem so ist, kannst du deine Firewall-Regel eh knicken, denn dann stelle ich mir am PC (als Gast) fest die IP 192.168.0.253/24 ein und schon hänge ich im anderen Netz. Und das könnte auch der Grund sein, warum dein Ping trotzdem durchgeht...

Möglichkeit zwei:
AN welcher STelle steht die Firewall-Regel?
Nicht dass im Vorfeld andere Regeln dein Netz-übergreifendes ICMP-Paket durchlassen, denn "Firs-Match-Wins"...

Gruß
em-pie
Bitte warten ..
Mitglied: Florian86
04.09.2017 um 09:05 Uhr
einen anderen Ethernetport nutzen bringt mich ja irgendwann an meine grenzen da ich nur 3 zur verfügung habe.

es kommen noch mehr netze hinzu da kann ich das so nicht mehr machen.

wir arbeiten leider nicht mit vlans.

die fw-regel steht an erster stelle.

ich dachte nur das es vlt. eine lösung gibt auch wenn die 2 netze am selben fw-port hängen,
da ja beide netze als gw die utm haben und diese die anfragen bzw. datenverkehr bearbeitet weiterleitet.

grüsse

florian
Bitte warten ..
Mitglied: Florian86
04.09.2017 um 09:15 Uhr
ich habe das Problem gefunden...

Man musste hier alle Haken rausnehmen...

Nun komme ich auch nicht mehr ohne Regel in diese Netze.

Grüsse

Florian
screenshot_1 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Hendrik2586
04.09.2017 um 09:18 Uhr
Zitat von Florian86:

einen anderen Ethernetport nutzen bringt mich ja irgendwann an meine grenzen da ich nur 3 zur verfügung habe.

es kommen noch mehr netze hinzu da kann ich das so nicht mehr machen.

wir arbeiten leider nicht mit vlans.

die fw-regel steht an erster stelle.

ich dachte nur das es vlt. eine lösung gibt auch wenn die 2 netze am selben fw-port hängen,
da ja beide netze als gw die utm haben und diese die anfragen bzw. datenverkehr bearbeitet weiterleitet.

grüsse

florian


Die Antwort habe ich fast schon erwartet. Ich glaube es gibt da eine Möglichkeit aber die kann ich dir gerade echt nicht sagen. Dafür müsste ich mich noch mehr mit dem Thema befassen.
Bitte warten ..
Mitglied: Hendrik2586
04.09.2017 um 09:18 Uhr
Zitat von Florian86:

ich habe das Problem gefunden...

Man musste hier alle Haken rausnehmen...

Nun komme ich auch nicht mehr ohne Regel in diese Netze.

Grüsse

Florian


Top Sache.,...
Bitte warten ..
Mitglied: em-pie
04.09.2017 um 09:22 Uhr
Zitat von Florian86:

einen anderen Ethernetport nutzen bringt mich ja irgendwann an meine grenzen da ich nur 3 zur verfügung habe.
es kommen noch mehr netze hinzu da kann ich das so nicht mehr machen.
Nein, nicht wenn ihr mit VLANs arbeitet, denn man kann ein phys. Interface in mehrere VLANs stecken, mit jeweils eigenen virt. Interfaces

wir arbeiten leider nicht mit vlans.
Das ist schlecht. Denn ihr trennt dann nicht wirklich eure Netze.
Wie oben erwähnt: Du willst z.B. ein Gästenetz erstellen (z.B. 192.168.2.0/24). Ich als Gast schaue dann mal, was an Paketen so umher geistert oder weiss zufällig, dass es irgendwo einen weiteren IP-Kreis gibt. Ich nehme mir Laptop und setze von DHCP auf FEst und stelle mal die 192.168.1.253/24 ein, weil ich die 192.168.1.252/24 an einem Drucker gesehen habe. Schon bin ich im IP-Kreis der Drucker, auf das vermutlich sehr viele Zugreifen dürfen und bin glücklich und mache dir alles strubbelig
Mit VLANs kann das nicht passieren, denn hier trennt ihr die Netze auf logischer Ebene, es verhält sich aber, als wenn für jedes Netz quasi eine eigene physische Infrastruktur vorhanden wäre (Switche, Patchkabel, Netzwerkkarten, ...)

Und ein weiteres "Problem": Jedes Netz berherbergt immer ein gewisses Grundrauschen (Broadcasts). Durch die nicht vorhandene Trennung in VLANs wird dadurch das physische Netz etwas mehr (unnötig) belastet...

die fw-regel steht an erster stelle.
gut. Und aktiv ist die auch!?
Mal das Logging für die Policy aktiviert und im Live-Log geschaut?

ich dachte nur das es vlt. eine lösung gibt auch wenn die 2 netze am selben fw-port hängen,
da ja beide netze als gw die utm haben und diese die anfragen bzw. datenverkehr bearbeitet weiterleitet.
Per Se sollte das auch funktionieren. So hatten wir es einst auch, wobei wir nicht alles geblockt haben, zwischen den Netzen....
Bitte warten ..
Mitglied: Lochkartenstanzer
04.09.2017 um 09:26 Uhr
Zitat von Florian86:

Jetzt habe ich folgende Schnittstelle generiert 192.168.0.1 auf eth0
Das 2. Netz habe ich als zusätzliche Adresse angegeben und läuft auch auf eth0

Du betreibst zwei Ip-Subnetze auf dem selben LAN-Segment. das ist ein No-Go!. Das dürfen nur Netzwerker mit 30 jahren IP-erfahrung aund auch nur in Ausnahmefällen. Ansonsten mußt Du VLANS einsetzen, wenn Du im selben Segment mehrere IP-Subnetze betreiben willst.

Dein Vorhabnen ist so direkt zum scheitern verurteilt und wird nciht funktionieren,egal was Du in Deiner Fireewall einstellst.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
04.09.2017, aktualisiert um 09:34 Uhr
Zitat von Hendrik2586:

Die Antwort habe ich fast schon erwartet. Ich glaube es gibt da eine Möglichkeit aber die kann ich dir gerade echt nicht sagen. Dafür müsste ich mich noch mehr mit dem Thema befassen.


Nennt sich VLAN. man nehme einen 48-Port-Switch, aktiviere VLANS auf dem Switch und der Sophos und schon kann sehr viele IP-Subnetze mit dieser einen Kiste trennen.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
04.09.2017, aktualisiert um 09:33 Uhr
Zitat von Florian86:

ich habe das Problem gefunden...

Denkst Du . Es ist ein PEBCAK und nciht das was Du denkst.

Man musste hier alle Haken rausnehmen...

Nun komme ich auch nicht mehr ohne Regel in diese Netze.

Glaubst Du. Nur weil Du das nicht kannst. heißt das nicht, daß andere das nicht können.Zwei (oder mehr) IP-Subnetze auf demselben Kabel ohne Nutzung von VLANs ist sicherheitstechnisch tödlich! Findige User werden trotzdem ins Netz kommen. Sie müssen nur Ihre netzwerkkonfiguration etwas "pimpen".

lks
Bitte warten ..
Mitglied: Hendrik2586
04.09.2017 um 09:31 Uhr
Zitat von Lochkartenstanzer:

Zitat von Hendrik2586:

Die Antwort habe ich fast schon erwartet. Ich glaube es gibt da eine Möglichkeit aber die kann ich dir gerade echt nicht sagen. Dafür müsste ich mich noch mehr mit dem Thema befassen.


Nennt sich VLAN. man neheme eine 48-Port-swicth, aktiviere VLANS auf dem witch und der Sophos und schon kannsehr viele IP-Subnetze mit dieser einen Kiste trennen.

lks


Ja, so haben wir das hier auch, aber bei Ihm scheint das netz ein bisschen anders strukturiert zu sein so das ihm das nicht so einfach ermöglicht wird. Für nähere Aussagen bräuchte man aber mehr Input....
Bitte warten ..
Mitglied: Lochkartenstanzer
04.09.2017, aktualisiert um 09:35 Uhr
Zitat von Hendrik2586:

Ja, so haben wir das hier auch, aber bei Ihm scheint das netz ein bisschen anders strukturiert zu sein so das ihm das nicht so einfach ermöglicht wird. Für nähere Aussagen bräuchte man aber mehr Input....

Egal wie es bei ihm strukturiert ist. Er muß die Netze trennen, wenn er keine hintertüren offen haben will. Ansonsten kann er sich die Spohos schenken.

lks
Bitte warten ..
Mitglied: Florian86
04.09.2017, aktualisiert um 09:38 Uhr
können sie nicht da im unternehmen alle domainuser ihre netzwerkkonfig nicht ändern können.
und fremdgeräte dürfen nur über uns angeschlossen werden.

aber ich werde mir die lösung mit dem 48 port und vlan mal anschauen

grüße

florian
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 04.09.2017 um 11:48 Uhr
Hallo,

Zitat von Florian86:
Man musste hier alle Haken rausnehmen...
Dir ist aber klar das dies nur ICMP (Ping) betrifft? Mit allen anderen Ports hat dies hier nichts zu tun.

Nun komme ich auch nicht mehr ohne Regel in diese Netze.
Aber nur mit ICMP (Ping) nicht mehr bzw. wenn es über dein GW (Sophos UTM 9) geht eben nicht mehr. Auch ein Ping von der Sophos aus nach extern oder Intern ist nicht mehr drin. Du hast damit erfolfgreich eins der wichtigsten Werkzeuge lahmgelegt, ob das sinn macht?

Ein blick in das Firewall Log (Live) sagt es dir genau und auch ein Wireshark oder MS Message Analyzer sagen es dir.

Leider gehen immer noch alle Pakete durch.
Hier musst du natürlich schauen welche Ports angesprochen werden und welche Module der UTM du nutzt. Dazu hast du ja verschiedene (Live) Logs.

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
LÖSUNG 04.09.2017, aktualisiert um 12:03 Uhr
Das 2. Netz habe ich als zusätzliche Adresse angegeben und läuft auch auf eth0
Das ist tödlich und mit solchen nicht standardkonformen Konfigs solltest du sehr vorsichtig sein.
Weitere Probleme im Netz sind dann sicher vorprogrammiert.
Niemals solltest du mit 2 oder mehr IP Netzen auf einem Draht fahren. Der TCP/IP Standard sieht sowas nicht vor deshalb ist es nicht standardkonform.
FW Regeln greifen so oder so nicht auf dem gleichen Interface. Mal ganz abgesehen von der Tatsache das das Packet Forwarding dann sehr langsam und Performance fressedn über die FW CPU rennt.

Anders sieht die Sache aus wenn du diese Netze als VLANs mit 802.1q Tagging auf dem eth0 Interface terminierst.
Das wäre dann OK und die saubere Variante wie man es machen sollte.
Details und Grundlagen dazu findest du wie immer auch im hiesigen VLAN Tutorial:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Bitte warten ..
Mitglied: Florian86
04.09.2017 um 12:11 Uhr
VLAN's mache ich gerade.

aber nochmal dazu das die FW-Regeln nicht greifen, kann ich so nicht unterschreiben.
Ohne die Regel das ich von einem in das andere Netz komme funktioniert es nicht und wird gleich verworfen.


Grüße

Florian
Bitte warten ..
Mitglied: aqui
04.09.2017, aktualisiert um 12:22 Uhr
Auf einem Tagged Uplink der die VLANs dann auf virtuelle Subinterfaces in der Firewall splittet (siehe auch Tutorial am Beispiel der pfSense !) da klappt das dann logischerweise weil so jedes Netz wieder ein dediziertes Subinterface hat.

Mit sog. Secondary Adressen klappt es nicht und wäre dann auch nicht Standard konform und falsches IP Adress Design.
Ohne die Regel das ich von einem in das andere Netz komme funktioniert es nicht
Simpler Standard aller FW weltweit. Eine FW verbietet im Default alles was nicht explizit erlaubt ist. Diese banale Binsenweisheit kennt auch der Azubi im ersten Lehrjahr
Bitte warten ..
Mitglied: Florian86
04.09.2017 um 13:02 Uhr
ich weis wie ich jetzt "Standardkonform" :-P weitermache... also alles gut.
Bitte warten ..
Mitglied: aqui
04.09.2017 um 15:29 Uhr
Na denn ist ja alles in Butter.... Dann kommt es jetzt nur auf die richtigen Regeln drauf an
Dewr Rest steht im VLAN Tutortial hier...
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Sophos UTM 9 - Openvpn
gelöst Frage von TuberPlaysNetzwerkmanagement5 Kommentare

Hallo, ich habe gestern eine neue Sophos Firewall als Router installiert. Nun stellt sich allerdings die Frage zum Thema ...

Firewall
Sophos UTM 9 OpenVPN SSO
Frage von Julian94Firewall2 Kommentare

Guten Morgen allerseits, wir haben seit Freitag 2 Sophos SG330 im Einsatz und möchten nun den Außendienst per SSL ...

Firewall
Sophos UTM 9 Email Notification
gelöst Frage von MadzylinderFirewall5 Kommentare

Hallo zusammen, ich habe einen neuen Standort als IT Mitarbeiter übernommen und muss einige Kleinigkeiten umstellen. Hierbei stoße ich ...

Firewall
Sophos UTM 9 SG-115
gelöst Frage von OSelbeckFirewall3 Kommentare

Finde irgenwie nüscht bei Dr. Google Also, neuer Kunde, Sophos UTM9, Lizenz abgelaufen Gibt es diese Lizenz nur bei ...

Neue Wissensbeiträge
Humor (lol)

Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!

Tipp von Snowbird vor 13 StundenHumor (lol)12 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)13 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 2 TagenViren und Trojaner5 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Heiß diskutierte Inhalte
Hyper-V
Bei Neuaufbau auf Core-Server setzen?
gelöst Frage von dertowaHyper-V33 Kommentare

Hallo zusammen, ich habe vor einigen Monaten die Verantwortung für eine EDV-Landschaft übernommen die seit Jahren von einem Dienstleister ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)13 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell12 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Windows 10
WIN10 erfordert Internetzugang bei Änderung von Einstellungen
Frage von SylviaWindows 1012 Kommentare

Hallo zusammen, wir haben WIN10 Enterprise. Wenn man als normaler Benutzer die Einstellungen (Zahnrad) und da z.B. System öffnet, ...