ueba3ba
Goto Top

Sophos UTM ETH0 und ETH1 im selben Netz

Hallo allerseits, ich hab eine Frage zum Freitag.

Ich traf bei einem Kunden eine Sophos UTM an, bei der beide Interfaces im gleichen Netzt sind.
Es funktioniert soweit alles, außer das die FritzBox erreichbar ist.

Ist das so gängige Praxis mit den Interfaces?

Geplant ist von mir jetzt, die Interfaces in unterschiedliche Netze zu bringen.
d3q

Content-ID: 4832985602

Url: https://administrator.de/forum/sophos-utm-eth0-und-eth1-im-selben-netz-4832985602.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

niewiederit
niewiederit 02.12.2022 um 10:37:26 Uhr
Goto Top
Moin,

eine gängige Praxis ist das nicht.
- Wer macht hier den DHCP Server und was ist bei den Clients das Gateway ?

Eine Firewall sollte sich stets zwischen WAN und Client Netz befinden und nicht alles im selben face-smile

Setz dein Plan um, dann kann auch sicher kein Client an der Firewall vorbei.

Viele Grüße
Ueba3ba
Ueba3ba 02.12.2022 aktualisiert um 10:49:21 Uhr
Goto Top
Danke für deinen Beitrag.

Als Std.GW ist die 192.168.0.2 eingetragen. ETH1 von der Sophos.

DHCP macht auch die UTM

Werde ich tun, danke.
walle1979
walle1979 02.12.2022 um 10:50:30 Uhr
Goto Top
Hi,

wenn die Sophos im Bridge-Mode läuft wäre das ok.
Aber dann passen die IPs von FB und Server nicht und würde knallen.
Ueba3ba
Ueba3ba 02.12.2022 um 11:01:52 Uhr
Goto Top
Richtig! Es geht aber..
chgorges
chgorges 02.12.2022 um 11:38:43 Uhr
Goto Top
Jup bei Sophos geht das, weil sie sich nicht, wie andere hochwertigere Firewalls, dagegen wehrt. Gehen tut es dann auch nur bedingt, wie du selber merkst, Stichwort NAT.

Ansonsten macht dein Schaubild keinen Sinn, wenn der Server die .1 und damit die gleiche IP wie die Fritzbox hat.

VG
Ueba3ba
Ueba3ba 02.12.2022 um 11:40:05 Uhr
Goto Top
@chgorges

Ist aber genau so konfiguriert und läuft. Der Esxi ist erreichbar, die Fritte nicht.
walle1979
walle1979 02.12.2022 um 11:46:15 Uhr
Goto Top
na kläre uns doch mal bitte zu der konfig auf. welche Einstellungen sind dann an eth0 und eth1 bitte auch mit netzgröße.
ist denn NAT/MASQ angelegt.
IP-Einstellungen der FB und des Servers
Ueba3ba
Ueba3ba 02.12.2022 um 12:00:29 Uhr
Goto Top
Ich werde erst am Dienstag wieder vor Ort sein.
Habe aktuell keinen Zugriff auf die UTM und Server.
aqui
aqui 02.12.2022 aktualisiert um 14:39:15 Uhr
Goto Top
Der Esxi ist erreichbar, die Fritte nicht.
Wie auch wenn sie die gleiche IP Adresse haben? Doppelte IPs gibts ja nun mal bekanntlich nicht bei TCP/IP. Solche Basics weisst du ja auch selber als Profi.
Wie die Kollegen oben schon geschrieben haben geht sowas nur unter den folgenden Voraussetzungen:
  • Eth0 und Eth1 müssen Member Ports einer im Sophos Setup eingerichteten Bridge. FW IP .0.2 liegt dann auf dem Bridge Interface.
  • Server und FB sind damit in einem gemeinsamen Layer 2 Netz (Bridge) und dürfen daher nicht die gleichen Host IPs haben! Richtig wäre unterschiedliche Hostadressen wie z.B. Server: .0.1 und die FB: .0.254

Normal sind die Ports einer Firewall dedizierte, geroutete Ports ohne Bridging. Auch dann wäre das o.a. Setup aus Netzwerksicht falsch weil an gerouteten Ports eines Routers/Firewall niemals mehrfach das gleiche IP Netz sein darf.
Müssen also Server und FB in einem gemeinsamen IP Netz liegen, dann gelten zwingend die 2 o.g. Vorausetzungen!
Ueba3ba
Ueba3ba 02.12.2022 um 22:16:35 Uhr
Goto Top
@aqui.

Danke für deinen Beitrag.

Als Profi würde ich mich jetzt nicht beschreiben.

Selbstverständlich können zwei Geräte im selben Subnetz nicht die gleiche IP haben/bekommen.
IP Konflikt!

Angenommen die Interfaces befinden sich im Bridge Mode.
Heißt in meinem Fall, der Esxi hat die Nase vorne. Er ist unter der 0.1 erreichbar.
Die Fritte nicht.

Internet funktioniert aber.
Wie dass? Das Interface der Fritte hat auch die 0.2. eingerichtet.
Wie kann das Interface der Fritte dann die Pakete ins Web senden ohne IP.
IPv6!?
Ich mein es ist ausgeschaltet. Bin mir nicht mehr sicher.

Am Dienstag verschaffe ich mir Klarheit.
niewiederit
niewiederit 02.12.2022 um 22:44:14 Uhr
Goto Top
Nabend,

wie @chgorges schon geschrieben hat, wird die UTM es (Die gleichen IP Adressen an unterschiedlichen Interfaces) zulassen und beim NATen die Interfaces berücksichtigen. Dann ist der FB egal was sich hinter der UTM für ein Subnetz befindet. Die UTM weiß ja wo der Server herkommt und NATet dann zur Default Route. Der Server kommt natürlich trotzdem nicht direkt zur FB, da er dann alles an sich selbst schickt, 192.168.0.1 ist für Ihn wie localhost, wenn er z.B. einen PING an 0.1 senden soll.

Viele Grüße

Ralf
aqui
aqui 04.12.2022 aktualisiert um 12:14:25 Uhr
Goto Top
Heißt in meinem Fall, der Esxi hat die Nase vorne.
Nein!
Nase vorn kann es logischerweise nicht geben. Denke an die einfachen Netzwerk Grundlagen zum Verbindungsaufbau die du als guter Admin gelernt hast!!
Das gibt einen Adress Konflikt und beim ARP kommt es zu einer Race Condition zw. diesen 2 IP adressgleichen Geräten. Umso fataler ist hier das eine IP Adresse davon ein Router ist.
Andere Geräte die nach der .0.1 ARPen um deren Mac Adresse für einen Kommunikationsaufbau zu ermitteln bekommen dann je nach Zufallsprinzip die Mac des Servers oder Routers und vorwarden dann Traffic dorthin. Nach dem nächsten ARP ändert sich das usw. Schafft also ein gehöriges Chaos im Netz.
Doppelte IP Adressen sind immer ein gravierender Verstoß gegen grundlegende IP Design Regeln und führen zur sofortigen Fehlfunktion im Netzwerk. Das weiss der Profi und auch der Laie.
Deshalb ist es auch technisch falsch was oben steht.
Der Firewall ist sowas keineswegs egal. Gleiche IP Netze an Interfaces oder gleiche Adressen an einem gebridgten Netz führen immer zu fatalen Fehlern im Netz. Dein Thread hier zeigt das ja beispielhaft.
niewiederit
niewiederit 04.12.2022 um 15:31:15 Uhr
Goto Top
Hallo @aqui,

ich gäbe dir Recht, wenn sich zwischen allen 3 Geräten ein Switch befinden würde, aber nur die UTM ist direkt mit beiden Seiten verbunden, zumindest laut dem Schaubild. Die beiden 0.1er sind nicht physisch im selben Netz.

Viele Grüße

Ralf
aqui
aqui 04.12.2022, aktualisiert am 05.12.2022 um 20:13:04 Uhr
Goto Top
Da hast du Recht das sie ohne eine Bridge nicht im selben Layer 2 Netzwerk Segment sind.
Allerdings ohne eine Bridge Konfiguration an den UTM Ports eth0 und eth1 definiert die Firewall diese Ports immer als dedizierte Routing Ports, da die FW ja primär als Router arbeitet in Bezug aufs IPv4 Forwarding.
Damit erwartet sie dann eine "einzigartige" Netzwerk Adressierung an ihren Ports. Sprich alle IP Netze an ihren lokalen Ports müssen zwingend verschiedene IPv4 Netze sein.
Logisch, denn sonst wäre eine eindeutige Wegefindung (Routing) ja technisch völlig unmöglich. Doppelte IP Netze an ein und derselber Firewall darf es ohne Bridge also ebensowenig geben.
Wenn der TO nun an den Ports 2mal das gleiche 192.168.0.0 /24er IP Netz definiert sollte die FW schon im Setup meckern und diese Kommandos gar nicht ausführen. So wie es jeder vernünftige Router oder Firewall im Setup ja auch immer macht um solche Anfängerfehler gleich zu verhindern. face-wink

So oder so...BEIDE IP Setups des TOs sind falsch und führen zur Fehlfunktion!
  • Im Bridging Setup durch die fehlerhafte Hostadress Doppelvergabe
  • Im Routing Setup durch die Verwendung doppelter IP Netze
Ueba3ba
Ueba3ba 05.12.2022 um 12:01:01 Uhr
Goto Top
Danke. Eure Beiträge sind sehr hilfreich. Leider bin ich noch krank und kann mir die Sophos UTM erst Donnerstag oder Freitag ansehen.
Ueba3ba
Ueba3ba 07.12.2022 um 12:24:09 Uhr
Goto Top
So, wegen einer kleinen Wartung hatte ich Gelegenheit mir die Sophos UTM anzuschauen.

Hier die Bilder:
sophos4
sophos2
sophos3
niewiederit
niewiederit 07.12.2022 um 12:54:20 Uhr
Goto Top
Moin,

dann ist es so wie @chgorges geschrieben hat, dass es sehr wohl bei der UTM möglich ist, beiden Interfaces IP-Adressen aus dem gleichen Subnetz zu geben. Es ist trotzdem so nicht richtig, auch wenn es teilweise funktioniert.

Der Client mit dem Du auf den ESXi zugreifst, sowie auch der ESXi selbst, befindet sich vermutlich an einem Switch (bzw. im selben VLAN), der am UTM ETH1 hängt.
  • Jeder Traffic vom Client oder ESXi, der nicht für das Netz 192.168.0.0/24 bestimmt ist, wird an das GW 192.168.0.2(UTM) geleitet und von dort per NAT an die FB gesendet, erreicht so das Internet
  • Anfragen vom Client an die FB 192.168.0.1, gehen direkt zum ESXi
      • PING wird beantwortet
      • TRACERT zeigt keinen Router dazwischen an
      • Webseiten können vermutlich nicht gefunden werden oder es wird der ESXi angezeigt
  • Ein ARP wird immer den ESXi für 192.168.0.1 anzeigen beim Client und nie, auch nicht abwechselnd, die FB
  • In dem VLAN/Switch (an UTM ETH1) ist die FB total unbekannt

Man kann höchstens mit Portweiterleitungen auf die FB zugreifen, aber ich würde sowas nicht basteln...

Setze deine Planung um und verwende unterschiedliche Netze für die Interfaces face-smile

Viele Grüße

Ralf
Ueba3ba
Ueba3ba 07.12.2022 um 13:09:15 Uhr
Goto Top
Vielen Dank für deinen Beitrag, Ralf.

Ich blick noch net ganz durch, is aber erst mal unwichtig.

Ich werde meinen Plan umsetzen.
aqui
aqui 07.12.2022 aktualisiert um 15:42:27 Uhr
Goto Top
OK, betrachtet man das jetzt mal genau ist es zumindestens von der IP Adressierung am Sophos Port eth1 soweit erstmal OK.
Ein Bridge Interface was die 2 Sophos Ports im Bridging zusammenfasst, sucht man dort aber vergebens. 🤔

Mit der o.a. Konfig sind wenigstens ESXi Server und Sophos Interface eth1 schonmal im gleichen IP Netz 192.168.0.0 /24
Was aber Blödsinn ist, ist der Fakt das das Gateway der Sophos auf die ESXi Management IP zeigt. Quatsch deshalb, weil ein ESXi Server nicht routen kann (und auch soll).
Vermutlich rennt auf dem ESXi ein Router oder eine andere Firewall in einer VM so das hier diese IP der VM als Gateway definiert werden muss aber niemals der ESXi Host selber!!!

Hier findest du ein Praxisbeispiel wie das unter ESXi auszusehen hat:
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
Lesen und verstehen... face-wink
Ueba3ba
Ueba3ba 07.12.2022 um 17:30:45 Uhr
Goto Top
Auf dem Esxi laufen 2 VM's.

VM1: Terminal Server
VM2: File Server

in diesem Netzwerk werden keine Vlans angewendet.
Auch ein Routing auf dem Esxi ist nicht konfiguriert.
aqui
aqui 07.12.2022 aktualisiert um 17:55:40 Uhr
Goto Top
Das bestätigt dann das der Gateway Eintrag in der Sophos der auf den ESXi Server zeigt dann völliger Unsinn ist. Logisch wenn der ESXi nicht routen kann was du ja selber bestätigst. So ein Gateway führt dann ins IP Nirwana...

Was ebenso völlig unverständlich ist warum man am WAN Port einer Firewall einen Server betreibt?! In der regel ist der WAN Port mit NAT behaftet und einem strikten Regelwerk. Das ist alles etwas wirr weil man deine Intention mit dem Netz nicht kennt und nur wild kristallkugelt.
Ohne das du mal wirklich genau hier skizzierst WAS genau du vorhast und mit welcher genauen IP Adressierung drehen wir uns hier alle nur im Kreis und können nicht zielführend helfen. face-sad
Ueba3ba
Ueba3ba 08.12.2022 um 08:53:31 Uhr
Goto Top
Danke für deinen Beitrag aqui.

Ich bin etwas beeinträchtigt gesessen die letzten Tage.

Die eine Skizze kommt noch.

Zitat von @aqui:

Das bestätigt dann das der Gateway Eintrag in der Sophos der auf den ESXi Server zeigt dann völliger Unsinn ist. Logisch wenn der ESXi nicht routen kann was du ja selber bestätigst. So ein Gateway führt dann ins IP Nirwana...


Irgendwo muss es ja hin gehen. Sonst würde meinem Verständnis nach keine Anfrage ins Internet beantwortet
werden können. Die Fritte hat auch die 0.1 konfiguriert. Auf die Fritte kommt man aber nur vor Ort, wenn man
mit einem Patchkabel direkt an die Fritte geht.


Zitat von @aqui:

Was ebenso völlig unverständlich ist warum man am WAN Port einer Firewall einen Server betreibt?! In der regel ist der WAN Port mit NAT behaftet und einem strikten Regelwerk. Das ist alles etwas wirr weil man deine Intention mit dem Netz nicht kennt und nur wild kristallkugelt.


Ist mir soweit klar. Ich habe dieses Konstrukt so vorgefunden und bin etwas verwirrt gewesen.
Wer hat das so konfiguriert? Und weshalb funktioniert es??

Ich versuche noch dahinter zu steigen warum es funktioniert, so wie es chgorges beschrieben hat.
aqui
aqui 08.12.2022 aktualisiert um 11:04:27 Uhr
Goto Top
Irgendwo muss es ja hin gehen.
Das ist richtig! Dieser Gateway Eintrag gilt ja auch lediglich nur für die Sophos selber. Fragt sich dann welches Gateway die Endgeräte eingetragen haben und über welches Gerät sie Internet Zugang haben. Das was die Sophos aber an dem Interface an die ESXi Server Management Adresse routet endet, wie schon gesagt, im IP Nirwana.
Die Fritte hat auch die 0.1 konfiguriert.
Dann dürfen die Fritte und der ESXi Server niemals in einem gemeinsamen Netzwerk sitzen! (Doppelte IP)
Auf die Fritte kommt man aber nur vor Ort, wenn man mit einem Patchkabel direkt an die Fritte geht.
Jein! Wenn man als Admin vorausschauend einen VPN Zugang auf der Fritte und/oder auch auf der Sophos definiert hat dann kommt man auch von überall remote auf das GUI der Fritte. 😉
Ich habe dieses Konstrukt so vorgefunden und bin etwas verwirrt gewesen.
Nicht nur du sondern auch die Community hier. Der der das mal verbrochen hat, hat vermutlich keinerlei Fachkenntniss gehabt oder...du hast nicht alle Konfigs eingesehen um die IP Adressierung und Routing zu verstehen. Deshalb wäre eine genaue Skizze, IP Adressierung, die Konfig der Sophos und was Ziel sein soll wichtig fürs Verständnis.
chgorges
Lösung chgorges 08.12.2022 um 14:16:02 Uhr
Goto Top
Der TE soll einfach das Transfernetz zwischen Fritte und Sophos ändern, dann hat sich der Thread hier erledigt und die Leiche ist vom Dachboden weg.

VG
Ueba3ba
Ueba3ba 08.12.2022 aktualisiert um 15:37:56 Uhr
Goto Top
@chgorges

Richtig!

Dennoch lässt es mir keine Ruhe.

Skizze und Configs kommen noch.