Sophos UTM mit Fritz Repeater
Hallo liebes Forum,
seit einiger Zeit beschäftige ich mich mit dem Thema Sophos UTM usw.und habe diese nun Zuhause konfiguriert.
Leider bin ich da ein absoluter Rookie und stoße immer an so einige Probleme.
Nun zu meiner Konfiguration:
Fritz Box 7490 -> Sophos UTM -> Internes Netz (Clients, Server, Drucker, Repeater)
Ich habe euch anbei noch ein Bild von meiner Konfig drangehängt.
Nun habe ich folgendes Problem. Seit ich die Fritz Box durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht mein Server meine FritzBox nicht mehr.
Daher kann er auch meinen WLAN Clients keine IP zuweisen.
Ebenfalls habe in meiner Fritz Box auch ein Gäste WLAN eingerichtet (IP: 192.168.189..).
Dieses funktioniert, wenn direkt mit der Fritz Box verbunden, logischerweise einwandfrei.
Außerdem habe ich noch eine FritzRepeater DVB-C der als LAN Brücke konfiguriert ist.
Dort ist das Problem, dass mein internes WLAN funktioniert jedoch mein Gäste WLAN nicht.
Ich vermute stark, dass der Repeater die Fritz Box braucht um das Gäste WLAN zu verstärken.
Und rumgedreht kommt der DHCP Server nicht an die WLAN Geräte.
In der Sophos habe ich auch schon mal das DHCP Relay zwischen WAN und Internal eingestellt, leider ohne Erfolg.
Ich weiß dass es von Sophos einen AP gibt, der meine ganzen Probleme löst, jedoch lässt mein Geldbeutel das aktuell nicht zu.
Daher wäre ich euch dankbar, wenn ihr mir Tipps für meine aktuelle Konfig geben könntet.
Eigentlich wollte ich ja die 2. Fritz Box 3270 für das WLAN nehmen, nur leider ist es so, dass wenn ich diese im IP Client Modus laufen lasse, dass die Option Gast WLAN nicht vorhanden ist.
Ich hatte schon im Kopf eine Brücke zwischen Switch und Fritz Box 7490 mit einem Patch Kabel zu setzen.
Da bin ich mir aber nicht so ganz sicher, ob ich dann meine Firewall umgehe?
Ich habe gedacht, dass ich das nicht tu, da die Fritz eine andere IP wie das Interne Netz hat und der DHCP Server verweist ja auf die Firewall als Gateway. Somit dürfte der Verkehr ja nicht an der UTM vorbeigehen oder sehe ich das falsch?
Vielen Dank für eure Hilfe.
Gruß Michael
seit einiger Zeit beschäftige ich mich mit dem Thema Sophos UTM usw.und habe diese nun Zuhause konfiguriert.
Leider bin ich da ein absoluter Rookie und stoße immer an so einige Probleme.
Nun zu meiner Konfiguration:
Fritz Box 7490 -> Sophos UTM -> Internes Netz (Clients, Server, Drucker, Repeater)
Ich habe euch anbei noch ein Bild von meiner Konfig drangehängt.
Nun habe ich folgendes Problem. Seit ich die Fritz Box durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht mein Server meine FritzBox nicht mehr.
Daher kann er auch meinen WLAN Clients keine IP zuweisen.
Ebenfalls habe in meiner Fritz Box auch ein Gäste WLAN eingerichtet (IP: 192.168.189..).
Dieses funktioniert, wenn direkt mit der Fritz Box verbunden, logischerweise einwandfrei.
Außerdem habe ich noch eine FritzRepeater DVB-C der als LAN Brücke konfiguriert ist.
Dort ist das Problem, dass mein internes WLAN funktioniert jedoch mein Gäste WLAN nicht.
Ich vermute stark, dass der Repeater die Fritz Box braucht um das Gäste WLAN zu verstärken.
Und rumgedreht kommt der DHCP Server nicht an die WLAN Geräte.
In der Sophos habe ich auch schon mal das DHCP Relay zwischen WAN und Internal eingestellt, leider ohne Erfolg.
Ich weiß dass es von Sophos einen AP gibt, der meine ganzen Probleme löst, jedoch lässt mein Geldbeutel das aktuell nicht zu.
Daher wäre ich euch dankbar, wenn ihr mir Tipps für meine aktuelle Konfig geben könntet.
Eigentlich wollte ich ja die 2. Fritz Box 3270 für das WLAN nehmen, nur leider ist es so, dass wenn ich diese im IP Client Modus laufen lasse, dass die Option Gast WLAN nicht vorhanden ist.
Ich hatte schon im Kopf eine Brücke zwischen Switch und Fritz Box 7490 mit einem Patch Kabel zu setzen.
Da bin ich mir aber nicht so ganz sicher, ob ich dann meine Firewall umgehe?
Ich habe gedacht, dass ich das nicht tu, da die Fritz eine andere IP wie das Interne Netz hat und der DHCP Server verweist ja auf die Firewall als Gateway. Somit dürfte der Verkehr ja nicht an der UTM vorbeigehen oder sehe ich das falsch?
Vielen Dank für eure Hilfe.
Gruß Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329502
Url: https://administrator.de/forum/sophos-utm-mit-fritz-repeater-329502.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
wenn du das Gastnetz und die AVM Repeater nutzt kannst du die Sophos auch gleich aussen vor lassen, denn dann tunnelst du quasi durch die UTM durch. Also nicht wirklich sinnig. Nicht ohne Grund platziert Sophos die UTM als Gateway für alle Verbindungsarten, denn dann ist die Gateway/UTM Funktion sichergestellt.
VG
wenn du das Gastnetz und die AVM Repeater nutzt kannst du die Sophos auch gleich aussen vor lassen, denn dann tunnelst du quasi durch die UTM durch. Also nicht wirklich sinnig. Nicht ohne Grund platziert Sophos die UTM als Gateway für alle Verbindungsarten, denn dann ist die Gateway/UTM Funktion sichergestellt.
VG
durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht mein Server meine FritzBox nicht mehr.
Ist ja auch klar und logisch, denn nun ist die Firewall dazwischen mit ihren Regeln die das vermutlich verbieten.Fazit: Firewall Regeln anpassen !!
Sinnvoller wäre satt einer Router Kaskade die UTM mit einem Modem direkt ans Internet zu klemmen und die FB dann als einfachen WLAN Accesspoint betrieben wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Oder wenn du dein Design behalten willst das WLAN auf der FB generell zu deaktivieren und es mit einem Accesspoint hinter der Firewall zu betreiben wie es technisch am sinnvollsten ist.
So besteht die Gefahr das alle WLAN User ja quasi dein Firewall aushebeln. Das Gästenetz auf der FB ist so oder so in 3 Minuten geknackt. Alle diese Geräte sind dann ohne Firewall und so wird dein UTM Konzept dann quasi vollkommen ad absurdum geführt. Die FW ist für diese Geräte nichts weiteres als ein sinnloser "Durchlauferhitzer".
Am besten machst du das über einen preiswerten MSSID fähigen Accesspoint mit einem Gastnetz das den Namen auch verdient. Deine Sohos Gurke hat das ja vermutlich alles an Bord.
So ein Konzept ist hier genau beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Außerdem habe ich noch eine FritzRepeater DVB-C der als LAN Brücke konfiguriert ist.
Igitt. Ein Repeater ist immer kontraproduktiv, denn er halbiert per se die Bandbreite im WLAN Netzwerk und reisst die Performance runter. Das dann massive auftretende Hidden Station Problem gibt dem WLAN dann meist den Rest. Ganz besonders im völlig überfüllten 2,4 Ghz Bereich:https://en.wikipedia.org/wiki/Hidden_node_problem
Repeating sollte man wenn immer möglich vermeiden und den AP immer direkt anschliessen mit Kabel oder D-LAN.
Ich vermute stark, dass der Repeater die Fritz Box braucht um das Gäste WLAN zu verstärken.
Das ist so, denn dafür ist die BSSID wichtig (Mac des APs) auf dessen Basis das repeating funktioniert.Besser du löst das über einen MSSID AP.
Ich weiß dass es von Sophos einen AP gibt, der meine ganzen Probleme löst,
Das ist wie immer Unsinn, das kann auch jeder Feld- Wald- und Wiesen AP ! Siehe Tutorial oben.dass wenn ich diese im IP Client Modus laufen lasse, dass die Option Gast WLAN nicht vorhanden ist.
Aus guten Grund. Sie funktioniert dann nicht mehr. Gelinge gesagt ist die Gast Option in der FB Schrott, denn sie ist nicht sicher ! Ausserdem löst sie die User Sicherheit nicht und in D gilt weiterhin Störerhaftung.Da bin ich mir aber nicht so ganz sicher, ob ich dann meine Firewall umgehe?
Ja damit umgehst du sie. Was du aber für die WLAN Clients ja so oder so schon gemacht hast. In sofern ist dein Konzept grundlegend falsch, denn die FW ist mehr oder minder Spielkram so.Ich habe gedacht,
Nicht denken sondern nachdenken !!!Mit dem Bypass verbindest du 2 geroutet Netze mit einem Layer 2 Link. Das tödlichste was man im TCP/IP machen kann.
Dazu kommt es dann zu einen IP Adresschaos zweier Netze.
Leichtet einem aber auch selber ein wenn man mal etwas nachdenkt wie sich IP Pakete im Netzwerk bewegen !
Hallo,
A - Warum soll dein Server die Fritte erreichen?
B - meinst du mit erreichen ein Ping oder was?
c - Wenn dein Server nicht die Sophos und die nicht die Fritte erreichen, wieso geht dann Internet? Oder ist dein Fritte nicht für das Internet zuständig?
Du solltest dir auch noch einmal das hier gesagte ins Gedächtniss zurückrufen. Was nicht ist das ist nicht.
Gruß,
Peter
Zitat von @MichiGrossmann:
Nun habe ich folgendes Problem. Seit ich die Fritz Box durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht
mein Server meine FritzBox nicht mehr.Nun habe ich folgendes Problem. Seit ich die Fritz Box durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht
A - Warum soll dein Server die Fritte erreichen?
B - meinst du mit erreichen ein Ping oder was?
c - Wenn dein Server nicht die Sophos und die nicht die Fritte erreichen, wieso geht dann Internet? Oder ist dein Fritte nicht für das Internet zuständig?
Daher kann er auch meinen WLAN Clients keine IP zuweisen.
Das wird auch so nicht funktionieren. Dazu müsstest du deine Fritte als reinen Access Point laufen lassen - da ist dann nix mehr mit Internet.Dieses funktioniert, wenn direkt mit der Fritz Box verbunden, logischerweise einwandfrei.
Klar.Dort ist das Problem, dass mein internes WLAN funktioniert jedoch mein Gäste WLAN nicht.
Welches WLAN (SSID) soll der denn Repeaten. Ist der auf dein Gäste WLAN deiner Fritte eingestellt?Ich vermute stark, dass der Repeater die Fritz Box braucht um das Gäste WLAN zu verstärken.
Wenn von dieser FritzBox dein Gäste WLAN kommt - natürlichUnd rumgedreht kommt der DHCP Server nicht an die WLAN Geräte.
Nö.In der Sophos habe ich auch schon mal das DHCP Relay zwischen WAN und Internal eingestellt, leider ohne Erfolg.
Hast du denn mehrere IP Netze am laufen wo Clients von einen Zentralen DHCP (nicht von deiner Sophos UTM) ihre IPs beziehen?Ich weiß dass es von Sophos einen AP gibt, der meine ganzen Probleme löst, jedoch lässt mein Geldbeutel das aktuell nicht zu.
Der AP muss nicht von Sophos stammen. da tut es jeder Access Point der mehr als eine SSID kann (dazu brauchst du dann VLANs (zwingend).Daher wäre ich euch dankbar, wenn ihr mir Tipps für meine aktuelle Konfig geben könntet.
Frag deine Kumpel der dir deine Sohops eingerichtet hat. Sophos UTM 9 Home Zugriff WebinterfaceEigentlich wollte ich ja die 2. Fritz Box 3270 für das WLAN nehmen, nur leider ist es so, dass wenn ich diese im IP Client Modus laufen lasse, dass die Option Gast WLAN nicht vorhanden ist.
Ist doch irgendwie logisch, oder? wenn deine fritte nicht als Router sondern als reiner IP-Client läuft - kann es kein Gäste LAN oder Gäste WLAN von der Fritte geben. Die kann dann weder Routen noch kann die dann mehr als ein IP Netz. Und ein Gäste LAN / WLAN setzt doch immer ein anderes IP Netz voraus, oder du verwendest andere Verfahren um ein abgetrenntes Gast Netz aufzumachen.Da bin ich mir aber nicht so ganz sicher, ob ich dann meine Firewall umgehe?
Da wird deine Firewall zu 100 % umgangen, was dir aber auch nichts bringt da deine Fritte und dessen LAN ein anderes Netz verwendet als dein LAN. Dir wurde doch in dein Sophos UTM 9 Home Zugriff Webinterface schon gesagt was geht oder eben nicht geht. Das was du vorhast ist mit deinen Mitteln so nicht umsetzbar. Und wenn du kein Geld inverstieren willst, dann begrabe deine Träume.Ich habe gedacht, dass ich das nicht tu, da die Fritz eine andere IP wie das Interne Netz hat und der DHCP Server verweist ja auf die Firewall als Gateway. Somit dürfte der Verkehr ja nicht an der UTM vorbeigehen oder sehe ich das falsch?
Wenn deine Sophos UTM nicht einfach nur dumpf Strom verbraten und zu sonst nichts zu gebrauchen sein soll, nein - dann macht man das nicht.Du solltest dir auch noch einmal das hier gesagte ins Gedächtniss zurückrufen. Was nicht ist das ist nicht.
Gruß,
Peter
Moin,
das ist ein hier oft durchgesprochener Aufbau.
Du brauchst vorweg ein Modem vor der Firewall und holst deine 7490 ins interne Netz. Dort muss diese im Lan Modus laufen.
Ne Fritzbox 7390 gibt es als Modem schon sehr Günstig. <s>Zudem kannst du diese dann ebenfalls als TK betreiben.</s> (von der 7390 weiß ich, das diese recht günstig erhältlich ist)
Dann musst von der Sophos noch den Zugriff in das Netz der ggf. 7390 zulassen und kannst sogar SIP Teilnehmer nutzen. FW Funktionalität der Sophos ist dann vollständig gegeben.
Oder als reines Modem brauchst du eben noch ne andere TK Option. Das wäre aus dem Internen Netz auch machbar aber würde ein weiteres Stück
Hardware vorraussetzen und zusätzlich einen SIP-Proxy in der Sophos.
Theoretisch kannst du aber auch die 7490 als TK aus dem Internen Netz nutzen. Da bin ich mir nicht sicher ob dir AVM im Lan-Mode nicht doch ein Strich durch die Rechnung macht. Dazu habe ich keinerlei Erfahrungswerte.
Gruß Spirit
das ist ein hier oft durchgesprochener Aufbau.
Du brauchst vorweg ein Modem vor der Firewall und holst deine 7490 ins interne Netz. Dort muss diese im Lan Modus laufen.
Ne Fritzbox 7390 gibt es als Modem schon sehr Günstig. <s>Zudem kannst du diese dann ebenfalls als TK betreiben.</s> (von der 7390 weiß ich, das diese recht günstig erhältlich ist)
Dann musst von der Sophos noch den Zugriff in das Netz der ggf. 7390 zulassen und kannst sogar SIP Teilnehmer nutzen. FW Funktionalität der Sophos ist dann vollständig gegeben.
Oder als reines Modem brauchst du eben noch ne andere TK Option. Das wäre aus dem Internen Netz auch machbar aber würde ein weiteres Stück
Hardware vorraussetzen und zusätzlich einen SIP-Proxy in der Sophos.
Theoretisch kannst du aber auch die 7490 als TK aus dem Internen Netz nutzen. Da bin ich mir nicht sicher ob dir AVM im Lan-Mode nicht doch ein Strich durch die Rechnung macht. Dazu habe ich keinerlei Erfahrungswerte.
Gruß Spirit
Dann ist wirklich alles sauber getrennt.
Nein, ist es nicht.Hier machst du einen fatalen Denkfehler, denn das Gastnetz ist nur vom normalen WLAN dann rein innerhalb des 4020 abgetrennt.
Beide Netze "treffen" sich dann aber wieder auf dem WAN Port mit dem du die 4020 vermutlich in dein netzwerk hängst wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Das wäre dann ein Riesenfehler, da damit dann Gäste direkt in deinem lokalen LAN sind. Ein NoGo !
Oder willst du den 4020 etwa wieder als gruseligen WLAN Repeater laufen lassen ??
Das tötet dir dann deine WLAN Performance für alle deinen WLAN Netze.
dass es wohl kein Problem ist, das VOIP Signal durch zuschleifen.
Das ist es generell nicht !Für VoIP ist auch kein Router zwingend. das kann man auch mit VoIP Endgeräten direkt erledigen oder mit einem preiswerten VoIP Adapter mit dem man alle Telefone unabhängig VoIP machen kann:
https://www.reichelt.de/Telefone-VoIP/CISCO-SPA112/3/index.html?ACTION=3 ...
Ein reines Modem geht so oder nicht, denn das ist paaiv und gar nicht am IP Packet Forwarding beteiligt.
Wenn du gar kein Geld ausgeben möchtest, könntest du auch die 3270 mit freetz bestücken.
Eventuell kann die dann VLANs und Multi SSDIDs (müsstest du im Internet recherchieren).
Eventuell kann die dann VLANs und Multi SSDIDs (müsstest du im Internet recherchieren).
Hallo,
Dir wurden alle Möglichkeiten aufgezeigt. Es ist an dir sich für die eine oder andere Lösung zu entscheiden. Wenns Geld nicht reicht, Anforderungen überdenken bzw. zurückschrauben oder ganz darauf verzichten. Du entscheidest. Wir haben nur auf deine Fragen geantwortet und wenn dann Lösungen sich als über dein Budget herausstellen - war nicht unsere Frage...
Du darfst dir auch ein Steak vor deiner WLAN Antenne tackern und hoffen das es bald medium Rare wird. WLAN ist auch eine Art von Mikrowelle(nherd).
Gruß,
Peter
Zitat von @MichiGrossmann:
sorry wenn ich so blöd frage, aber die Gäste kommen doch garnicht ins interne Netz, weil diese doch in einem komplett anderen Netz surfen.
Am WAN bzw. LAN1 der Fritte sind die schon in dein Netz. Was die dort tun können....sorry wenn ich so blöd frage, aber die Gäste kommen doch garnicht ins interne Netz, weil diese doch in einem komplett anderen Netz surfen.
Und außer surfen ist auch nichts für die Gäste erlaubt.
Deine 3270 kann auch Gastnetz. Auch ohne Gäste WLAN - Der 3270 ein eigenes Interface (LAN Port) zuordnen, anderen IP kreis nutzen, dein gewünschte Firewall regeln erstellen und deine Gäste dort fröhlich surfen lassen. Das sit dann auch sicher - allerdings kein Zugriff in dein LAN und auch gar nicht dran denken dies per ACL oder sonstwie zu realisieren. Da braucht es keine 4020.Geplant ist nämlich, dass die 4020 als AP im IP Client Modus läuft und rein das WLAN dann zur Verfügung stellt.
Nimm deine 3270. Die tuts dann auch.Und in meiner alten Firma hatten wir halt von Sophos die AP
Die braucht es nicht zwingendUnd ich kann ja theoretisch die 4020 auf einen eigene LAN Port der Sohos hängen.
Kanst du mit deiner 3270 auch.Dann könnte ich ja theoretisch auch noch mal ein bisschen genauer einstellen was auf dem Port passieren darf.
Wie du selsbt sagst - nur Surfen für Gäste.Und ich denke auch, man darf generell nicht vergessen, dass ich keine Firma sondern privat bin.
Ändert aber nichts an deine Forderung. Wenn du tatsächlich keine Tödlichen Verkehrsunfall erleiden willst - dann darfst du ab sofort kein PKW oder taxi oder sonstein Verkehrmittel mehr nutzen.Und klar habe ich den Ehrgeiz alles so perfekt und sicher wie möglich zu machen.
Aber das kostet auch Geld.Aber ich kann halt nicht los wie ne Firma und mir mal schnell für ein paar hundert Euro Hardware kaufen.
Dann musst du deine Anforderungen herunterschrauben bis das Geld passt.Außerdem betreibe ich halt gewisse Geräte, wie meinen Fritz DVB-C Repeater, auf den ich nicht verzichten möchte.
Wenn du da drauf nicht verzichten willst, dann passe deine anderen Forderungen eben an.Ich mein, wenn könnten doch nur meine Kumpels Blödsinn machen oder?
Du musst wissen was du von deinen Kumpels zu erwarten hast wenn die so könnten wie die wollten...Und meine Kumpels wollen ja nur mit dem Handy ins Internet oder whats app schreiben wenn se zum Bundesliga schauen kommen.
Nur deine Kumpels können dir sagen was die wirklich wollen...Dir wurden alle Möglichkeiten aufgezeigt. Es ist an dir sich für die eine oder andere Lösung zu entscheiden. Wenns Geld nicht reicht, Anforderungen überdenken bzw. zurückschrauben oder ganz darauf verzichten. Du entscheidest. Wir haben nur auf deine Fragen geantwortet und wenn dann Lösungen sich als über dein Budget herausstellen - war nicht unsere Frage...
Du darfst dir auch ein Steak vor deiner WLAN Antenne tackern und hoffen das es bald medium Rare wird. WLAN ist auch eine Art von Mikrowelle(nherd).
Gruß,
Peter
Hallo MIchael,
naja, dann solltest du dir aber überlegen, wohin du willst. Mit einer Sophos UTM/SG als Firewall und dann einem solchen ...."Aufbau" ist die Sophos im Endeffekt tatsächlich zu nichts nütze. Da muss schon das Konzept stimmen. Um auf deine Modellbaumetapher zurück zu kommen. Mehrere tausende Motor, aber Flügel aus Self-made-Pappe? Dir ist die Schlussfolgerung sicher klar...
naja, dann solltest du dir aber überlegen, wohin du willst. Mit einer Sophos UTM/SG als Firewall und dann einem solchen ...."Aufbau" ist die Sophos im Endeffekt tatsächlich zu nichts nütze. Da muss schon das Konzept stimmen. Um auf deine Modellbaumetapher zurück zu kommen. Mehrere tausende Motor, aber Flügel aus Self-made-Pappe? Dir ist die Schlussfolgerung sicher klar...
Ich verstehe nicht wieso du dir nicht einfach nen AP bsp von Ubiquiti holst. Mit der 3270 sind deine Anforderungen doch nicht zu realisieren.
Ich habe so eine Kiste mit freetz hier liegen. da ist ohne Hand an zu legen und die Konfig so umzuschreiben nichts zu machen, zumal man garnicht mit VLans arbeiten kann.
Wenn schon ne vernünftige FW dann auch ne schöne Wlan Infrastruktur.
Ich habe so eine Kiste mit freetz hier liegen. da ist ohne Hand an zu legen und die Konfig so umzuschreiben nichts zu machen, zumal man garnicht mit VLans arbeiten kann.
Wenn schon ne vernünftige FW dann auch ne schöne Wlan Infrastruktur.