6852099622
Goto Top

Sophos UTM Zugriff bestimmte MAC-Adressen auf Server

Hallo in die Runde,


ich habe mit einer Sophos UTM SG210 (9.718-5) ein Problem, wenn ich einen MAC adressbasierten Zugriff für ein WLAN-Netz einstellen möchte, vielleicht hat ja jemand mal ähnliche Erfahrungen gemacht:

Das WLAN wird von einem Lancom WLC bereitgestellt, hier sind die WLAN-Netze entsprechend definiert.
Die Steuerung der Zugriffe (z.B. Netz A darf auf Netz B zugreifen etc.) wird über die Sophos UTM gesteuert, hier sind die Netze jeweils einzeln definiert; das funktioniert auch absolut problemlos bis zu meinem Thema.

Ich möchte nun von einem der WLAN-Netze nur bestimmte MAC-Adressen den Zugriff auf einen Server erlauben, also habe ich eine entsprechende Adressliste unter Definitions&Users/Network Definitions/MAC-Adress Definitions erstellt.

Eine Firewallregel wurde von mir auch definiert:
Zugriff von WLAN (Netzwerkdefinition), Any, auf Server, Allow. Unter dem Punkt "Advanced" habe ich dann die vorher definierte MAC-Whitelist ausgewählt.

EDIT: ich glaube ich habe hier einen Stolperstein gefunden: sieht die UTM eine solche MAC-Adressdefinition generell als Black- oder Whiteliste an ?


Ergebnis: das WLAN kann weiterhin normal genutzt werden, jedoch können sich der Server und die Geräte der MAC Liste nicht erreichen. Tracert läuft bis zur Firewall und läuft dann nicht weiter.

Hat jemand einen Tipp ?

Vielen Dank im Voraus,

Gruß
Jan

Content-Key: 81801212785

Url: https://administrator.de/contentid/81801212785

Printed on: May 18, 2024 at 04:05 o'clock

Mitglied: 11078840001
11078840001 Feb 27, 2024 updated at 09:58:45 (UTC)
Goto Top
Hat jemand einen Tipp ?
Und das WLAN Netz ist auch auf Layer-2 an der UTM terminiert?
Log der Firewall anschauen dann siehst du warum sie blockt ...
Mitglied: 6852099622
6852099622 Feb 27, 2024 at 10:03:53 (UTC)
Goto Top
Hi,

erstmal Danke für deine Antwort!

Steht der Sever in einem separaten Subnetz oder im selben wie das der WLAN Clients? Wenn i selben dann klappt das natürlich nicht.
Nein, der Server steht in einem anderen Subnet

Und das WLAN Netz ist auch auf Layer-2 an der UTM terminiert?
Log der Firewall anschauen dann siehst du warum sie blockt ...
Das Netz ist auch Layer-2, in den Logs sehe ich aktuell tatsächlich nur "Drop" bei Ping- oder Traceversuch
Mitglied: 11078840001
11078840001 Feb 27, 2024 updated at 10:27:27 (UTC)
Goto Top
Dann schraub das Debugging-Level hoch.
Sophos UTM: Configure firewall rules based on source MAC addresses

Ansonsten fehlen uns hier sämtliche Infos zu deiner angelegten Regel und dem Netzaufbau.
Mitglied: 6852099622
6852099622 Feb 27, 2024 at 10:35:01 (UTC)
Goto Top
genau diesen Supportartikel hatte ich mir als Orientierung zur Einrichtung genommen

Ansonsten fehlen uns hier sämtliche Infos zu deiner angelegten Regel und dem Netzaufbau.
Regel ist oben beschrieben
"Zugriff von WLAN (Netzwerkdefinition), Any, auf Server, Allow. Unter dem Punkt "Advanced" habe ich dann die vorher definierte MAC-Whitelist ausgewählt."

Ansonsten Netzaufbau recht normal: Telekom Anschluss --> Router Lancom --> Transfernetz --> UTM
intern ist das Netz aufgeteilt auf 6 VLANs
DNS --> Domaincontroller
DHCP --> Firewall
Member: aqui
aqui Feb 27, 2024 updated at 10:38:40 (UTC)
Goto Top
Nein, der Server steht in einem anderen Subnet
Du hast dann als guter Netzwerker hoffentlich auf dem Radar das sich die Mac Adresse in einem gerouteten Pfad bekanntlich mit jedem Routing Hop ändert?! Wireshark ist dein bester Freund. face-wink
Mitglied: 11078840001
11078840001 Feb 27, 2024 at 10:43:10 (UTC)
Goto Top
Router Lancom --> Transfernetz --> UTM
Da hast du dein Problem.
Mitglied: 6852099622
6852099622 Feb 27, 2024 at 10:48:00 (UTC)
Goto Top
Zitat von @11078840001:

Router Lancom --> Transfernetz --> UTM
Da hast du dein Problem.

Sorry, das war eine falsche Aussage von mir.... : das Transfernetz ist nur für die zweite Not-Leitung.
Die UTM macht die Interneteinwahl selbst, daher ist der Router tatsächlich aktuell nur die Backup-Leitung (das Interface ist auch aktuell nicht aktiv auf der UTM)
Mitglied: 6852099622
6852099622 Feb 27, 2024 updated at 11:04:27 (UTC)
Goto Top
Zitat von @aqui:

Nein, der Server steht in einem anderen Subnet
Du hast dann als guter Netzwerker hoffentlich auf dem Radar das sich die Mac Adresse in einem gerouteten Pfad bekanntlich mit jedem Routing Hop ändert?! Wireshark ist dein bester Freund. face-wink

interessant ist, dass es bei einem anderen Netz (welches genauso gestrickt ist) funktioniert.
Wireshark habe ich mir schon für heute Nachmittag bereitgestellt ;)
Member: aqui
aqui Feb 27, 2024 at 11:03:23 (UTC)
Goto Top
dass es bei einem anderen Netz (welches genauso gestrickt ist) funktioniert.
Wie Kollege @11078840001 oben schon sagt ist dann aber AP und Server in einer gemeinsamen Layer 2 Broadcast Domain. Das es dann klappt steht außer Frage.
Sobald aber ein oder mehrere Router dazwischen sind verändern sich prinzipbedingt ja die Mac Adressen wie jedermann weiss. Alles andere gehört in den Bereich der IT Märchen.
Mitglied: 6852099622
Solution 6852099622 Feb 28, 2024 at 09:09:01 (UTC)
Goto Top
Zitat von @aqui:
Sobald aber ein oder mehrere Router dazwischen sind verändern sich prinzipbedingt ja die Mac Adressen wie jedermann weiss. Alles andere gehört in den Bereich der IT Märchen.

So sehe ich das auch.

Ich habe es aber gelöst bekommen:

Die WLAN-Netze wurden vom Vorgänger offiziell komplett umgezogen zur Verwaltung auf UTM, bis halt auf genau dieses eine Netz.
Es war zwar alles auf der UTM vorbereitet, aber wenn natürlich der DHCP auf Lancom noch Chef im Ring für dieses eine WLAN ist kann man auf der UTM lange suchen und dann ist klar, dass keine Regel greifen kann....

Kurzum: ich habe mich leider von dieser Aussage "es ist alles auf UTM eingerichtet, Lancom macht nur Bereitstellung des WLANs" leiten lassen und nicht tiefer in den DHCP des Lancoms geschaut, ob der Haken "DHCP aktiviert" geschaltet ist.

Option deaktiviert, DHCP für das Netz auf UTM neugestartet und siehe da, kaum macht man's richtig läuft der Lachs....


Ich bedanke mich trotzdem für euren Input, vielen Dank !