10.09.2024

1207

Sophos UTM9 VLAN routing

Hi,

ich bin aktuell dabei mir das Thema VLan im allgemeinen wieder mal näher anzuschauen.
Leider habe ich das Problem, dass ich nicht aus dem Lan ins Vlan pingen kann. Vom Vlan ins Lan kann ich pingen.

Zum testen habe ich eine alte sophos SG230 mit UMT9.

Ich habe an eth0 ein Lan Netzwerk definiert mit dem Netz 192.168.178.0/24 IP des interfaces 192.168.178.1
Ebenso habe ich ein Vlan an eth0 definiert Vlan20 mit dem Netz 192.168.200.0/24 IP des Interfaces 192.168.200.1

Fierwall Regeln die den traffic zwischen Lan und Vlan20 und anders rum zulassen habe ich definiert.

Bin etwas Ratlos wo das Problem ist hat jemand einen Lösungsansatz für mich?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 668022

Url: https://administrator.de/contentid/668022

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

24 Kommentare

Neuester Kommentar

Hi,

da fehlen Infos zum Aufbau. Wie sieht das Netz konkret aus und wer pingt da wen an?

Gruß,
Thomas

An eth0 ist ein Netgear switch. Port 1 ist als trunk für vlan20 und untagged für vlan1 definiert.

Port 5-9 sind vlan1 untagged und 10-14 sind vlan20 untagged.

dort ist jeweils ein client am ersten möglichen port angeschlossen mit den IPs: 192.168.178.10(vlan1/lan) 192.168.200.10(vlan20).

Welche infos wären noch hilfreich?

Das liegt an deinem Regelwerk, die SG230 ist aber in KMU schnell am Limit was Segmentierung angeht. Der Support ist aber bis 06-2026, hab hier und da noch eine stehen. Was sagt den der LIVE Log?

Wenn du im Allgemeinen testest empfehle ich OPNsense, kostenlos, erfüllt den gleichen Zweck, kann man einem Mini-PC getestet werden, auch im Homelab.

Je nach Anforderung kann man sich die Hardware selbst zusammenstellen.
https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls ...
https://www.youtube.com/watch?v=y9A00tM4H58

Das ist in Summe individueller und günstiger, es gäbe aber auch fertige Pakete.
https://shop.opnsense.com/product-categorie/hardware-appliances/

Du wärest nicht der erste, der Sophos den Rücken kehrt, mich mich als langjähriger Kunde (damals noch Astaro) hat Sophos definitiv verkrault, spätestens Mitte 2026 zahle ich für den Murks nichts mehr.
https://www.youtube.com/watch?v=pOlRkNGKaSs

Danke für diene Antwort. das Bringt mir nur nichts...

Ich möchte es mit der SG230 zum laufen bekommen.

Moin,

Das liegt an deinem Regelwerk, die SG230 ist aber in KMU schnell am Limit was Segmentierung angeht.

Was eine MurKs Aussage.
Die SG 230 hat schon etwas Power… bei uns haben wir darüber spielend 20 VLANs und rund 400 IPs gehandelt.

@to
In deinem Post fehlen sämtliche Infos.
Zeige bitte mal die Firewall-Regeln.
Ferner: was sind deine Ziele die du ansingst? Wenn du vom LAN in ein VLAN pingst und am Ende ein Windows-Client hängt, blockt deren Firewall den Traffic richtigerweise, da du aus einem fremden Netz kommst.

Ok manchmal hat man scheinbar sein Hirn nicht dabei.

Die Windows Firewall war natürlich das Problem...

Zitat von @em-pie:
Was eine MurKs Aussage.
Die SG 230 hat schon etwas Power… bei uns haben wir darüber spielend 20 VLANs und rund 400 IPs gehandelt.

Was für ein Murks deine Aussage, als ob jede Umgebung gleich wäre. Wenn's für dich reicht, freu dich.

Moin @nachgefragt,

Das liegt an deinem Regelwerk, die SG230 ist aber in KMU schnell am Limit was Segmentierung angeht.

Wenn du im Allgemeinen testest empfehle ich OPNsense, kostenlos, erfüllt den gleichen Zweck, kann man einem Mini-PC getestet werden, auch im Homelab.

ähm, wie bitte, eine SG230, die FW technisch einen Durchsatz von bis zu 13.000 MB/s schafft soll nicht ausreichend sein und eine OPNsense soll es besser hinbekommen ... 😂🤣😂🤣 ... OK, der ist echt gut.

Und nein, eine OPNsense kannst du nicht wirklich mit einer SG und schon gar nicht mit einer XGS vergleichen, da diese z.B. weder eine ordentliche "SSL/TLS Inspection" hat noch ATP kann.

Du wärest nicht der erste, der Sophos den Rücken kehrt, mich mich als langjähriger Kunde (damals noch Astaro) hat Sophos definitiv verkrault, spätestens Mitte 2026 zahle ich für den Murks nichts mehr.
https://www.youtube.com/watch?v=pOlRkNGKaSs

Und spätestens das, also eine Sophos RED durch eine selbstgebastelte OPNsense Lösung zu ersetzen, mach meiner Ansicht nach alleine schon kaufmännisch überhaupt keinen Sinn, da die RED's nur einmalig und auch nicht viel kosten, dafür aber mit etwas Übung in unter 5 Minuten eingerichtet sind und zwar zentral über die SG oder XG(S).

Gruss Alex

Zitat von @MysticFoxDE:
ähm, wie bitte, eine SG230, die FW technisch einen Durchsatz von bis zu 13.000 MB/s schafft soll nicht ausreichend sein und eine OPNsense soll es besser hinbekommen ... 😂🤣😂🤣 ... OK, der ist echt gut.

Moin Alex,
reimst du dir heute morgen einfach mal was zusammen oder oder ignorierst du den Kontext gewollt? Du als Sophos Verkäufer bzw. Sophos Vertreter bist natürlich anders eingestellt.

Und nein, eine OPNsense kannst du nicht wirklich mit einer SG und schon gar nicht mit einer XGS vergleichen

Du bist hier der erst der überhaupt XGS erwähnt

da diese z.B. weder eine ordentliche "SSL/TLS Inspection" hat noch ATP kann.

Ein Beispielmodul wäre: https://www.zenarmor.com/docs/opnsense

Und spätestens

... jetzt bist du soweit vom Thema weg. Back2Topic

Zitat von @nachgefragt:

Zitat von @em-pie:
Was eine MurKs Aussage.
Die SG 230 hat schon etwas Power… bei uns haben wir darüber spielend 20 VLANs und rund 400 IPs gehandelt.

Was für ein Murks deine Aussage, als ob jede Umgebung gleich wäre. Wenn's für dich reicht, freu dich.

Na du hast doch angefangen und die Sophos gegen die uns unbekannte Umgebung des TO abzuwerten.
Oder hast du noch Infos zur Umgebung des TO, die wir hier nicht haben?

Aber bevor wir hier weiter ausufern bin ich wieder bei dir:
Back2Topic

Moin @nachgefragt,

reimst du dir heute morgen einfach mal was zusammen oder oder ignorierst du den Kontext gewollt?

ähm, welchen Kontext den genau?
Oder meinst du etwa die zwei putzigen 24er V-LAN's des TO's. 🙃

Du als Sophos Verkäufer bzw. Sophos Vertreter bist natürlich anders eingestellt.

In erster Linie bin ich Techniker und ich wüsste auch nicht, dass ich mit Sophos verheiratet währe, aber ja,
ich mag deren durchaus Produkte und unsere Kunden sind damit bisher auch zufrieden.

da diese z.B. weder eine ordentliche "SSL/TLS Inspection" hat noch ATP kann.

Ein Beispielmodul wäre: https://www.zenarmor.com/docs/opnsense

Ja klar, ein extra kostenpflichtiges Modul hier, eines da und dann kommst du mir mit günstiger und unkomplizierter. 🙃
Und komme mir jetzt bitte nicht mit der Free Edition, denn die gibt es bei Sophos auch. 😉

Und spätestens

... jetzt bist du soweit vom Thema weg. Back2Topic

Dir ist aber schon klar, dass du selbst den entsprechenden Kontext gepostet hast.

Gruss Alex

Zitat von @MysticFoxDE:
ein extra kostenpflichtiges Modul hier, eines da und dann kommst du mir mit günstiger und unkomplizierter.

Exakt, wer nicht so verschossen auf Sophos ist darf sich sehr wohl die Frage stellen.

Ich als alter Sophos Hase muss leider sagen, Sophos hat extrem abgenommen, der Support ist so ziemlich das Miserabelste, was mir in den letzten 5 Jahren unterkam. Dafür muss ich doppelte Lizenzkosten bezahlen, 150€ Dienstleister und dann noch extrem viel Zeit für das Troubleshooting aufbringen.

Du liegst also richtig: Der Sophos Support ist derart Inkompetent, die Lizenzkosten haben sich in 3 Jahren verdoppelt, sodass man kein Risiko mit einem Wechsel eingeht. Schlimmer geht immer, aber auch das sollen mir Alternativen erstmal beweisen.

Und komme mir jetzt bitte nicht mit der Free Edition, denn die gibt es bei Sophos auch. 😉

Das wusste ich wirklich nicht, hau mal den Link der kostenlosen Sophos Firewall Free Edition raus.

Aber wehe das ist nur so ein 30 Tage Ding Version, dann ist's ja witzlos.

Kostenlos klingt gut, genau soviel ist der Sophos Support wert, besser wenn man ihn die braucht, sonst kostet er noch unfassbar viel Zeit; gemeint ist der direkte Sophos Support aus Indien, nicht der Systemhaus Support für 150€/h (den gibt es für OPNsense auch

Bitte sehr: Sophos Firewall Home Edition

Dass du @nachgefragt eine "radikale" Ansicht von Sophos Produkten und / oder deren Support hast, das kennen wir schon aus anderen Beiträgen von dir. Du musst aber deine Meinung, denn das ist es nun mal, nicht anderen Forenteilnehmern aufzwingen.

Eine SG230, ja selbst eine SG105 ist ausreichend für die Tests des TO.

@DerMaddin
Solange Meinungsfreiheit in dem Forum unzensiert herrscht, möchte ich meine auch teilen. Mir haben andere Meinungen ebenso sehr viel geholfen, sodass ich dies gern zurückgebe.

Mir ist dabei klar, dass sowas bei Sophos-Vertrieblern und Fanboys im Forum sauer aufstößt. Nicht jede Umgebung ist gleich, solange es also läuft, ist niemandem das Ausmaß bewusst, nicht jeder hat Themen mit dem Sophos L1-3 Support zu klären.
Ich habe noch immer selbst genug im Sophos zu tun, weshalb ich meine Meinung doppelt unterstreichen darf, Erfahrung aus 1. Hand.

Echt jetzt? Meinungsfreiheit? Okay, meine Meinung ist, dass du null Ahnung von Sophos Produkten hast und deine Beiträge zu Sophos-Themen gänzlich irrelevant sind.

Kannst du meine Meinung Akzeptieren?

Zitat von @DerMaddin:
Kannst du meine Meinung Akzeptieren?

Aber sicher, ich weiß doch wo's herkommt.

EDIT
Vielleicht wäre Meinungstoleranz treffender gewesen

Moin @nachgefragt,

Ich als alter Sophos Hase muss leider sagen, Sophos hat extrem abgenommen, der Support ist so ziemlich das Miserabelste, was mir in den letzten 5 Jahren unterkam. Dafür muss ich doppelte Lizenzkosten bezahlen, 150€ Dienstleister und dann noch extrem viel Zeit für das Troubleshooting aufbringen.

wenn man die XG(S) richtig verstanden hat und auch nicht nur möchte, dass diese möglichst 1:1 wie eine SG funktioniert, dann benötigt man weder viel externe Dienstleistung noch muss man all zu oft dem Support auf den Kecks gehen. 😉

Du liegst also richtig: Der Sophos Support ist derart Inkompetent,

Nö, das habe ich so noch nie behauptet!

die Lizenzkosten haben sich in 3 Jahren verdoppelt, sodass man kein Risiko mit einem Wechsel eingeht.

Und auch das Thema hatten wir schon bei der letzten derartigen Begegnung klargestellt.
Sprich, werde einfach Sophos Partner, dann musst du auch nicht mehr über den UTM-Shop bestellen.

sonst kostet er noch unfassbar viel Zeit; gemeint ist der direkte Sophos Support aus Indien

Und das der Support für insbesondere die XG(S) Geräte von Indien aus bedient wird, hat schlichtweg etwas mit der Tatsache zu tun, dass Cyberoam, also der ursprüngliche Hersteller der XG(S)-Architektur, der im Jahr 2014 auch von Sophos übernommen wurde, von Indien kommt.

https://utm-shop.de/information/news-co/astaro-sophos-oder-wie-alles-beg ...
https://en.wikipedia.org/wiki/Cyberoam
😉

Gruss Alex

Moin @MysticFoxDE.

dann benötigt man weder viel externe Dienstleistung noch muss man all zu oft dem Support

Ach das wäre so schön wenn man nie auf den Herstellersupport angewiesen wäre, und dessen Updates immer sauber funktionieren.

werde einfach Sophos Partner

Somit haben wir komplett konträre Vorstellungen, was eine Partnerschaft betrifft. Ich bin schon ewig Astaro/Sophos Kunde und werde mit Füßen getreten. Mit so einem Verein eine Partnerschaft einzugehen ist mir unmöglich.

Natürlich, du als Sophos Partner hat natürlich eine andere Ansicht, das dein Feedback daher nicht objektiv meinerseits gewertet werden kann, ist sicherlich verständlich. Du verdienst Geld mit Sophos...

Support für insbesondere die XG(S) Geräte von Indien aus bedient wird

... ist für den Kunden weiterhin anstrengend. Es vergeht u.a. viel Zeit sich durch die L1-L3 Support-Systematik durchzukämpfen (wenn man überhaupt bei L3 ankommt), ständige Gegenbeweise der extrem inkompetenten Antworten durchzuarbeiten,... und das trotz einer Verdoppelung der Lizenzkosten.

Sophos zeigt mir deutlich, schlechte Dienstleistung und schlechter Support muss nicht billig sein.

Moin @nachgefragt,

Ach das wäre so schön wenn man nie auf den Herstellersupport angewiesen wäre, und dessen Updates immer sauber funktionieren.

wenn die Konfiguration stimmt, dann hat man mit den Updates eigentlich keine Probleme.
Zumindest hatten wir die letzten Jahre bei diversesten Umgebungen, keine nennenswerten Probleme.

Ich glaub du hängst noch zu sehr an der Astaro und möchtest ums verrecken auch nicht akzeptieren, dass Sophos nicht ein deutsches, sondern ein internationales Unternehmen, mit einer internationalen Ausrichtung ist.

Natürlich, du als Sophos Partner hat natürlich eine andere Ansicht, das dein Feedback daher nicht objektiv meinerseits gewertet werden kann, ist sicherlich verständlich. Du verdienst Geld mit Sophos...

Ich habe dir schon beim letzten Mal angeboten über deine Probleme, die du bisher übrigens noch mit keiner Silbe im Detail beschrieben hast, mal drüber zu schauen und zwar ganz kostenlos. Doch dieses Angebot hast du nicht mal ansatzweise war genommen.

Ferner habe ich soeben alle 94 deiner Beiträge die du hier erstellt hast durchgesehen und KEINER davon betrifft irgend ein Sophos Problem!

Also, was soll dieser ganze unsinnige Sophos Trupismus? 🤨

Sophos zeigt mir deutlich, schlechte Dienstleistung und schlechter Support muss nicht billig sein.

Ich komme auch nicht mit jedem zurecht, aber nur weil es mit machen eben so ist, müssen diejenigen nicht wirklich auch gleich grundsätzlich schlecht sein.

Sprich, ja, OK, wir haben es verstanden, dass deine Beziehung mit Sophos nicht mehr so läuft, wie du es dir gerne wünschst. Aber, nur weil es bei dir so ist, muss es nicht automatisch auch bei den anderen genau so laufen!

Gruss Alex

Moin @MysticFoxDE

wenn die Konfiguration stimmt, dann hat man mit den Updates eigentlich keine Probleme.

Stichworte: "wenn", "dann", "eigentlich"

nicht akzeptieren, dass Sophos nicht ein deutsches, sondern ein internationales Unternehmen

Absolut komplett falsch.
Mir völlig egal wo der Hersteller seinen Sitz hat, solange der Support stimmt.

deine Probleme, die du bisher übrigens noch mit keiner Silbe im Detail beschrieben hast

Hast du wirklich noch nicht herauslesen können, wie komplett inkompetent und zeitraubend ich den Sophos Herstellersupport finde?

KEINER davon betrifft irgend ein Sophos Problem

Du bist mir ja einer. Also weil ich es hier nicht teile existiert es nicht? Vielleicht liegt es daran, dass Sophos ein eigenes Portal hat oder das ich direkt mit dem Herstellersupport in Kontakt bin, nachdem ich auch schon x Sophos Partner um Rat gefragt hatte. Jeder weiß es besser, ein weiteren brauch ich wirklich nicht.

ei den anderen genau so laufen

Das habe ich auch schon mehrfach gesagt: Solange es läuft ist jeder zufrieden.

@nachgefragt @MysticFoxDE eure "Unterhaltung" ist sehr ins Off-topic gerutscht. Das trägt zu keiner Lösung bei. Und so wie du @nachgefragt gleich im ersten Beitrag zum Problem des TO geantwortet hast, lässt sich sofort erkennen, dass du keinerlei objektive Inhalte geliefert hast sondern Beispiele und Anregungen von Sophos zu einer anderen Lösung zu wechseln.

Ich bin sicher, dass jeder im Laufe seiner beruflichen Laufbahn mit einem Hersteller oder Produkt ähnlich schlechte Erfahrungen gesammelt hat. Wenn du nichts konstruktives beizutragen hast, dann lass einfach deine Finger weg von der Maus und Tastatur. Was triggert dich so, dass du beim Lesen von "Sophos" sofort negativ kommentieren musst? Deine Meinung zu Sophos haben wir zur Kenntnis genommen. Danke. Und nun Feierabend.

Thema war schon gelöst, daher sehe ich da kein Problem. Sonst käme sicherlich die Moderation auf uns zu.

Wenn du nichts konstruktives beizutragen hast, dann lass einfach deine Finger weg von der Maus und Tastatur.

Richtig, tu das bitte.

Moin @DerMaddin,

@MysticFoxDE eure "Unterhaltung" ist sehr ins Off-topic gerutscht. Das trägt zu keiner Lösung bei.

na ja, das Problem des TO's ist ja schon längst gelöst, sprich, wir sind schon längst in der Afterhour und da darf man ja auch leicht abrutschen.

Ausserdem, wenn ich zum xten mal dieses bisher absolut unbegründete Gemecker lesen muss, dann wachsen auch einem Fuchs irgendwann die Hörner.

Gruss Alex

Moin @nachgefragt,

wenn die Konfiguration stimmt, dann hat man mit den Updates eigentlich keine Probleme.
Stichworte: "wenn", "dann", "eigentlich"

wie ich schon geschrieben habe, die letzten 2 Jahre kann ich mich an kein grösseres Problem erinnern und wir betreuen Umgebungen, mit zum Teil weit über 500 Regeln.

Absolut komplett falsch.
Mir völlig egal wo der Hersteller seinen Sitz hat, solange der Support stimmt.

Ist es eben nicht, sonst würdest du nicht ständig auf den Indern rumreiten. 😔

Hast du wirklich noch nicht herauslesen können, wie komplett inkompetent und zeitraubend ich den Sophos Herstellersupport finde?

Ich habe schon herausgelesen, dass du über Sophos verärgert bist, aber, trotz mehrfachen Nachfragen,
hast du bisher zu den Gründen genau 0 Details genannt.

So wie du jedoch hier ständig über Sophos abziehst, solltest du mir eigentlich duzende Beispiele und auch Details dazu nennen können.

Also, du musst jetzt auch nicht alle deine Probleme aufzählen, aber, wenigstens eins bekommst du doch irgendwie beschrieben?

Oder ist das jetzt wirklich zu viel verlangt?

Und wenn ja, dann kann ich den Sophos Support durchaus verstehen.

Vielleicht liegt es daran, dass Sophos ein eigenes Portal hat oder das ich direkt mit dem Herstellersupport in Kontakt bin nachdem ich auch schon x Sophos Partner um Rat gefragt hatte. Jeder weiß es besser, ein weiteren brauch ich wirklich nicht.

Stichworte: "vielleicht", "oder", "weiß es besser", "brauch ich wirklich nicht" 😔

Und ja, wir Füchse lernen schnell, besonders mit Hörner. 😉

Gruss Alex

gelöst Frage Router, Routing

Mehr von dl1103

WDS Dienst startet nicht rechtzeitigdl1103 - 3 Kommentare

Heiß diskutiert