opc123
Goto Top

Sophos VPN RED Außenstelle Vlans Zentrale

Hallo Zusammen,

weiß hier jemand ob die Red´s von Sophos eine Funktion haben als Art Kopplung zu dienen wie eine normale Standleitung?

D.h. wenn ich dahinter einen Switch setze mit selben Vlans, dass diese 1 zu 1 durch geleitet werden?

Bei normalen Standleitungen als Außenstellenanschluss ist dies ja der Fall.

Ein Teil davon soll ersetzt werden gegen VDSL mit Sophos Red.


Wenn nein, fällt mir nur ein neue Vlans zu bilden und im Router / Firewall per Next Hope Eintrag zu lösen.
Verlangsamt wahrscheinlich allerdings die Telefonie im TK Vlan.

Variante 1 passt besser zu unserer Unternehmensstruktur.

Grüße

Content-Key: 399292

Url: https://administrator.de/contentid/399292

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 24.01.2019 um 17:05:09 Uhr
Goto Top
Wenn ich richtig verstanden habe, was du möchtest, geht das.
Mitglied: UnbekannterNR1
UnbekannterNR1 24.01.2019 um 17:10:06 Uhr
Goto Top
Was du suchst ist ein Transparentes VPN oder Layer2 VPN sollte möglich sein mit Sophos.

Allerdings würde ich je nach größe und menge von Standorten davon abraten. Broadcast wird sonst schnell zu groß Netzprobleme etc. Ein sauberes Routing ist die schönere Lösung und auch für Telefonie geeignet.
Mitglied: aqui
aqui 24.01.2019 aktualisiert um 17:35:57 Uhr
Goto Top
Wenn der Switch tagged Ports hat also 802.1q tagged Frames versendet laufen die niemals über eine L3 Verbindung, sprich ein VPN. Das geht also nicht.
Es sei denn diese VLANs werden über den 802.1q tagged Link auf der Firewall terminiert. Das geht dann wieder. Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Tags über VPN ist technisch nicht möglich. Jedenfalls nicht über IPsec oder SSL basierte VPNs.
Die Formulierung der Frage ist aber so schwammig und unpräzise das man nicht wirklich weiss was der TO technisch genau will ohne raten zu müssen. face-sad
Mitglied: falscher-sperrstatus
falscher-sperrstatus 24.01.2019 um 17:47:39 Uhr
Goto Top
Absolute Zustimmung zur letzten Aussage. Beachte jedoch zum Rest: REDs sind genau auf die L2 Anbindung ausgerichtet, natürlich sollte man beim Einsatz wissen, was man tut.
Mitglied: Pjordorf
Pjordorf 24.01.2019 aktualisiert um 18:11:55 Uhr
Goto Top
Hallo,

Zitat von @opc123:
Ein Teil davon soll ersetzt werden gegen VDSL mit Sophos Red.
Schon mal gelesen? https://community.sophos.com/kb/en-us/116573
https://community.sophos.com/products/unified-threat-management/f/remote ...
https://community.sophos.com/kb/en-us/132608
https://community.sophos.com/products/unified-threat-management/f/remote ...
https://community.sophos.com/products/unified-threat-management/f/remote ...

Oder aus diesen ca. 724.000 Treffern sich was passendes aussuchen.
https://www.google.com/search?q=sophos+red+and+vlans

Und wie du soeben gelesen haben solltest, erst ab einer RED 50 wird es Interessant.

Gruß,
Peter
Mitglied: opc123
opc123 19.02.2019 um 21:18:31 Uhr
Goto Top
Die Frage ist, was ist besser?

Die Red hat die Möglichkeit als Trunk die Vlans zu übertragen und ein L2 Switch nimmt diese wieder entgegen.

Andere Möglichkeit wäre das ganze mit neuen Vlans zu stricken in den Nebenstellen und mit L3 Switch/Router zu routen.

Ich habe sogar noch eine Sophos da, statt Red. Aber eine weitere Sophos erfordert sicher wieder eine eigene Lizenz?
Oder lässt diese sich koppeln wie eine RED?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.02.2019 um 21:25:39 Uhr
Goto Top
Nein, extra Sophos: Extra Lizenz.
Mitglied: opc123
opc123 19.02.2019 um 21:29:38 Uhr
Goto Top
Okay, dann bleibt es bei 4 Interfaces.
Die Zentrale Sophos oder besser das Sophos Cluster kostet schon nicht wenig.
Trunk Vlan bündeln per Red oder normales VPN und mit Routing wieder zerlegen?
Mitglied: aqui
aqui 21.02.2019 um 09:51:58 Uhr
Goto Top
als Trunk die Vlans zu übertragen und ein L2 Switch nimmt diese wieder entgegen.
Das können alle anderen Firewalls am Markt auch (s.o.), das ist ein simples Standard Feature !
Das Routing in den Nebenstellen kommt aufs Budget an. Meist ist das übertrieben und hier ist ein Routing über den Trunk zur Firewall besser und kostengünstiger.
Mit einer pfSense hast du keinerlei Sorgen was das Thema "Lizenzen" anbetrifft face-wink Da ist alles frei und du bist frei in deiner Konfig face-wink
Mitglied: opc123
opc123 28.02.2019 um 20:21:54 Uhr
Goto Top
Ich empfange jetzt die Vlans an der Red.
Hier eine Red 10 zum test.
Dhcp über die UTM funktioniert auch.

Aber keine Netzwerkverbindung nach außen.
Auf das Netzwerk any Internet freigegeben, ebenso die Regeln auf Wan, irgendwas fehlt da noch.

Muss ich hier noch ein Next Hop / Routing eintragen der separat noch mal auf das Wan zeigt?
Mitglied: patrickebert
patrickebert 01.03.2019 aktualisiert um 06:48:47 Uhr
Goto Top
Hallo opc123,

du musst zu diesem Sophos Red Interface auch eine Masquerading Rule anlegen, sonst hast du keine Möglichkeit in diesem Netz nach außen zu kommunizieren.
Mit freundlichen Grüßen
Patrick
Mitglied: aqui
aqui 01.03.2019 aktualisiert um 21:40:16 Uhr
Goto Top
...denn jeder Netzwerker weiss das private RFC 1918 IP Netze im Internet nicht geroutet werden.
Masquerading ist hier also Pflicht !
Mitglied: opc123
opc123 02.03.2019 um 12:47:53 Uhr
Goto Top
Hab ich ja gemacht aufs Wan.

Analog wie andere Schnittstellen auch.
Mitglied: aqui
aqui 02.03.2019 um 13:08:36 Uhr
Goto Top
Wireshark Sniffer rausholen und am WAN Port messen was da rauskommt !
Mitglied: opc123
opc123 02.03.2019 um 19:39:13 Uhr
Goto Top
Vermutlich ja nichts.
Die anderen Netzte darüber laufen ja.

Irgendwo muss noch eine Feinheit fehlen.

Ich schau kommende Woche noch mal.
Mitglied: patrickebert
patrickebert 03.03.2019 um 14:23:10 Uhr
Goto Top
Bekommst du eine IP-Adresse mit Gateway und DNS zugeteilt, wenn du dich mit Kabel an die Sophos RED klemmst ?
Steht der Tunnel der UTM zur RED?
Hast du das virtuelle Interface angelegt?
Wie hast du DHCP konfiguriert auf der UTM?

Wie hast du Masquerading Rule auf der UTM definiert?

Network von Sophos RED -> WAN?

Firewall Rule
Network von Sophos RED -> Dienste -> any?

Bitte mal Screenshots schicken, sodass man es nachvollziehen kann. (Gerne auch geschwärzt)


Du hast auch die Möglichkeit den Policy Test, Source Ping Test an der Sophos durchzuführen.

LG