Sophos XG Firewall mit RED 15 verbinden
Hallo Zusammen
Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall.
Ich habe das ganze als Standard / Vereint konfiguriert. Bei meinem Testaufbau hatte es auch wunderbar 2 Wochen funktioniert. Dort war die RED direkt mit einer Statischen WAN Adresse verbunden.
Nun habe ich Sie am Standort installieret bei der in die RED brauche. Ich habe natürlich bevor ich die RED ausgesteckt habe die RED Konfiguration umgestellt, dass die RED die IP Adresse wieder per DHCP bekommt.
Am neuen Standort ist eine Mikrotik Firewall installiert. Sie bekommt auch vom DHCP eine IP Adresse, verbindet auch ganz kurz, sobald alle LEDs grün Leuchten fängt die System LED Rot und die Internet LED an zu blinken und danach verbindet Sie sich neu.
DIE Ports 3400 und 3410 müssen doch nur nach Aussen Offen sein oder? Hat jemand eine Idee an was es liegen könnte?
Gruss Roger
Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall.
Ich habe das ganze als Standard / Vereint konfiguriert. Bei meinem Testaufbau hatte es auch wunderbar 2 Wochen funktioniert. Dort war die RED direkt mit einer Statischen WAN Adresse verbunden.
Nun habe ich Sie am Standort installieret bei der in die RED brauche. Ich habe natürlich bevor ich die RED ausgesteckt habe die RED Konfiguration umgestellt, dass die RED die IP Adresse wieder per DHCP bekommt.
Am neuen Standort ist eine Mikrotik Firewall installiert. Sie bekommt auch vom DHCP eine IP Adresse, verbindet auch ganz kurz, sobald alle LEDs grün Leuchten fängt die System LED Rot und die Internet LED an zu blinken und danach verbindet Sie sich neu.
DIE Ports 3400 und 3410 müssen doch nur nach Aussen Offen sein oder? Hat jemand eine Idee an was es liegen könnte?
Gruss Roger
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 585313
Url: https://administrator.de/forum/sophos-xg-firewall-mit-red-15-verbinden-585313.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
die RED ist doch eine Firewall. Warum setzt du sie denn nach deiner MikroTik-Firewall ein?
Sinn der Kombination XG + RED ist doch die einheitliche Konfiguration des Regelwerks an verschiedenen Standorten. Da macht doch eine eigenständige, zusätzliche Firewall an den Außen-Standorten nur bedingt Sinn. Und wenn du unbedingt noch eine zusätzliche Firewall haben willst, hätte ich die MikroTik-Firewall nach der RED gesetzt und nicht davor.
Jürgen
die RED ist doch eine Firewall. Warum setzt du sie denn nach deiner MikroTik-Firewall ein?
Sinn der Kombination XG + RED ist doch die einheitliche Konfiguration des Regelwerks an verschiedenen Standorten. Da macht doch eine eigenständige, zusätzliche Firewall an den Außen-Standorten nur bedingt Sinn. Und wenn du unbedingt noch eine zusätzliche Firewall haben willst, hätte ich die MikroTik-Firewall nach der RED gesetzt und nicht davor.
Jürgen
Laut dieser Beschreibung:
https://community.sophos.com/kb/en-us/126454
ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.
Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder Endpoint Protection Voraussetzungen?
https://community.sophos.com/kb/en-us/126454
ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.
Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder Endpoint Protection Voraussetzungen?
Hallo
Das mußt du den Admin der MikroTik-Firewall fragen.
Ich meine nicht die Blink-Codes sondern die Logs.
Jürgen
Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder
Endpoint Protection Voraussetzungen?
Endpoint Protection Voraussetzungen?
Das mußt du den Admin der MikroTik-Firewall fragen.
ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.
Ich meine nicht die Blink-Codes sondern die Logs.
Jürgen
Hallo,
aber mindestens an die XG kommt er. Und wenn da kein Versuch eines Verbindungsaufbaus zu finden ist, ist das doch auch schon eine Aussage.
Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED? Zumindestens bei letzterem ist in der MikroTik-Firewall ein NAT-Forwarding auf die IP der RED einzurichten.
Jürgen
PS. Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen. Dann kann er auch die Logs auslesen.
aber mindestens an die XG kommt er. Und wenn da kein Versuch eines Verbindungsaufbaus zu finden ist, ist das doch auch schon eine Aussage.
Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED? Zumindestens bei letzterem ist in der MikroTik-Firewall ein NAT-Forwarding auf die IP der RED einzurichten.
Jürgen
PS. Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen. Dann kann er auch die Logs auslesen.
Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen.
Also, zu meiner Zeit hatte die RED noch kein Web Interface.Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED?
Natürlich greift die RED auf die XG zu, weil, die RED kann den Standort wechseln und die XG kann nicht wissen wo sie sich nun befindet.Aber, ja, wenn es ein NAT Problem sein sollte, kann er ja mal die zwei Ports (für TCP und UDP) direkt zum RED weiter leiten.
Hallo,
Das ist mir auch klar. Aber der TO schreibt:
Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.
Jürgen
Natürlich greift die RED auf die XG zu, weil, die RED kann den Standort wechseln und die XG kann nicht wissen wo sie sich nun befindet.
Das ist mir auch klar. Aber der TO schreibt:
verbindet auch ganz kurz,
Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.
Jürgen
Das ist auch Quatsch, die RED gehört in das fremde Netzwerk und wählt sich (und ihre Clients) zuhause ein, dafür ist sie gemacht. Ich kann doch nicht in einem fremden Netz anfangen mich zwischen Internet und Router zu klemmen und Man-in-the-Middle machen.
Wenn die RED sich kurz einwählt wird es vermutlich auch nicht an der Firewall liegen, die würde den Traffic ganz unterbinden. Entweder es gehen Daten raus aber kommen nicht zurück (die RED geht sofort in den Fehlerzustand) oder es liegt an der Konfiguration die von der XG gepusht wird. Du sagst es steht "nicht viel" in der Log, steht überhaupt was drin?
Wenn die RED sich kurz einwählt wird es vermutlich auch nicht an der Firewall liegen, die würde den Traffic ganz unterbinden. Entweder es gehen Daten raus aber kommen nicht zurück (die RED geht sofort in den Fehlerzustand) oder es liegt an der Konfiguration die von der XG gepusht wird. Du sagst es steht "nicht viel" in der Log, steht überhaupt was drin?
Funktioniert die denn ohne weitere Konfigurationsanpassung in einem anderen Netz?
Ich hatte Anfangs mit der RED15 (an einer SG) große Probleme weil die Konfiguration ständig aktuallisiert wurde und dann hatte die Kiste Aussetzer. Schuld waren IP-Routen die ständig aktualisiert wurden aber da hatte man dann auch Log-Einträge. Ich habe dazu den Sophos Support genutzt, hat ewig gedauert aber hat mich auf die richtige Spur gebracht.
Ich hatte Anfangs mit der RED15 (an einer SG) große Probleme weil die Konfiguration ständig aktuallisiert wurde und dann hatte die Kiste Aussetzer. Schuld waren IP-Routen die ständig aktualisiert wurden aber da hatte man dann auch Log-Einträge. Ich habe dazu den Sophos Support genutzt, hat ewig gedauert aber hat mich auf die richtige Spur gebracht.
Zitat von @roeggi:
Ja, also muss einfach lediglich kurz die Fixe IP Adresse eintragen und dann funktioniert es Cable Anschluss.
Das wäre doch aber eigentlich nicht nötig? Teste das mal mit DHCP in einem anderen Netz, Zuhause oder so.Ja, also muss einfach lediglich kurz die Fixe IP Adresse eintragen und dann funktioniert es Cable Anschluss.