23
Sophos XG Firewall mit RED 15 verbinden
Hallo Zusammen
Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall.
Ich habe das ganze als Standard / Vereint konfiguriert. Bei meinem Testaufbau hatte es auch wunderbar 2 Wochen funktioniert. Dort war die RED direkt mit einer Statischen WAN Adresse verbunden.
Nun habe ich Sie am Standort installieret bei der in die RED brauche. Ich habe natürlich bevor ich die RED ausgesteckt habe die RED Konfiguration umgestellt, dass die RED die IP Adresse wieder per DHCP bekommt.
Am neuen Standort ist eine Mikrotik Firewall installiert. Sie bekommt auch vom DHCP eine IP Adresse, verbindet auch ganz kurz, sobald alle LEDs grün Leuchten fängt die System LED Rot und die Internet LED an zu blinken und danach verbindet Sie sich neu.
DIE Ports 3400 und 3410 müssen doch nur nach Aussen Offen sein oder? Hat jemand eine Idee an was es liegen könnte?
Gruss Roger
Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall.
Ich habe das ganze als Standard / Vereint konfiguriert. Bei meinem Testaufbau hatte es auch wunderbar 2 Wochen funktioniert. Dort war die RED direkt mit einer Statischen WAN Adresse verbunden.
Nun habe ich Sie am Standort installieret bei der in die RED brauche. Ich habe natürlich bevor ich die RED ausgesteckt habe die RED Konfiguration umgestellt, dass die RED die IP Adresse wieder per DHCP bekommt.
Am neuen Standort ist eine Mikrotik Firewall installiert. Sie bekommt auch vom DHCP eine IP Adresse, verbindet auch ganz kurz, sobald alle LEDs grün Leuchten fängt die System LED Rot und die Internet LED an zu blinken und danach verbindet Sie sich neu.
DIE Ports 3400 und 3410 müssen doch nur nach Aussen Offen sein oder? Hat jemand eine Idee an was es liegen könnte?
Gruss Roger
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 585313
Url: https://administrator.de/contentid/585313
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
die RED ist doch eine Firewall. Warum setzt du sie denn nach deiner MikroTik-Firewall ein?
Sinn der Kombination XG + RED ist doch die einheitliche Konfiguration des Regelwerks an verschiedenen Standorten. Da macht doch eine eigenständige, zusätzliche Firewall an den Außen-Standorten nur bedingt Sinn. Und wenn du unbedingt noch eine zusätzliche Firewall haben willst, hätte ich die MikroTik-Firewall nach der RED gesetzt und nicht davor.
Jürgen
die RED ist doch eine Firewall. Warum setzt du sie denn nach deiner MikroTik-Firewall ein?
Sinn der Kombination XG + RED ist doch die einheitliche Konfiguration des Regelwerks an verschiedenen Standorten. Da macht doch eine eigenständige, zusätzliche Firewall an den Außen-Standorten nur bedingt Sinn. Und wenn du unbedingt noch eine zusätzliche Firewall haben willst, hätte ich die MikroTik-Firewall nach der RED gesetzt und nicht davor.
Jürgen
Hallo Jürgen
Die Mikrotik ist nicht von mir. Ich nutze für den Aussenstandort nur das gleiche Internet wie die Mikrotik. Deshalb bin ich hinter Ihr.
Die Mikrotik ist nicht von mir. Ich nutze für den Aussenstandort nur das gleiche Internet wie die Mikrotik. Deshalb bin ich hinter Ihr.
Hallo,
hast du die Ports als TCP und UDP freigegeben?
Jürgen
hast du die Ports als TCP und UDP freigegeben?
Jürgen
3400 und 3410 sind als TCP und UDP freigegeben.
Hallo,
was sagen denn die Logs in der XG und der RED.
In der XG müßte doch der Verbindungsaufbau von der RED zu sehen sein und ob die XG ihn ablehnt (incl. Grund).
Und in der RED wird das doch auch entsprechend protokolliert.
Jürgen
was sagen denn die Logs in der XG und der RED.
In der XG müßte doch der Verbindungsaufbau von der RED zu sehen sein und ob die XG ihn ablehnt (incl. Grund).
Und in der RED wird das doch auch entsprechend protokolliert.
Jürgen
Laut dieser Beschreibung:
https://community.sophos.com/kb/en-us/126454
ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.
Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder Endpoint Protection Voraussetzungen?
https://community.sophos.com/kb/en-us/126454
ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.
Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder Endpoint Protection Voraussetzungen?
Hallo
Das mußt du den Admin der MikroTik-Firewall fragen.
Ich meine nicht die Blink-Codes sondern die Logs.
Jürgen
Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder
Endpoint Protection Voraussetzungen?
Endpoint Protection Voraussetzungen?
Das mußt du den Admin der MikroTik-Firewall fragen.
ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.
Ich meine nicht die Blink-Codes sondern die Logs.
Jürgen
Ich meine nicht die Blink-Codes sondern die Logs.
An diese wird er noch nicht ran kommen, wenn die Verbindung noch nicht zustande kam. Oder kann man sich auf die RED mittlerweile drauf schalten um die Logs zu lesen?
Hallo,
so wie du den Aufbau beschreibst, ist das eine Router-Kaskade. Wahrscheinlich mit doppeltem NAT.
Hast du diese Router-Kaskade auch entsprechend konfiguriert (Routingeinträge, gegebenenfalls NAT-Forwarding usw.)?
Jürgen
so wie du den Aufbau beschreibst, ist das eine Router-Kaskade. Wahrscheinlich mit doppeltem NAT.
Hast du diese Router-Kaskade auch entsprechend konfiguriert (Routingeinträge, gegebenenfalls NAT-Forwarding usw.)?
Jürgen
Hallo,
aber mindestens an die XG kommt er. Und wenn da kein Versuch eines Verbindungsaufbaus zu finden ist, ist das doch auch schon eine Aussage.
Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED? Zumindestens bei letzterem ist in der MikroTik-Firewall ein NAT-Forwarding auf die IP der RED einzurichten.
Jürgen
PS. Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen. Dann kann er auch die Logs auslesen.
aber mindestens an die XG kommt er. Und wenn da kein Versuch eines Verbindungsaufbaus zu finden ist, ist das doch auch schon eine Aussage.
Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED? Zumindestens bei letzterem ist in der MikroTik-Firewall ein NAT-Forwarding auf die IP der RED einzurichten.
Jürgen
PS. Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen. Dann kann er auch die Logs auslesen.
Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen.
Also, zu meiner Zeit hatte die RED noch kein Web Interface.Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED?
Natürlich greift die RED auf die XG zu, weil, die RED kann den Standort wechseln und die XG kann nicht wissen wo sie sich nun befindet.Aber, ja, wenn es ein NAT Problem sein sollte, kann er ja mal die zwei Ports (für TCP und UDP) direkt zum RED weiter leiten.
Hallo,
Das ist mir auch klar. Aber der TO schreibt:
Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.
Jürgen
Natürlich greift die RED auf die XG zu, weil, die RED kann den Standort wechseln und die XG kann nicht wissen wo sie sich nun befindet.
Das ist mir auch klar. Aber der TO schreibt:
verbindet auch ganz kurz,
Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.
Jürgen
verbindet auch ganz kurz,
Ja, da hast du Recht, das könnte ein Indiz sein, das zu hoffen lässt, dass Logs im XG existieren.
Hallo Jürgen
Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.
Auf der XG sehe ich die Wan IP der RED, diese ist aber z.b 192.168.253.220 da die RED ne interne IP Adresse bekommt. Der Tunnel steht ca. 1 Minute danach verbindet sich die RED wieder neu.
Ich würde gerne mal die Logs etwas genauer ansehen, aber leider spuckt da die XG nicht viel aus.
Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.
Auf der XG sehe ich die Wan IP der RED, diese ist aber z.b 192.168.253.220 da die RED ne interne IP Adresse bekommt. Der Tunnel steht ca. 1 Minute danach verbindet sich die RED wieder neu.
Ich würde gerne mal die Logs etwas genauer ansehen, aber leider spuckt da die XG nicht viel aus.
Ja, dann muss die RED "vor" dem Mikrotik auf die Leitung. Der Mikrotik kann sich ja die Internet Daten von der RED holen. Ist davor noch ein Modem, das einwählt, ich hoffe es macht nicht der Mikrotik selbst.
Hallo,
zum Testen ist das sicher eine Option.
Prinzipiell muß es aber auch hinter einem Router/Firewall gehen.
Jürgen
zum Testen ist das sicher eine Option.
Prinzipiell muß es aber auch hinter einem Router/Firewall gehen.
Jürgen
Prinzipiell muß es aber auch hinter einem Router/Firewall gehen.
Ja, wenn er das hier irgendwie los wird:Auf der XG sehe ich die Wan IP der RED, diese ist aber z.b 192.168.253.220
Evtl kann man der RED die zu meldende IP auch vorgeben?!? ich kenne XG nun nicht wirklich...)
Ja, dann muss die RED "vor" dem Mikrotik auf die Leitung. Der Mikrotik kann sich ja die Internet Daten von der RED holen. Ist davor noch ein Modem, das einwählt, ich hoffe es macht nicht der Mikrotik selbst.
Das Problem ist, dass die Mikrotik sich per PPPOE Einwählt DSL Anschluss) Ich habe zwar 4 Fixe IP Adressen aber wüsste jetzt nicht gerade wie ich eine Fixe IP Adresse direkt für die RED nutzen könnte.
Das ist auch Quatsch, die RED gehört in das fremde Netzwerk und wählt sich (und ihre Clients) zuhause ein, dafür ist sie gemacht. Ich kann doch nicht in einem fremden Netz anfangen mich zwischen Internet und Router zu klemmen und Man-in-the-Middle machen.
Wenn die RED sich kurz einwählt wird es vermutlich auch nicht an der Firewall liegen, die würde den Traffic ganz unterbinden. Entweder es gehen Daten raus aber kommen nicht zurück (die RED geht sofort in den Fehlerzustand) oder es liegt an der Konfiguration die von der XG gepusht wird. Du sagst es steht "nicht viel" in der Log, steht überhaupt was drin?
Wenn die RED sich kurz einwählt wird es vermutlich auch nicht an der Firewall liegen, die würde den Traffic ganz unterbinden. Entweder es gehen Daten raus aber kommen nicht zurück (die RED geht sofort in den Fehlerzustand) oder es liegt an der Konfiguration die von der XG gepusht wird. Du sagst es steht "nicht viel" in der Log, steht überhaupt was drin?
Das ist auch Quatsch, die RED gehört in das fremde Netzwerk und wählt sich (und ihre Clients) zuhause ein, dafür ist sie gemacht. Ich kann doch nicht in einem fremden Netz anfangen mich zwischen Internet und Router zu klemmen und Man-in-the-Middle machen.
Das habe auch so verstanden. Das auch keine Ports geöffnet werden müssen nach Innen.Wenn die RED sich kurz einwählt wird es vermutlich auch nicht an der Firewall liegen, die würde den Traffic ganz unterbinden. Entweder es gehen Daten raus aber kommen nicht zurück (die RED geht sofort in den Fehlerzustand) oder es liegt an der Konfiguration die von der XG gepusht wird. Du sagst es steht "nicht viel" in der Log, steht überhaupt was drin?
Das einzige was ich finde in den Berichten und VPN sind die vielen Verbindungsabrüche und Nutzung siehe Bilder:
Traffic hat es auch. Habe die RED Heute Mittag nochmals Kurz an einem Cable Anschluss getestet bei dem Sie eine Öffentliche Fixe IP bekommt. Die Konfig stimmt in der XG
Funktioniert die denn ohne weitere Konfigurationsanpassung in einem anderen Netz?
Ich hatte Anfangs mit der RED15 (an einer SG) große Probleme weil die Konfiguration ständig aktuallisiert wurde und dann hatte die Kiste Aussetzer. Schuld waren IP-Routen die ständig aktualisiert wurden aber da hatte man dann auch Log-Einträge. Ich habe dazu den Sophos Support genutzt, hat ewig gedauert aber hat mich auf die richtige Spur gebracht.
Ich hatte Anfangs mit der RED15 (an einer SG) große Probleme weil die Konfiguration ständig aktuallisiert wurde und dann hatte die Kiste Aussetzer. Schuld waren IP-Routen die ständig aktualisiert wurden aber da hatte man dann auch Log-Einträge. Ich habe dazu den Sophos Support genutzt, hat ewig gedauert aber hat mich auf die richtige Spur gebracht.
Funktioniert die denn ohne weitere Konfigurationsanpassung in einem anderen Netz?
Ja, also muss einfach lediglich kurz die Fixe IP Adresse eintragen und dann funktioniert es Cable Anschluss. Ich eröffne auch mal ein Ticket bei Sophos.
Zitat von @roeggi:
Ja, also muss einfach lediglich kurz die Fixe IP Adresse eintragen und dann funktioniert es Cable Anschluss.
Das wäre doch aber eigentlich nicht nötig? Teste das mal mit DHCP in einem anderen Netz, Zuhause oder so.Ja, also muss einfach lediglich kurz die Fixe IP Adresse eintragen und dann funktioniert es Cable Anschluss.
