roeggi
Goto Top

Sophos XG Firewall mit RED 15 verbinden

Hallo Zusammen

Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall.

Ich habe das ganze als Standard / Vereint konfiguriert. Bei meinem Testaufbau hatte es auch wunderbar 2 Wochen funktioniert. Dort war die RED direkt mit einer Statischen WAN Adresse verbunden.

Nun habe ich Sie am Standort installieret bei der in die RED brauche. Ich habe natürlich bevor ich die RED ausgesteckt habe die RED Konfiguration umgestellt, dass die RED die IP Adresse wieder per DHCP bekommt.

Am neuen Standort ist eine Mikrotik Firewall installiert. Sie bekommt auch vom DHCP eine IP Adresse, verbindet auch ganz kurz, sobald alle LEDs grün Leuchten fängt die System LED Rot und die Internet LED an zu blinken und danach verbindet Sie sich neu.

DIE Ports 3400 und 3410 müssen doch nur nach Aussen Offen sein oder? Hat jemand eine Idee an was es liegen könnte?

Gruss Roger

Content-Key: 585313

Url: https://administrator.de/contentid/585313

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: chiefteddy
chiefteddy 06.07.2020 um 10:20:12 Uhr
Goto Top
Hallo,

die RED ist doch eine Firewall. Warum setzt du sie denn nach deiner MikroTik-Firewall ein?

Sinn der Kombination XG + RED ist doch die einheitliche Konfiguration des Regelwerks an verschiedenen Standorten. Da macht doch eine eigenständige, zusätzliche Firewall an den Außen-Standorten nur bedingt Sinn. Und wenn du unbedingt noch eine zusätzliche Firewall haben willst, hätte ich die MikroTik-Firewall nach der RED gesetzt und nicht davor.

Jürgen
Mitglied: roeggi
roeggi 06.07.2020 um 10:28:46 Uhr
Goto Top
Hallo Jürgen

Die Mikrotik ist nicht von mir. Ich nutze für den Aussenstandort nur das gleiche Internet wie die Mikrotik. Deshalb bin ich hinter Ihr.
Mitglied: chiefteddy
chiefteddy 06.07.2020 um 10:36:37 Uhr
Goto Top
Hallo,

hast du die Ports als TCP und UDP freigegeben?

Jürgen
Mitglied: roeggi
roeggi 06.07.2020 um 10:40:10 Uhr
Goto Top
3400 und 3410 sind als TCP und UDP freigegeben.
Mitglied: chiefteddy
chiefteddy 06.07.2020 aktualisiert um 10:45:24 Uhr
Goto Top
Hallo,

was sagen denn die Logs in der XG und der RED.

In der XG müßte doch der Verbindungsaufbau von der RED zu sehen sein und ob die XG ihn ablehnt (incl. Grund).

Und in der RED wird das doch auch entsprechend protokolliert.

Jürgen
Mitglied: NordicMike
NordicMike 06.07.2020 um 10:45:37 Uhr
Goto Top
Laut dieser Beschreibung:
https://community.sophos.com/kb/en-us/126454
ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.

Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder Endpoint Protection Voraussetzungen?
Mitglied: chiefteddy
chiefteddy 06.07.2020 aktualisiert um 10:54:19 Uhr
Goto Top
Hallo

Macht der Mikrotik vielleicht einen Proxy? Oder kommt jedes Gerät per DHCP sofort ins Internet ohne Authentifizierung oder
Endpoint Protection Voraussetzungen?

Das mußt du den Admin der MikroTik-Firewall fragen.

ist das Gateway zwar erreichbar, jedoch das Internet nicht, wenn die System LED und Internet LED zusammen blinken.

Ich meine nicht die Blink-Codes sondern die Logs.

Jürgen
Mitglied: NordicMike
NordicMike 06.07.2020 um 11:01:47 Uhr
Goto Top
Ich meine nicht die Blink-Codes sondern die Logs.
An diese wird er noch nicht ran kommen, wenn die Verbindung noch nicht zustande kam. Oder kann man sich auf die RED mittlerweile drauf schalten um die Logs zu lesen?
Mitglied: chiefteddy
chiefteddy 06.07.2020 um 11:02:09 Uhr
Goto Top
Hallo,

so wie du den Aufbau beschreibst, ist das eine Router-Kaskade. Wahrscheinlich mit doppeltem NAT.

Hast du diese Router-Kaskade auch entsprechend konfiguriert (Routingeinträge, gegebenenfalls NAT-Forwarding usw.)?

Jürgen
Mitglied: chiefteddy
chiefteddy 06.07.2020 um 11:08:21 Uhr
Goto Top
Hallo,

aber mindestens an die XG kommt er. Und wenn da kein Versuch eines Verbindungsaufbaus zu finden ist, ist das doch auch schon eine Aussage.

Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED? Zumindestens bei letzterem ist in der MikroTik-Firewall ein NAT-Forwarding auf die IP der RED einzurichten.

Jürgen

PS. Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen. Dann kann er auch die Logs auslesen.
Mitglied: NordicMike
NordicMike 06.07.2020 um 11:22:50 Uhr
Goto Top
Wenn der TO das Blinken sieht, kann er physisch auf die RED zugreifen.
Also, zu meiner Zeit hatte die RED noch kein Web Interface.

Die Frage ist doch auch, wer baut die Verbindung auf: Die RED zur XG oder die XG zur RED?
Natürlich greift die RED auf die XG zu, weil, die RED kann den Standort wechseln und die XG kann nicht wissen wo sie sich nun befindet.

Aber, ja, wenn es ein NAT Problem sein sollte, kann er ja mal die zwei Ports (für TCP und UDP) direkt zum RED weiter leiten.
Mitglied: chiefteddy
chiefteddy 06.07.2020 um 11:29:21 Uhr
Goto Top
Hallo,

Natürlich greift die RED auf die XG zu, weil, die RED kann den Standort wechseln und die XG kann nicht wissen wo sie sich nun befindet.

Das ist mir auch klar. Aber der TO schreibt:

verbindet auch ganz kurz,

Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.

Jürgen
Mitglied: NordicMike
NordicMike 06.07.2020 um 11:49:16 Uhr
Goto Top
verbindet auch ganz kurz,
Ja, da hast du Recht, das könnte ein Indiz sein, das zu hoffen lässt, dass Logs im XG existieren.
Mitglied: roeggi
roeggi 06.07.2020 um 11:55:05 Uhr
Goto Top
Hallo Jürgen


Das kann ja bedeuten, dass die RED sich bei der XG meldet und dann die Verbindung wieder abbaut. Nun baut die XG die Verbindung zur ihr nun bekannten RED auf und findet sie nicht, da unter der IP keine RED antwortet, da das NAT im MikroTik fehlt.


Auf der XG sehe ich die Wan IP der RED, diese ist aber z.b 192.168.253.220 da die RED ne interne IP Adresse bekommt. Der Tunnel steht ca. 1 Minute danach verbindet sich die RED wieder neu.

Ich würde gerne mal die Logs etwas genauer ansehen, aber leider spuckt da die XG nicht viel aus.
Mitglied: NordicMike
NordicMike 06.07.2020 um 11:59:54 Uhr
Goto Top
Ja, dann muss die RED "vor" dem Mikrotik auf die Leitung. Der Mikrotik kann sich ja die Internet Daten von der RED holen. Ist davor noch ein Modem, das einwählt, ich hoffe es macht nicht der Mikrotik selbst.
Mitglied: chiefteddy
chiefteddy 06.07.2020 um 12:08:50 Uhr
Goto Top
Hallo,

zum Testen ist das sicher eine Option.

Prinzipiell muß es aber auch hinter einem Router/Firewall gehen.

Jürgen
Mitglied: NordicMike
NordicMike 06.07.2020 um 12:19:58 Uhr
Goto Top
Prinzipiell muß es aber auch hinter einem Router/Firewall gehen.
Ja, wenn er das hier irgendwie los wird:
Auf der XG sehe ich die Wan IP der RED, diese ist aber z.b 192.168.253.220

Evtl kann man der RED die zu meldende IP auch vorgeben?!? ich kenne XG nun nicht wirklich...)
Mitglied: roeggi
roeggi 06.07.2020 um 12:56:51 Uhr
Goto Top
Ja, dann muss die RED "vor" dem Mikrotik auf die Leitung. Der Mikrotik kann sich ja die Internet Daten von der RED holen. Ist davor noch ein Modem, das einwählt, ich hoffe es macht nicht der Mikrotik selbst.

Das Problem ist, dass die Mikrotik sich per PPPOE Einwählt DSL Anschluss) Ich habe zwar 4 Fixe IP Adressen aber wüsste jetzt nicht gerade wie ich eine Fixe IP Adresse direkt für die RED nutzen könnte.
Mitglied: ukulele-7
ukulele-7 06.07.2020 um 13:33:39 Uhr
Goto Top
Das ist auch Quatsch, die RED gehört in das fremde Netzwerk und wählt sich (und ihre Clients) zuhause ein, dafür ist sie gemacht. Ich kann doch nicht in einem fremden Netz anfangen mich zwischen Internet und Router zu klemmen und Man-in-the-Middle machen.

Wenn die RED sich kurz einwählt wird es vermutlich auch nicht an der Firewall liegen, die würde den Traffic ganz unterbinden. Entweder es gehen Daten raus aber kommen nicht zurück (die RED geht sofort in den Fehlerzustand) oder es liegt an der Konfiguration die von der XG gepusht wird. Du sagst es steht "nicht viel" in der Log, steht überhaupt was drin?
Mitglied: roeggi
roeggi 06.07.2020 um 14:00:06 Uhr
Goto Top
Das ist auch Quatsch, die RED gehört in das fremde Netzwerk und wählt sich (und ihre Clients) zuhause ein, dafür ist sie gemacht. Ich kann doch nicht in einem fremden Netz anfangen mich zwischen Internet und Router zu klemmen und Man-in-the-Middle machen.

Das habe auch so verstanden. Das auch keine Ports geöffnet werden müssen nach Innen.

Wenn die RED sich kurz einwählt wird es vermutlich auch nicht an der Firewall liegen, die würde den Traffic ganz unterbinden. Entweder es gehen Daten raus aber kommen nicht zurück (die RED geht sofort in den Fehlerzustand) oder es liegt an der Konfiguration die von der XG gepusht wird. Du sagst es steht "nicht viel" in der Log, steht überhaupt was drin?

Das einzige was ich finde in den Berichten und VPN sind die vielen Verbindungsabrüche und Nutzung siehe Bilder:

unterbruch
nutzung

Traffic hat es auch. Habe die RED Heute Mittag nochmals Kurz an einem Cable Anschluss getestet bei dem Sie eine Öffentliche Fixe IP bekommt. Die Konfig stimmt in der XG
Mitglied: ukulele-7
ukulele-7 06.07.2020 aktualisiert um 14:32:52 Uhr
Goto Top
Funktioniert die denn ohne weitere Konfigurationsanpassung in einem anderen Netz?

Ich hatte Anfangs mit der RED15 (an einer SG) große Probleme weil die Konfiguration ständig aktuallisiert wurde und dann hatte die Kiste Aussetzer. Schuld waren IP-Routen die ständig aktualisiert wurden aber da hatte man dann auch Log-Einträge. Ich habe dazu den Sophos Support genutzt, hat ewig gedauert aber hat mich auf die richtige Spur gebracht.
Mitglied: roeggi
roeggi 06.07.2020 um 14:51:07 Uhr
Goto Top
Funktioniert die denn ohne weitere Konfigurationsanpassung in einem anderen Netz?

Ja, also muss einfach lediglich kurz die Fixe IP Adresse eintragen und dann funktioniert es Cable Anschluss. Ich eröffne auch mal ein Ticket bei Sophos.
Mitglied: ukulele-7
ukulele-7 06.07.2020 um 14:56:19 Uhr
Goto Top
Zitat von @roeggi:

Ja, also muss einfach lediglich kurz die Fixe IP Adresse eintragen und dann funktioniert es Cable Anschluss.
Das wäre doch aber eigentlich nicht nötig? Teste das mal mit DHCP in einem anderen Netz, Zuhause oder so.