2
Sophos XG Routing WLAN zu WAN
Guten Morgen zusammen,
ich stehe hier bei einer XG310 Konfiguration gerade auf dem Schlauch und benötige einmal Rat.
Der Aufbau ist wie folgt:
WAN1 - LWL Direktverbindung
WAN2 - SVDSL Leitung
Auf der Sophos XG310 wird die Leitung "WAN1" für den Internetverkehr der Clients, Server etc. benutzt.
Alles was aus dem VLAN "Gäste / Mitarbeiter WLAN" raus will geht über die Leitung "WAN2".
Nun habe ich folgenden Fall:
Mitarbeiter will über sein Handy (WLAN Mitarbeiter) eine Webseite aus unserem Hause aufrufen.
Die Webseite wird intern gehostet und über eine IP von der Leitung "WAN1" bereitgestellt.
Per DHCP wird dem Gäste und Mitarbeiter WLAN der DNS Server 1.1.1.1 / 1.0.0.0.1 mitgegeben.
Das Gerät des Mitarbeiters hat also eine IP aus dem VLAN "Gäste / Mitarbeiter" und ruft die Seite "subdomain.firma.tld" auf.
Die XG310 sollte nun via WAN2 raus gehen und via WAN1 wieder reinkommen. Leider versucht die XG hier irgend einen anderen Weg, da es sich bei der Aufgerufenen URL ja um einen Ihrbekannten Host handelt.....
Sobald ich dem WLAN "Mitarbeiter und Gäste" unsere internen Windows DC's als DNS Server mitgebe, wird der Traffic geblockt, da von einem Gast- Mitarbeitergerät nicht auf die interne IP zugegriffen werden soll. (Passe ich dafür eine Firewallregel an, haut das hin. Das ist aber nicht mein Ziel)
Der Weg sollte ja folgender sein:
Smartphone vom Mitarbeiter (172.10.39.11/22) -> Webaufruf (https://subdomain.firma.tld) [WAN2]-> DNS Server 1.1.1.1 -> Löst auf ext. IP auf (81.XX.XX.XXX) [WAN1] -> Firewall Regel greift und Zugriff wird erlaubt.
Was ist dafür der passende Suchbegriff ?
Bei PFSense schimpft sich das glaube ich DNS Rebind Schutz, o.ä?
Vielen Dank für Anregungen.
ich stehe hier bei einer XG310 Konfiguration gerade auf dem Schlauch und benötige einmal Rat.
Der Aufbau ist wie folgt:
WAN1 - LWL Direktverbindung
WAN2 - SVDSL Leitung
Auf der Sophos XG310 wird die Leitung "WAN1" für den Internetverkehr der Clients, Server etc. benutzt.
Alles was aus dem VLAN "Gäste / Mitarbeiter WLAN" raus will geht über die Leitung "WAN2".
Nun habe ich folgenden Fall:
Mitarbeiter will über sein Handy (WLAN Mitarbeiter) eine Webseite aus unserem Hause aufrufen.
Die Webseite wird intern gehostet und über eine IP von der Leitung "WAN1" bereitgestellt.
Per DHCP wird dem Gäste und Mitarbeiter WLAN der DNS Server 1.1.1.1 / 1.0.0.0.1 mitgegeben.
Das Gerät des Mitarbeiters hat also eine IP aus dem VLAN "Gäste / Mitarbeiter" und ruft die Seite "subdomain.firma.tld" auf.
Die XG310 sollte nun via WAN2 raus gehen und via WAN1 wieder reinkommen. Leider versucht die XG hier irgend einen anderen Weg, da es sich bei der Aufgerufenen URL ja um einen Ihrbekannten Host handelt.....
Sobald ich dem WLAN "Mitarbeiter und Gäste" unsere internen Windows DC's als DNS Server mitgebe, wird der Traffic geblockt, da von einem Gast- Mitarbeitergerät nicht auf die interne IP zugegriffen werden soll. (Passe ich dafür eine Firewallregel an, haut das hin. Das ist aber nicht mein Ziel)
Der Weg sollte ja folgender sein:
Smartphone vom Mitarbeiter (172.10.39.11/22) -> Webaufruf (https://subdomain.firma.tld) [WAN2]-> DNS Server 1.1.1.1 -> Löst auf ext. IP auf (81.XX.XX.XXX) [WAN1] -> Firewall Regel greift und Zugriff wird erlaubt.
Was ist dafür der passende Suchbegriff ?
Bei PFSense schimpft sich das glaube ich DNS Rebind Schutz, o.ä?
Vielen Dank für Anregungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 537440
Url: https://administrator.de/contentid/537440
Printed on: April 25, 2024 at 20:04 o'clock
2 Comments
Latest comment
Moin,
entweder nutzt du SplitDNS und löst die Adresse intern direkt auf deinen Webserver auf.
Oder du verwendest weiterhin die externe Adresse mittels HairPinNAT. Der Traffic läuft in beiden Fällen nicht über das WAN Interfaces hinaus, da dies nicht nötig ist.
Gruß
Spirit
entweder nutzt du SplitDNS und löst die Adresse intern direkt auf deinen Webserver auf.
Oder du verwendest weiterhin die externe Adresse mittels HairPinNAT. Der Traffic läuft in beiden Fällen nicht über das WAN Interfaces hinaus, da dies nicht nötig ist.
Gruß
Spirit
Moin,
SplitDNS läuft im internen Netz ja (WLAN intern). Das Funktioniert einwandfrei.
Nur möchte ich nicht, dass externe Geräte (Mitarbeiter Handys) unseren internen DNS Server verwenden.
Deswegen erhalten diese via DHCP den CloudFlare DNS.
Habe nun mal nach einer HairPinNat Anleitung für die XG ausschau gehalten und folgenden Artikel gefunden:
https://community.sophos.com/products/xg-firewall/f/network-and-routing/ ...
Leider ist die Anleitung schon etwas älter und die genannten Konfig Punkte, weichen von der in unserer XG verfügbaren ab.
Eine Application Rule habe ich angelegt, als Template "DNAT/FULL NAT/ Load Balancing" gewählt.
Dann habe ich noch folgende Punkte:
Source
Source Zone: Any
Allowed Clients Networks : Any
Blocked Clients Networks : None
Destination & Service
Destination Host / network: #Port6 - WAN2
Services: Any
Forward to
Protected Server: Was muss hier rein? Muss ich da direkt den Exchange bzw. Netscaler angeben?
Protected Zone: LAN
Mapped Port : Leer lassen
Advanced
Rewrite Source Address (masquerading): MASQ
So sieht meine Regel aus und der Zugriff funktioniert dennoch nicht.
SplitDNS läuft im internen Netz ja (WLAN intern). Das Funktioniert einwandfrei.
Nur möchte ich nicht, dass externe Geräte (Mitarbeiter Handys) unseren internen DNS Server verwenden.
Deswegen erhalten diese via DHCP den CloudFlare DNS.
Habe nun mal nach einer HairPinNat Anleitung für die XG ausschau gehalten und folgenden Artikel gefunden:
https://community.sophos.com/products/xg-firewall/f/network-and-routing/ ...
Leider ist die Anleitung schon etwas älter und die genannten Konfig Punkte, weichen von der in unserer XG verfügbaren ab.
Eine Application Rule habe ich angelegt, als Template "DNAT/FULL NAT/ Load Balancing" gewählt.
Dann habe ich noch folgende Punkte:
Source
Source Zone: Any
Allowed Clients Networks : Any
Blocked Clients Networks : None
Destination & Service
Destination Host / network: #Port6 - WAN2
Services: Any
Forward to
Protected Server: Was muss hier rein? Muss ich da direkt den Exchange bzw. Netscaler angeben?
Protected Zone: LAN
Mapped Port : Leer lassen
Advanced
Rewrite Source Address (masquerading): MASQ
So sieht meine Regel aus und der Zugriff funktioniert dennoch nicht.
