ariston
Goto Top

Sophos XGS 136 Firewall Security Appliance

Hallo zusammen,
es gibt ein Problem mit der Sophos Firewall und weiß nicht, wie ich es lösen kann.

Ich habe die Installation korrekt eingerichtet und die Firewall so konfiguriert, dass sie die IP-Hauptadresse über DHCP vom Router bezieht. - Auf der Sophos Firewall steht Port 2 für WAN und Port 1 für LAN.

Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch

Bisher klappt es prima, es gibt allen Geräten Internet, aber nach 25 Sekunden funktioniert das lokale Netzwerk nicht mehr.

In den Protokolldateien von meinem LANCOM-Router erscheinen diese Meldungen:

Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)
Hinweis DHCP: IP 192.168.1.234 assigned to MAC: 78:
:58:d8:9f: for 500 Minutes
Hinweis DHCP: IP 192.168.1.239 assigned to MAC: ec:71:
:2d:fb: for 500 Minutes
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)
Hinweis DHCP: IP 192.168.1.234 assigned to MAC: 78:45::d8:9f: for 500 Minutes
Hinweis DHCP: IP 192.168.1.239 assigned to MAC: ec::db:2d:fb: for 500 Minutes
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)**

Was stimmt nicht? Ich verstehe das nicht, denn das Internet kommt und fällt alle 25 Sekunden?

Ich wäre dankbar, wenn mir jemand eine Antwort geben könnte.

Vielen Dank!
MfG Ariston

Content-ID: 6147044677

Url: https://administrator.de/forum/sophos-xgs-136-firewall-security-appliance-6147044677.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

aqui
aqui 27.02.2023 aktualisiert um 09:17:34 Uhr
Goto Top
dass sie die IP-Hauptadresse über DHCP vom Router bezieht.
Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?
Betreibst du das ganze in einer Router Kaskade oder wie ist dein Setup zu verstehen?
2 grobe Kardinalsfehler fallen auf:
  • "not in DHCP pool 192.168.1.1 - 192.168.1.254" Du hast nicht im Ernst das gesamte .1.0 /24er IP Netz als DHCP Pool definiert, oder?? Zumindestens die IP des Routers selber MUSS aus diesem Pool ausgenommen werden! Logisch, denn sonst droht die Gefahr einer doppelten IP was dann Chaos im Netz verursacht. Best Practise bei Netzwerkern ist immer das man "oben" und "unten" im IP Host Bereich etwas Platz lässt für statische Adressen. Also den DHCP Pool z.B. zw. .10 und .250 setzt.
  • "IP: 172.16.25. => ignored (not in DHCP pool.." Bedeutet das die FW irgendwo noch eine 172.16er IP herbekommt die mit dem konfigurierten Bereich kollidiert. Dort ist also irgendwo noch ein grober Fehler in deiner Port IP Adressierung.
Ohne Konfig oder Konfig Screenshots ist das aber Raten und Kristallkugeln im freien Fall, weil keiner weiss was du wirklich konfiguriert hast. Eine zielführende Hilfe wird dann mehr oder minder unmöglich wie du dir sicher auch denken kannst.
em-pie
em-pie 27.02.2023 um 09:13:13 Uhr
Goto Top
Moin,

Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?
ich tippe mal, dass er das am WAN-Interface der XGS angelegt hat. nicht schön, aber OK. Wobei das nur sinnvoll ist, wenn da NAT zum Einsatz kommt, was aus Performance-ründen und mit der vorgelagerten FW (LANCOM) aber unnötig ist.

@ariston
erzähle bitte mal etwas, zu den IP-Netzen?
Wo in deinem Konstrukt hast du ein 172.16.25.x/?? Netz in Benutzung?
Wo liegt das Netz 192.168.1.0/24(?) an?
Auf welchem Interface hast du den DHCP-Server in der XGS aktiv?
walle1979
walle1979 27.02.2023 um 09:13:46 Uhr
Goto Top
Hallo,

was hast du denn für ein WAN-Netz (vermute mal 192.168.1.xxx/24) und was hast du auf LAN-Seite?
aqui
aqui 27.02.2023 aktualisiert um 09:20:23 Uhr
Goto Top
nicht schön, aber OK
Im Hinblick das auch Anfänger wissen das Router und Firewall statische Adressierung nutzen sollten ein NoGo. Zumindestens sollte man dann eine DHCP Reservierung über die Mac Adresse machen. Auch nicht schön aber zumindestens noch einigermaßen tolerabel. Mit 25 Jahren IT Erfahrung sollte man solche IT Binsenweisheiten eigentlich aus dem FF kennen. Aber egal...
Visucius
Visucius 27.02.2023 um 09:17:03 Uhr
Goto Top
Ich habe die Installation korrekt eingerichtet
Na, wenn alles korrekt ist, musst Du wohl nen Bug bei Sophos reklamieren! 🤭
em-pie
em-pie 27.02.2023 um 09:17:47 Uhr
Goto Top
Zitat von @aqui:

nicht schön, aber OK
Im Hinblick das auch Anfänger wissen das Router und Firewall statische Adressierung nutzen sollten ein NoGo. Zumindestens sollte man dann eine DHCP Reservierung über die Mac Adresse machen. Auch nicht schön aber zumindestens noch einigermaßen tolerabel. Aber egal...

Bin da ganz bei dir... feste IPs sind in solchen Konstrukten eigentlich ein Muss, spätestens, wenn der LANCOM Pakete ins Netz hinter der Sophos routen soll/ muss...
bananisierer
bananisierer 27.02.2023 um 10:29:06 Uhr
Goto Top
Was bedeutet für für dich IP-Hauptadresse? WAN/LAN?
Wo befindet sich der LANCOM?
Ein Draft von deinem Netz wäre hilfreich...
Config der Sophos bitte dazu.
Welches SFOS läuft auf der XGS?
MysticFoxDE
MysticFoxDE 27.02.2023 um 11:12:00 Uhr
Goto Top
Moin @ariston,

Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch

kann es sein, das dein Router nicht nur an dem WAN Port der XGS hängt, sondern auch noch mit einem weiteren Port direkt mit deinem Switch verbunden ist?

Gruss Alex
ariston
ariston 27.02.2023 um 12:44:10 Uhr
Goto Top
Zitat von @aqui:

dass sie die IP-Hauptadresse über DHCP vom Router bezieht.
Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?
Betreibst du das ganze in einer Router Kaskade oder wie ist dein Setup zu verstehen?
2 grobe Kardinalsfehler fallen auf:
  • "not in DHCP pool 192.168.1.1 - 192.168.1.254" Du hast nicht im Ernst das gesamte .1.0 /24er IP Netz als DHCP Pool definiert, oder?? Zumindestens die IP des Routers selber MUSS aus diesem Pool ausgenommen werden! Logisch, denn sonst droht die Gefahr einer doppelten IP was dann Chaos im Netz verursacht. Best Practise bei Netzwerkern ist immer das man "oben" und "unten" im IP Host Bereich etwas Platz lässt für statische Adressen. Also den DHCP Pool z.B. zw. .10 und .250 setzt.
  • "IP: 172.16.25. => ignored (not in DHCP pool.." Bedeutet das die FW irgendwo noch eine 172.16er IP herbekommt die mit dem konfigurierten Bereich kollidiert. Dort ist also irgendwo noch ein grober Fehler in deiner Port IP Adressierung.
Ohne Konfig oder Konfig Screenshots ist das aber Raten und Kristallkugeln im freien Fall, weil keiner weiss was du wirklich konfiguriert hast. Eine zielführende Hilfe wird dann mehr oder minder unmöglich wie du dir sicher auch denken kannst.

Hallo @aqui
Danke für deine Antwort, ich meinte, dass ich bereits eine statische IP mit dem DNS und Gateway vom Router zur Firewall gesetzt habe.

2. Ja ich glaub ist den DHCP Pool. zw..1.1 und .254 gesetzt.

3. IP: 172.16.25. => ignored (not in DHCP pool.." Bedeutet das die FW irgendwo noch eine 172.16er IP herbekommt die mit dem konfigurierten Bereich kollidiert. Dort ist also irgendwo noch ein grober Fehler in deiner Port IP Adressierung.

3 -> Ich kann sie nirgends finden. Diese IP war von der ersten Installation, aber ich habe sie geändert.

Ich werde versuchen, es erneut zu konfigurieren, trotzdem vielen Dank.
aqui
aqui 27.02.2023 aktualisiert um 12:55:24 Uhr
Goto Top
Sehr viel Konjunktiv und Glauben was in der IT wenig zielführend ist. Weisst du auch selber... Besser du kontrollierst das nochmals genau, denn wenn du tatsächlich statische Adressen verwendest dürfte niemals ein DHCP Request im Log stehen.
Bleibt auch noch die falsche Pool Definition mit allen Hostadressen aus dem /24 Netz. Das mus sin jedem Falle angepasst werden!
3. = Dann am besten die FW einmal mit der neuen Konfig rebooten und vorher das Log löschen damit das die Helfenden hier nicht unnötig verwirrt! face-wink
2423392070
2423392070 27.02.2023 um 17:06:03 Uhr
Goto Top
Was heißt das LAN funktioniert nicht mehr?

Spanning Tree blickvögelt dich nicht zufällig?
MysticFoxDE
MysticFoxDE 27.02.2023 um 22:30:30 Uhr
Goto Top
Moin @ariston,

* "IP: 172.16.25. => ignored (not in DHCP pool.."

wo genau hast du den "172.16.25.x" Bereich als DHCP konfiguriert?

Gruss Alex
MysticFoxDE
MysticFoxDE 27.02.2023 um 22:41:13 Uhr
Goto Top
Moin @ariston,

Ich habe die Installation korrekt eingerichtet und die Firewall so konfiguriert, dass sie die IP-Hauptadresse über DHCP vom Router bezieht. - Auf der Sophos Firewall steht Port 2 für WAN und Port 1 für LAN.

Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch

ähm, mal ne ganz andere Frage.
Warum verwendest du überhaupt einen Lancom-Router vor einer Sophos XGS? 🤔
Das ist in etwa so, als ob du ein Pferd vor ein Auto spannen würdest.

Wenn du ein DSL Modem für die Einwahl benötigst, dann hänge vor die Sophos so was dran ...
https://www.draytek.de/vigor166.html
Funktioniert mit einem kleinen Switch dazwischen, sogar auch beim Clusterbetrieb. 😉

Gruss Alex
ariston
ariston 27.02.2023 um 23:04:52 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?
ich tippe mal, dass er das am WAN-Interface der XGS angelegt hat. nicht schön, aber OK. Wobei das nur sinnvoll ist, wenn da NAT zum Einsatz kommt, was aus Performance-ründen und mit der vorgelagerten FW (LANCOM) aber unnötig ist.

@ariston
erzähle bitte mal etwas, zu den IP-Netzen?
Wo in deinem Konstrukt hast du ein 172.16.25.x/?? Netz in Benutzung?
Wo liegt das Netz 192.168.1.0/24(?) an?
Auf welchem Interface hast du den DHCP-Server in der XGS aktiv?

Hallo @em-pie,
- der Lancom-Router hat die IP 192.168.1.1 mit DCHP aktiviert
- in der Firewall ist die statische IP 192.168.1.240
- das DCHP der Firewall ist 192.168.1.1 - 254

Bevor ich die Firewall zum ersten Mal konfigurierte, hatte ich die Standard-IP 172.16.16.16, aber ich änderte sie in 192.168.1.240, ich weiß nicht, warum diese IP immer noch in den Protokollen erscheint.
MysticFoxDE
MysticFoxDE 28.02.2023 aktualisiert um 00:09:09 Uhr
Goto Top
Moin @ariston,

Bevor ich die Firewall zum ersten Mal konfigurierte, hatte ich die Standard-IP 172.16.16.16, aber ich änderte sie in 192.168.1.240, ich weiß nicht, warum diese IP immer noch in den Protokollen erscheint.

OK, deine Sophos hat auf ihrer LAN-Seite eine "192.168.1.240/24" Adresse.

Welche IP-Adresse hat die Sophos auf der WAN-Seite?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?

Gruss Alex
ariston
ariston 28.02.2023 um 00:50:43 Uhr
Goto Top
Zitat von @MysticFoxDE:

Welche IP-Adresse hat die Sophos auf der WAN-Seite?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?


- Ich weiß es nicht, ich habe ihn auf automatischen DHCP vom Lancom-Router eingestellt.
- die IP-Adresse der Lancom-Router an dem Port, der mit dem Sophos WAN-Port verbunden ist, lautet: 192.168.1.1
-
em-pie
em-pie 28.02.2023 um 06:52:28 Uhr
Goto Top
Zitat von @ariston:

Zitat von @MysticFoxDE:

Welche IP-Adresse hat die Sophos auf der WAN-Seite?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?


- Ich weiß es nicht, ich habe ihn auf automatischen DHCP vom Lancom-Router eingestellt.
- die IP-Adresse der Lancom-Router an dem Port, der mit dem Sophos WAN-Port verbunden ist, lautet: 192.168.1.1
-
Dann ist exakt das dein eingangs beschriebenes Problem.
Du kannst nicht (aus Sicht der XGS) am WAN und am LAN dasselbe IP-Netz haben.

Wenn im WAN die 192.168.1.0/24 definiert ist, musst du im LAN der XGS „irgendwas“ (*) ungleich diesem Netz nehmen.
Die XGS weiß ja sonst gar nicht, was wohin geroutet werden soll.


* du musst dich im Rahmen des RFC1918 bewegen
bananisierer
bananisierer 28.02.2023 um 06:55:48 Uhr
Goto Top
Bist du dir sicher eine Firewall/Sophos konfigurieren zu wollen? Da sollte man schon wissen was man mancht...
Die 172.16.16.16 ist im SFOS als default hinterlegt, sodass man die XG auch im Worstcase noch erreichen kann.


Zitat von @bananisierer:

Ein Draft von deinem Netz wäre hilfreich...
Config der Sophos bitte dazu.
Welches SFOS läuft auf der XGS?
MysticFoxDE
MysticFoxDE 28.02.2023 um 07:16:46 Uhr
Goto Top
Moin @ariston,

- Ich weiß es nicht, ich habe ihn auf automatischen DHCP vom Lancom-Router eingestellt.

OK, der Lancom läuft also IP-Technisch so gut wie auf default.

- die IP-Adresse der Lancom-Router an dem Port, der mit dem Sophos WAN-Port verbunden ist, lautet: 192.168.1.1

Habe ich es doch richtig gerochen ... das geht so nicht!
Du kannst auf der LAN-Seite der Sophos nicht denselben IP-Adressen Bereich verwenden, wie auf deren WAN Seite.

Ist das eine Testumgebung oder eine Produktivumgebung?

Wenn das eine Testumgebung ist, dann hast du noch viel vor dir und solltest dich als nächstes mit Routinggrundlagen beschäftigen und nicht gleich mit einem SGW.

Wenn das eine Produktivumgebung ist, dann tue dir selbst einen Gefallen und lasse die Sophos von einem Profi konfigurieren.

Beste Grüsse aus BaWü
Alex
MysticFoxDE
MysticFoxDE 28.02.2023 um 07:21:42 Uhr
Goto Top
Moin @bananisierer,

Bist du dir sicher eine Firewall/Sophos konfigurieren zu wollen? Da sollte man schon wissen was man mancht...

👍👍👍

Die 172.16.16.16 ist im SFOS als default hinterlegt, sodass man die XG auch im Worstcase noch erreichen kann.

Das trifft nur für den Auslieferungszustand/Werkseinstellungen zu, diese IP kannst du jedoch jederzeit auch verändern.

Gruss Alex
bananisierer
bananisierer 28.02.2023 um 07:34:37 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @bananisierer,

Die 172.16.16.16 ist im SFOS als default hinterlegt, sodass man die XG auch im Worstcase noch erreichen kann.

Das trifft nur für den Auslieferungszustand/Werkseinstellungen zu, diese IP kannst du jedoch jederzeit auch verändern.

Gruss Alex

Hi @MysticFoxDE,

ja kann man, ich denke nicht, dass dies hier getan wurde... Ist hier aber auch nicht mehr relevant, der Themenersteller möchte meine Hilfe nicht...
Ehrlich gesagt halt ich dieses Unterfangen, so eine Firewall zu implementieren, mit so gravierenden Wissenslücken, für Wahnsinn.
MysticFoxDE
MysticFoxDE 28.02.2023 um 08:02:12 Uhr
Goto Top
Moin @bananisierer,

Ehrlich gesagt halt ich dieses Unterfangen, so eine Firewall zu implementieren, mit so gravierenden Wissenslücken, für Wahnsinn.

wenn das eine produktive Umgebung ist, dann ist das mit dem Wahnsinn definitiv so. 😔

Gruss Alex
aqui
aqui 28.02.2023 um 08:27:58 Uhr
Goto Top
in der Firewall ist die statische IP 192.168.1.240
Default Route auf der Sophos an die 192.168.1.1 (Lancom) hast du auch eingerichtet??
Xaero1982
Xaero1982 02.03.2023 um 20:42:06 Uhr
Goto Top
Statische IP im DHCP Bereich? Wer macht denn sowas?

Vielleicht suchst du dir mal Hilfe beim Einrichten der XGS?!

Und davor nen Lancom?

Schick uns doch mal ein paar Bilder aus dem Punkt Network der XGS und Bilder der einzelnen Schnittstellen...