24
Sophos XGS 136 Firewall Security Appliance
Hallo zusammen,
es gibt ein Problem mit der Sophos Firewall und weiß nicht, wie ich es lösen kann.
Ich habe die Installation korrekt eingerichtet und die Firewall so konfiguriert, dass sie die IP-Hauptadresse über DHCP vom Router bezieht. - Auf der Sophos Firewall steht Port 2 für WAN und Port 1 für LAN.
Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch
Bisher klappt es prima, es gibt allen Geräten Internet, aber nach 25 Sekunden funktioniert das lokale Netzwerk nicht mehr.
In den Protokolldateien von meinem LANCOM-Router erscheinen diese Meldungen:
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)
Hinweis DHCP: IP 192.168.1.234 assigned to MAC: 78::58:d8:9f: for 500 Minutes
Hinweis DHCP: IP 192.168.1.239 assigned to MAC: ec:71::2d:fb: for 500 Minutes
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)
Hinweis DHCP: IP 192.168.1.234 assigned to MAC: 78:45::d8:9f: for 500 Minutes
Hinweis DHCP: IP 192.168.1.239 assigned to MAC: ec::db:2d:fb: for 500 Minutes
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)**
Was stimmt nicht? Ich verstehe das nicht, denn das Internet kommt und fällt alle 25 Sekunden?
Ich wäre dankbar, wenn mir jemand eine Antwort geben könnte.
Vielen Dank!
MfG Ariston
es gibt ein Problem mit der Sophos Firewall und weiß nicht, wie ich es lösen kann.
Ich habe die Installation korrekt eingerichtet und die Firewall so konfiguriert, dass sie die IP-Hauptadresse über DHCP vom Router bezieht. - Auf der Sophos Firewall steht Port 2 für WAN und Port 1 für LAN.
Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch
Bisher klappt es prima, es gibt allen Geräten Internet, aber nach 25 Sekunden funktioniert das lokale Netzwerk nicht mehr.
In den Protokolldateien von meinem LANCOM-Router erscheinen diese Meldungen:
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)
Hinweis DHCP: IP 192.168.1.234 assigned to MAC: 78::58:d8:9f: for 500 Minutes
Hinweis DHCP: IP 192.168.1.239 assigned to MAC: ec:71::2d:fb: for 500 Minutes
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)
Hinweis DHCP: IP 192.168.1.234 assigned to MAC: 78:45::d8:9f: for 500 Minutes
Hinweis DHCP: IP 192.168.1.239 assigned to MAC: ec::db:2d:fb: for 500 Minutes
Debug DHCP: Req.-IP: 172.16.25. => ignored (not in DHCP pool 192.168.1.1 - 192.168.1.254)**
Was stimmt nicht? Ich verstehe das nicht, denn das Internet kommt und fällt alle 25 Sekunden?
Ich wäre dankbar, wenn mir jemand eine Antwort geben könnte.
Vielen Dank!
MfG Ariston
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6147044677
Url: https://administrator.de/contentid/6147044677
Printed on: April 28, 2024 at 01:04 o'clock
24 Comments
Latest comment
dass sie die IP-Hauptadresse über DHCP vom Router bezieht.
Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?Betreibst du das ganze in einer Router Kaskade oder wie ist dein Setup zu verstehen?
2 grobe Kardinalsfehler fallen auf:
- "not in DHCP pool 192.168.1.1 - 192.168.1.254" Du hast nicht im Ernst das gesamte .1.0 /24er IP Netz als DHCP Pool definiert, oder?? Zumindestens die IP des Routers selber MUSS aus diesem Pool ausgenommen werden! Logisch, denn sonst droht die Gefahr einer doppelten IP was dann Chaos im Netz verursacht. Best Practise bei Netzwerkern ist immer das man "oben" und "unten" im IP Host Bereich etwas Platz lässt für statische Adressen. Also den DHCP Pool z.B. zw. .10 und .250 setzt.
- "IP: 172.16.25. => ignored (not in DHCP pool.." Bedeutet das die FW irgendwo noch eine 172.16er IP herbekommt die mit dem konfigurierten Bereich kollidiert. Dort ist also irgendwo noch ein grober Fehler in deiner Port IP Adressierung.
1
Moin,
@ariston
erzähle bitte mal etwas, zu den IP-Netzen?
Wo in deinem Konstrukt hast du ein 172.16.25.x/?? Netz in Benutzung?
Wo liegt das Netz 192.168.1.0/24(?) an?
Auf welchem Interface hast du den DHCP-Server in der XGS aktiv?
Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?
ich tippe mal, dass er das am WAN-Interface der XGS angelegt hat. nicht schön, aber OK. Wobei das nur sinnvoll ist, wenn da NAT zum Einsatz kommt, was aus Performance-ründen und mit der vorgelagerten FW (LANCOM) aber unnötig ist.@ariston
erzähle bitte mal etwas, zu den IP-Netzen?
Wo in deinem Konstrukt hast du ein 172.16.25.x/?? Netz in Benutzung?
Wo liegt das Netz 192.168.1.0/24(?) an?
Auf welchem Interface hast du den DHCP-Server in der XGS aktiv?
2
Hallo,
was hast du denn für ein WAN-Netz (vermute mal 192.168.1.xxx/24) und was hast du auf LAN-Seite?
was hast du denn für ein WAN-Netz (vermute mal 192.168.1.xxx/24) und was hast du auf LAN-Seite?
nicht schön, aber OK
Im Hinblick das auch Anfänger wissen das Router und Firewall statische Adressierung nutzen sollten ein NoGo. Zumindestens sollte man dann eine DHCP Reservierung über die Mac Adresse machen. Auch nicht schön aber zumindestens noch einigermaßen tolerabel. Mit 25 Jahren IT Erfahrung sollte man solche IT Binsenweisheiten eigentlich aus dem FF kennen. Aber egal...1
Ich habe die Installation korrekt eingerichtet
Na, wenn alles korrekt ist, musst Du wohl nen Bug bei Sophos reklamieren! 🤭1Zitat von @aqui:
nicht schön, aber OK
Im Hinblick das auch Anfänger wissen das Router und Firewall statische Adressierung nutzen sollten ein NoGo. Zumindestens sollte man dann eine DHCP Reservierung über die Mac Adresse machen. Auch nicht schön aber zumindestens noch einigermaßen tolerabel. Aber egal...Bin da ganz bei dir... feste IPs sind in solchen Konstrukten eigentlich ein Muss, spätestens, wenn der LANCOM Pakete ins Netz hinter der Sophos routen soll/ muss...
Was bedeutet für für dich IP-Hauptadresse? WAN/LAN?
Wo befindet sich der LANCOM?
Ein Draft von deinem Netz wäre hilfreich...
Config der Sophos bitte dazu.
Welches SFOS läuft auf der XGS?
Wo befindet sich der LANCOM?
Ein Draft von deinem Netz wäre hilfreich...
Config der Sophos bitte dazu.
Welches SFOS läuft auf der XGS?
Moin @ariston,
kann es sein, das dein Router nicht nur an dem WAN Port der XGS hängt, sondern auch noch mit einem weiteren Port direkt mit deinem Switch verbunden ist?
Gruss Alex
Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch
kann es sein, das dein Router nicht nur an dem WAN Port der XGS hängt, sondern auch noch mit einem weiteren Port direkt mit deinem Switch verbunden ist?
Gruss Alex
1
Zitat von @aqui:
Betreibst du das ganze in einer Router Kaskade oder wie ist dein Setup zu verstehen?
2 grobe Kardinalsfehler fallen auf:
dass sie die IP-Hauptadresse über DHCP vom Router bezieht.
Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?Betreibst du das ganze in einer Router Kaskade oder wie ist dein Setup zu verstehen?
2 grobe Kardinalsfehler fallen auf:
- "not in DHCP pool 192.168.1.1 - 192.168.1.254" Du hast nicht im Ernst das gesamte .1.0 /24er IP Netz als DHCP Pool definiert, oder?? Zumindestens die IP des Routers selber MUSS aus diesem Pool ausgenommen werden! Logisch, denn sonst droht die Gefahr einer doppelten IP was dann Chaos im Netz verursacht. Best Practise bei Netzwerkern ist immer das man "oben" und "unten" im IP Host Bereich etwas Platz lässt für statische Adressen. Also den DHCP Pool z.B. zw. .10 und .250 setzt.
- "IP: 172.16.25. => ignored (not in DHCP pool.." Bedeutet das die FW irgendwo noch eine 172.16er IP herbekommt die mit dem konfigurierten Bereich kollidiert. Dort ist also irgendwo noch ein grober Fehler in deiner Port IP Adressierung.
Hallo @aqui
Danke für deine Antwort, ich meinte, dass ich bereits eine statische IP mit dem DNS und Gateway vom Router zur Firewall gesetzt habe.
2. Ja ich glaub ist den DHCP Pool. zw..1.1 und .254 gesetzt.
3. IP: 172.16.25. => ignored (not in DHCP pool.." Bedeutet das die FW irgendwo noch eine 172.16er IP herbekommt die mit dem konfigurierten Bereich kollidiert. Dort ist also irgendwo noch ein grober Fehler in deiner Port IP Adressierung.
3 -> Ich kann sie nirgends finden. Diese IP war von der ersten Installation, aber ich habe sie geändert.
Ich werde versuchen, es erneut zu konfigurieren, trotzdem vielen Dank.
Sehr viel Konjunktiv und Glauben was in der IT wenig zielführend ist. Weisst du auch selber... Besser du kontrollierst das nochmals genau, denn wenn du tatsächlich statische Adressen verwendest dürfte niemals ein DHCP Request im Log stehen.
Bleibt auch noch die falsche Pool Definition mit allen Hostadressen aus dem /24 Netz. Das mus sin jedem Falle angepasst werden!
3. = Dann am besten die FW einmal mit der neuen Konfig rebooten und vorher das Log löschen damit das die Helfenden hier nicht unnötig verwirrt!
Bleibt auch noch die falsche Pool Definition mit allen Hostadressen aus dem /24 Netz. Das mus sin jedem Falle angepasst werden!
3. = Dann am besten die FW einmal mit der neuen Konfig rebooten und vorher das Log löschen damit das die Helfenden hier nicht unnötig verwirrt!
Was heißt das LAN funktioniert nicht mehr?
Spanning Tree blickvögelt dich nicht zufällig?
Spanning Tree blickvögelt dich nicht zufällig?
Moin @ariston,
wo genau hast du den "172.16.25.x" Bereich als DHCP konfiguriert?
Gruss Alex
* "IP: 172.16.25. => ignored (not in DHCP pool.."
wo genau hast du den "172.16.25.x" Bereich als DHCP konfiguriert?
Gruss Alex
Moin @ariston,
ähm, mal ne ganz andere Frage.
Warum verwendest du überhaupt einen Lancom-Router vor einer Sophos XGS? 🤔
Das ist in etwa so, als ob du ein Pferd vor ein Auto spannen würdest.
Wenn du ein DSL Modem für die Einwahl benötigst, dann hänge vor die Sophos so was dran ...
https://www.draytek.de/vigor166.html
Funktioniert mit einem kleinen Switch dazwischen, sogar auch beim Clusterbetrieb. 😉
Gruss Alex
Ich habe die Installation korrekt eingerichtet und die Firewall so konfiguriert, dass sie die IP-Hauptadresse über DHCP vom Router bezieht. - Auf der Sophos Firewall steht Port 2 für WAN und Port 1 für LAN.
Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch
Ich stelle die Kabelverbindungen her:
- Routerkabel an Firewall Port 2 (WAN)
- Kabel von Firewall Port 1 (LAN) zu LAN-Switch
ähm, mal ne ganz andere Frage.
Warum verwendest du überhaupt einen Lancom-Router vor einer Sophos XGS? 🤔
Das ist in etwa so, als ob du ein Pferd vor ein Auto spannen würdest.
Wenn du ein DSL Modem für die Einwahl benötigst, dann hänge vor die Sophos so was dran ...
https://www.draytek.de/vigor166.html
Funktioniert mit einem kleinen Switch dazwischen, sogar auch beim Clusterbetrieb. 😉
Gruss Alex
Zitat von @em-pie:
Moin,
@ariston
erzähle bitte mal etwas, zu den IP-Netzen?
Wo in deinem Konstrukt hast du ein 172.16.25.x/?? Netz in Benutzung?
Wo liegt das Netz 192.168.1.0/24(?) an?
Auf welchem Interface hast du den DHCP-Server in der XGS aktiv?
Moin,
Eine Firewall mit dynamischen IP Adressen?? Nicht dein Ernst, oder?
ich tippe mal, dass er das am WAN-Interface der XGS angelegt hat. nicht schön, aber OK. Wobei das nur sinnvoll ist, wenn da NAT zum Einsatz kommt, was aus Performance-ründen und mit der vorgelagerten FW (LANCOM) aber unnötig ist.@ariston
erzähle bitte mal etwas, zu den IP-Netzen?
Wo in deinem Konstrukt hast du ein 172.16.25.x/?? Netz in Benutzung?
Wo liegt das Netz 192.168.1.0/24(?) an?
Auf welchem Interface hast du den DHCP-Server in der XGS aktiv?
Hallo @em-pie,
- der Lancom-Router hat die IP 192.168.1.1 mit DCHP aktiviert
- in der Firewall ist die statische IP 192.168.1.240
- das DCHP der Firewall ist 192.168.1.1 - 254
Bevor ich die Firewall zum ersten Mal konfigurierte, hatte ich die Standard-IP 172.16.16.16, aber ich änderte sie in 192.168.1.240, ich weiß nicht, warum diese IP immer noch in den Protokollen erscheint.
Moin @ariston,
OK, deine Sophos hat auf ihrer LAN-Seite eine "192.168.1.240/24" Adresse.
Welche IP-Adresse hat die Sophos auf der WAN-Seite?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?
Gruss Alex
Bevor ich die Firewall zum ersten Mal konfigurierte, hatte ich die Standard-IP 172.16.16.16, aber ich änderte sie in 192.168.1.240, ich weiß nicht, warum diese IP immer noch in den Protokollen erscheint.
OK, deine Sophos hat auf ihrer LAN-Seite eine "192.168.1.240/24" Adresse.
Welche IP-Adresse hat die Sophos auf der WAN-Seite?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?
Gruss Alex
Zitat von @MysticFoxDE:
Welche IP-Adresse hat die Sophos auf der WAN-Seite?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?
- Ich weiß es nicht, ich habe ihn auf automatischen DHCP vom Lancom-Router eingestellt.
- die IP-Adresse der Lancom-Router an dem Port, der mit dem Sophos WAN-Port verbunden ist, lautet: 192.168.1.1
-
Zitat von @ariston:
- Ich weiß es nicht, ich habe ihn auf automatischen DHCP vom Lancom-Router eingestellt.
- die IP-Adresse der Lancom-Router an dem Port, der mit dem Sophos WAN-Port verbunden ist, lautet: 192.168.1.1
-
Dann ist exakt das dein eingangs beschriebenes Problem.Zitat von @MysticFoxDE:
Welche IP-Adresse hat die Sophos auf der WAN-Seite?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?
Und welche IP-Adresse hat der Lancom-Router an dem Port, der in den WAN-Port der Sophos läuft?
- Ich weiß es nicht, ich habe ihn auf automatischen DHCP vom Lancom-Router eingestellt.
- die IP-Adresse der Lancom-Router an dem Port, der mit dem Sophos WAN-Port verbunden ist, lautet: 192.168.1.1
-
Du kannst nicht (aus Sicht der XGS) am WAN und am LAN dasselbe IP-Netz haben.
Wenn im WAN die 192.168.1.0/24 definiert ist, musst du im LAN der XGS „irgendwas“ (*) ungleich diesem Netz nehmen.
Die XGS weiß ja sonst gar nicht, was wohin geroutet werden soll.
* du musst dich im Rahmen des RFC1918 bewegen
Bist du dir sicher eine Firewall/Sophos konfigurieren zu wollen? Da sollte man schon wissen was man mancht...
Die 172.16.16.16 ist im SFOS als default hinterlegt, sodass man die XG auch im Worstcase noch erreichen kann.
Die 172.16.16.16 ist im SFOS als default hinterlegt, sodass man die XG auch im Worstcase noch erreichen kann.
Zitat von @bananisierer:
Ein Draft von deinem Netz wäre hilfreich...
Config der Sophos bitte dazu.
Welches SFOS läuft auf der XGS?
Ein Draft von deinem Netz wäre hilfreich...
Config der Sophos bitte dazu.
Welches SFOS läuft auf der XGS?
Moin @ariston,
OK, der Lancom läuft also IP-Technisch so gut wie auf default.
Habe ich es doch richtig gerochen ... das geht so nicht!
Du kannst auf der LAN-Seite der Sophos nicht denselben IP-Adressen Bereich verwenden, wie auf deren WAN Seite.
Ist das eine Testumgebung oder eine Produktivumgebung?
Wenn das eine Testumgebung ist, dann hast du noch viel vor dir und solltest dich als nächstes mit Routinggrundlagen beschäftigen und nicht gleich mit einem SGW.
Wenn das eine Produktivumgebung ist, dann tue dir selbst einen Gefallen und lasse die Sophos von einem Profi konfigurieren.
Beste Grüsse aus BaWü
Alex
- Ich weiß es nicht, ich habe ihn auf automatischen DHCP vom Lancom-Router eingestellt.
OK, der Lancom läuft also IP-Technisch so gut wie auf default.
- die IP-Adresse der Lancom-Router an dem Port, der mit dem Sophos WAN-Port verbunden ist, lautet: 192.168.1.1
Habe ich es doch richtig gerochen ... das geht so nicht!
Du kannst auf der LAN-Seite der Sophos nicht denselben IP-Adressen Bereich verwenden, wie auf deren WAN Seite.
Ist das eine Testumgebung oder eine Produktivumgebung?
Wenn das eine Testumgebung ist, dann hast du noch viel vor dir und solltest dich als nächstes mit Routinggrundlagen beschäftigen und nicht gleich mit einem SGW.
Wenn das eine Produktivumgebung ist, dann tue dir selbst einen Gefallen und lasse die Sophos von einem Profi konfigurieren.
Beste Grüsse aus BaWü
Alex
Moin @bananisierer,
👍👍👍
Das trifft nur für den Auslieferungszustand/Werkseinstellungen zu, diese IP kannst du jedoch jederzeit auch verändern.
Gruss Alex
Bist du dir sicher eine Firewall/Sophos konfigurieren zu wollen? Da sollte man schon wissen was man mancht...
👍👍👍
Die 172.16.16.16 ist im SFOS als default hinterlegt, sodass man die XG auch im Worstcase noch erreichen kann.
Das trifft nur für den Auslieferungszustand/Werkseinstellungen zu, diese IP kannst du jedoch jederzeit auch verändern.
Gruss Alex
Zitat von @MysticFoxDE:
Moin @bananisierer,
Das trifft nur für den Auslieferungszustand/Werkseinstellungen zu, diese IP kannst du jedoch jederzeit auch verändern.
Gruss Alex
Moin @bananisierer,
Die 172.16.16.16 ist im SFOS als default hinterlegt, sodass man die XG auch im Worstcase noch erreichen kann.
Das trifft nur für den Auslieferungszustand/Werkseinstellungen zu, diese IP kannst du jedoch jederzeit auch verändern.
Gruss Alex
Hi @MysticFoxDE,
ja kann man, ich denke nicht, dass dies hier getan wurde... Ist hier aber auch nicht mehr relevant, der Themenersteller möchte meine Hilfe nicht...
Ehrlich gesagt halt ich dieses Unterfangen, so eine Firewall zu implementieren, mit so gravierenden Wissenslücken, für Wahnsinn.
Moin @bananisierer,
wenn das eine produktive Umgebung ist, dann ist das mit dem Wahnsinn definitiv so. 😔
Gruss Alex
Ehrlich gesagt halt ich dieses Unterfangen, so eine Firewall zu implementieren, mit so gravierenden Wissenslücken, für Wahnsinn.
wenn das eine produktive Umgebung ist, dann ist das mit dem Wahnsinn definitiv so. 😔
Gruss Alex
in der Firewall ist die statische IP 192.168.1.240
Default Route auf der Sophos an die 192.168.1.1 (Lancom) hast du auch eingerichtet??
Statische IP im DHCP Bereich? Wer macht denn sowas?
Vielleicht suchst du dir mal Hilfe beim Einrichten der XGS?!
Und davor nen Lancom?
Schick uns doch mal ein paar Bilder aus dem Punkt Network der XGS und Bilder der einzelnen Schnittstellen...
Vielleicht suchst du dir mal Hilfe beim Einrichten der XGS?!
Und davor nen Lancom?
Schick uns doch mal ein paar Bilder aus dem Punkt Network der XGS und Bilder der einzelnen Schnittstellen...
1
