Statische Route auf UTM

Moin!

Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen Netz alle Geräte an diesem Switch anpingen und erreichen. In der Firewall sehe ich auch alle entsprechende Pakete.

Aber sobald ich einem anderen Gerät an einem Switch in meinem Netz eine IP aus dieser Range gebe, ist das Gerät nicht erreichbar. Für mich sogar logisch, da der UTM eine Route dahin fehlt.

Ich habe jedoch fast jede Kombi durch und ich kriegs nicht hin. Ich brauche doch eine Gateway Route, richtig? Dazu lege ich einen virtuellen Host im 10er Netz an, den ich als Gateway definiere. Network ist mein aktuelles Netz. Korrekt?

Sorry habe ich noch nie gemacht ;-) face-wink

Content-Key: 666652

Url: https://administrator.de/contentid/666652

Ausgedruckt am: 17.06.2021 um 19:06 Uhr

31 Kommentare
Mitglied: itisnapanto
itisnapanto am 12.05.2021
Moin ,

also du hast 2 Netze an 2 Interfaces ? Dann brauchst du lediglich Firewall regeln erstellen , was erlaubt ist zwischen den Netzen.
Sprich NetzA <Any> NetzB wenn alles erlaubt sein soll.

Möchtest du wirklich statische Routen machen, findest du es unter Interfaces und Static Routing. Aber das obere sollte reichen.

Gruss
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
Moin,

ja genau. Ich dachte auch es ist eine Firewall Regel, aber ich sehe keine Pings an eine 10er Test IP. Ich habe ja schon diverse Routen durch. Ich kriegs nicht geroutet. Was wäre denn eine korrekte Route für den Fall in der UTM? Vielleicht habe ich ja auch Tomaten auf den Augen. Noch dazu ist es früh.
Mitglied: itisnapanto
itisnapanto am 12.05.2021
Hm schreib doch bitte mal genau auf wie die aktuelle Konfig ist incl. der Regeln.

Sind denn Pings generell erlaubt ?
>Firewall >> ICMP >>> Ping Settings

Gruss
Mitglied: Ex0r2k16
Ex0r2k16 aktualisiert am 12.05.2021
Jap. Durchs Gateway pingen ist erlaubt.

Welche Konfig willst du genau wissen? Da ist ja fast nichts konfiguriert

Cisco Switch an eth4 der Sophos SG330 im HA. Also alles doppelt gesteckt. Alle Geräte die physikalisch (!) über ETH4 an der Sophos hängen sind erreichbar. Ich sehe alle Pakete die (nicht) rein oder raus gehen. Alles top. Da hängt auch kein weiteres Netz oder VLAN drauf. Nichts.

Ich selbst hänge am eth0 und im 192.168.0.0/20er Netz. Wenn ich jetzt einem Gerät in meinem Netz eine statische 10er IP gebe, die frei ist, ist diese IP für mich nicht erreichbar. Gebe ich mir eine zusätzliche 10er IP, kann ich das Gerät erreichen. Ergo fehlt der UTM eine Route. Denke ich.
Mitglied: NordicMike
NordicMike aktualisiert am 12.05.2021
Nochmal als übersicht, du hast im Sophos:

eth0 -> 192.168.0.0/20 Netzwerk
eth4 -> 10.1.1.0/24 Netzwerk
Unter den Einstellungen SCHNITTSTELLEN siehst du, dass beider Schnittstellen eine eigene IP Nummer in ihrem Netzwerk bereich besitzen.

In der Firewall hast du:

192.168.0.0/20 -> any-> 10.1.1.0/24
10.1.1.0/24 -> any -> 192.168.0.0/20

Das sollte reichen. Interne Schnittstellen routet Sophos automatisch untereinander.
Mitglied: Ex0r2k16
Ex0r2k16 aktualisiert am 12.05.2021
Hi Mike,


Zitat von @NordicMike:

eth0 -> 192.168.0.0/20 Netzwerk
eth4 -> 10.1.1.0/24 Netzwerk

korrekt

192.168.0.0/20 -> any-> 10.1.1.0/24
10.1.1.0/24 -> any -> 192.168.0.0/20

Ja nur halt mit meiner IP statt das ganze 192.168.0.0/20er Netz.

Tracert:

Routenverfolgung zu 10.1.1.166 über maximal 30 Hops
1 <1 ms <1 ms <1 ms fw01.XXX.de [192.168.0.20]
2 fw01.XXX.de [192.168.0.20] meldet: Zielhost nicht erreichbar.

Interessanterweise sehe ich das Tracert kurz in der Firewall mit einem UDP137 (geht durch). Nochmal: Die 10.1.1.166 ist mein Testclient und befindet sich an eth0.

09:47:11 Packet filter rule #65 UDP
192.168.X.X : 137

10.1.1.166 : 137

Mitglied: NordicMike
NordicMike am 12.05.2021
Ja nur halt mit meiner IP statt das ganze 192.168.0.0/20er Netz.
Was ist mit der IP von der Schnittstelle eth4?

Mach mal das ganze Subnetz, und als Protokoll "any", sonst schleichen sich Fehler ein. Schärfer stellen kannst du danach immer noch.
Mitglied: itisnapanto
itisnapanto am 12.05.2021
Zitat von @Ex0r2k16:

Jap. Durchs Gateway pingen ist erlaubt.

Welche Konfig willst du genau wissen? Da ist ja fast nichts konfiguriert

Cisco Switch an eth4 der Sophos SG330 im HA. Also alles doppelt gesteckt. Alle Geräte die physikalisch (!) über ETH4 an der Sophos hängen sind erreichbar. Ich sehe alle Pakete die (nicht) rein oder raus gehen. Alles top. Da hängt auch kein weiteres Netz oder VLAN drauf. Nichts.

Ich selbst hänge am eth0 und im 192.168.0.0/20er Netz. Wenn ich jetzt einem Gerät in meinem Netz eine statische 10er IP gebe, die frei ist, ist diese IP für mich nicht erreichbar. Gebe ich mir eine zusätzliche 10er IP, kann ich das Gerät erreichen. Ergo fehlt der UTM eine Route. Denke ich.

Welche exakten IP Adressen wo eingerichtet sind und wie genau die Firewall Regel aussieht.
Stimme Mike zu . Das sollte so laufen wenn die IPs und die Regel passt.

Gruss
Mitglied: em-pie
em-pie am 12.05.2021
Moin,

kannst du das bitte einmal per Stift + Zettel aufmalen (oder halt digital) und an allen Interfaces/ Geräten die IP nebst Subnetmask schreiben.

Ich glaube nämlich, dass du denkst, die SOPHOS würde an allen Interfaces wie ein Switch fungieren. dem ist nicht so.
Jeder Port ist ein einzelnes Netzwerkinterface und will (LAG mal ausgenommen) eine IP haben.
Und wenn dein eth0 dann im Netz 192.168.0.0/24 hängt, wird das niemals funktionieren, wenn du mit deinem Gerät, hängend an eth0 eine IP aus dem Bereich eth4 gibst...

Gruß
em-pie
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
Interface IP ist 10.1.1.254 und pingbar von meinem Client. Genau wie jede 10er IP am eth4.

Rule auf Any stellen hat nichts gebracht. Sonst hätte ich es ja eh in der Firewall gesehen. Die UTM routet einfach nicht wenn 2 Subnetze auf dem gleiche Interface hängen. Sieht mir nach dem Problem aus:

https://community.sophos.com/sophos-xg-firewall/f/discussions/58791/rout ...

Nur, dass ich keinen zusätzlichen Router dazwischen habe.
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
Zitat von @em-pie:

Moin,
[...]
Und wenn dein eth0 dann im Netz 192.168.0.0/24 hängt, wird das niemals funktionieren, wenn du mit deinem Gerät, hängend an eth0 eine IP aus dem Bereich eth4 gibst...

Gruß
em-pie

Bingo! Da ham wirs doch :) face-smile Genau das habe ich ja gemacht. Wie löst man das Problemchen? VLAN? Ich habe ordentliche Switche. Die sind alle Layer 3. Cisco SG in allen Farben und Formen.
Mitglied: itisnapanto
itisnapanto am 12.05.2021
Zitat von @Ex0r2k16:

Interface IP ist 10.1.1.254 und pingbar von meinem Client. Genau wie jede 10er IP am eth4.

Rule auf Any stellen hat nichts gebracht. Sonst hätte ich es ja eh in der Firewall gesehen. Die UTM routet einfach nicht wenn 2 Subnetze auf dem gleiche Interface hängen. Sieht mir nach dem Problem aus:

https://community.sophos.com/sophos-xg-firewall/f/discussions/58791/rout ...

Nur, dass ich keinen zusätzlichen Router dazwischen habe.

Doch das geht. Hab ich an einem Standort genau so laufen. Oder ich verstehe dich nicht richtig.

ETH2 > LAN PC
ETH3> VOIP Lan

Kommunikation möglich.
Mitglied: em-pie
Lösung em-pie aktualisiert am 12.05.2021
1Love
Zitat von @Ex0r2k16:
Bingo! Da ham wirs doch :) face-smile Genau das habe ich ja gemacht. Wie löst man das Problemchen? VLAN? Ich habe ordentliche Switche. Die sind alle Layer 3. Cisco SG in allen Farben und Formen.

Korrekt. Arbeite mit VLANs.
Willst du etwas mehr Durchsatz haben (also 2x1 Gbit, statt 1x1Gbit): baue eine LAG für eth0 und eth4 (Achtung, sperre dich nicht aus, vorher ein drittes Interface anlegen, welches Zugriff auf die UTM hat) und das LAG-Interface wird mit VLAN-ID bestückt. AM Cisco dann den Gegenpart.

Feddisch:-) face-smile

@itisnapanto
Er will es anders machen. Du hast zwei Netze an zwei Interfaces - easy going. Er will aber zwei Netze an einem Interface.
Mitglied: NordicMike
NordicMike aktualisiert am 12.05.2021
eth4 hat ja die 10.1.1.254, die muss auch in die Firewallregel.
Welche IP Nummer hat die eth0 erhalten?
Mitglied: Ex0r2k16
Ex0r2k16 aktualisiert am 12.05.2021
Top danke dir! :) face-smile Dann werde ich mich wohl mal tiefer mit der VLAN Thematik beschäftigen. Bisher kam ich meistens drumm rum oder es war sehr flach (DMZ).

Bandbreite ist bei mir kein Thema. Ist nur Management Zeug drinn.
Mitglied: itisnapanto
itisnapanto am 12.05.2021
1Love
Zitat von @em-pie:

Zitat von @Ex0r2k16:
Bingo! Da ham wirs doch :) face-smile Genau das habe ich ja gemacht. Wie löst man das Problemchen? VLAN? Ich habe ordentliche Switche. Die sind alle Layer 3. Cisco SG in allen Farben und Formen.

Korrekt. Arbeite mit VLANs.
Willst du etwas mehr Durchsatz haben (also 2x1 Gbit, statt 1x1Gbit): baue eine LAG für eth0 und eth4 (Achtung, sperre dich nicht aus, vorher ein drittes Interface anlegen, welches Zugriff auf die UTM hat) und das LAG-Interface wird mit VLAN-ID bestückt. AM Cisco dann den Gegenpart.

Feddisch:-) face-smile

@itisnapanto
Er will es anders machen. Du hast zwei Netze an zwei Interfaces - easy going. Er will aber zwei Netze an einem Interface.

Ja hab deinen Text zu spät gelesen :) face-smile . Klar mehrere Netze über ein Interface > Vlan.
Aber dann war meine Vermutunng richtig , das ich ihn nicht richtig verstanden hatte :D

Gruss
Mitglied: aqui
aqui aktualisiert am 12.05.2021
1Love
Grundlagen zum Layer 2 Konzept mit einer Firewall wie immer hier:
https://administrator.de/tutorial/vlan-installation-und-routing-mit-pfse ...
Gilt so auch für deine UTM
Ein Layer 3 Konzept mit Routing auf dem Switch sieht dann so aus:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Für eins der Designs musst du dich entscheiden.

Die rote Lampe hätte bei dir schon bei deiner Äußerung:
Gebe ich mir eine zusätzliche 10er IP, kann ich das Gerät erreichen...
sofort angehen müssen !
Das bedeutet das du mit beiden IP Netzen auf einem gemeinsamen Draht fährst (gemeinsame Layer 2 Domain !). Ein sicherheitstechnischer SuperGAU in einem Firewall Umfeld wie deinem und außerdem noch ein Verstoß gegen grundlegendes TCP/IP Design was das so nicht vorsieht im Standard ! Ob das nun ein FW Konfig Fehler deinerseits war (vermutlich) oder was auch immer kann man ob der spärlichen Infos oben leider nicht sagen.
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
2Love
AQUI! Willkommen zurück! :) face-smile
Mitglied: aqui
aqui aktualisiert am 12.05.2021
Also...dann zieh dich warm an und löse das. Jetzt aber richtig !!! 😉
Du schreibst ja deine Sophos arbeiten im HA Cluster. Eine Layer 2 VLAN Lösung sähe so aus:
fw-ha1 - Klicke auf das Bild, um es zu vergrößern

Bei einem FW Cluster (Redundanz) wäre es aber designtechnisch völlig sinnfrei dann nicht auch eine (Core) Switch Redundanz zu haben:
fw-ha2 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
Zitat von @aqui:

Also...dann zieh dich warm an und löse das. Jetzt aber richtig !!! 😉

Mach ich ja! Aber du hast auch nur einen Teil richtig verstanden :D Ich konnte den einen Client nur erreichen nachdem ich mir die IP im 10er Netz gegeben habe, weil das ein Testclient ist. Die anderen in diesem Netz natürlich nicht ;-) face-wink
Mitglied: NordicMike
NordicMike am 12.05.2021
Ich bin davon ausgegangen, dass er ihm klar ist, dass er zwei Subnetze über ein Netzwerk führt.
Für die Funktionsprüfung sollte es jedoch klappen.

Wie ist denn dein DHCP eingestellt? Hört er auf beide Schnittstellen? Hast du zwei Subnetze, also für jede Schnittstelle ein DHCP Bereich?
Bedenke, wenn du dann beide Subnetze zusammen am Switch hast, dass sich auch vorhandene DHCP CLients ändern können, je nach dem von welchem DHCP Bereich dann eine IP Nummer kommt.

Welche Standardgateway haben all deine Clients und Testclients?
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
Hey Mike,

passt schon so alles. Kein DHCP im 10er Netz eingestellt und soll auch nicht. Es gibt also keine DHCP Clients in diesem Netz.

Gateway für "normale" Clients ist die 192.168.0.20
Mitglied: NordicMike
NordicMike am 12.05.2021
Ist die 192.168.0.20 die IP Nummer der eth0 Schnittstelle am Sophos und hat diese auch zwei Firewallregeln?

Eine ins 10er Netz und
eine aus dem 10er Netz zurück ins 192er Netz?
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
Genau!
Mitglied: Lochkartenstanzer
Lochkartenstanzer aktualisiert am 12.05.2021
Welcome Back Kollege aqui.

Dir ist mindestens ein Bier sicher beim Forumstreffen.

lks
Mitglied: em-pie
em-pie am 12.05.2021
Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK :-) face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben :-D face-big-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer am 12.05.2021
1Love
Zitat von @em-pie:

Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK :-) face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben :-D face-big-smile

Kann er ja trotzdem machen. :-) face-smile
Mitglied: NordicMike
NordicMike aktualisiert am 12.05.2021
Siehst du mit einem tcpdump, dass die Anfrage beim Sophos:

1) über eth0 rein kommt und
2) über eth4 raus geht?

Siehst du auch die Antwort
3) bei eth4 rein kommen und
4) bei eth0 wieder raus gehen?

Ich meine wirklich einen tcpdump über die Shell, nicht die Firewall Protokolle...
Mitglied: Ex0r2k16
Ex0r2k16 am 12.05.2021
Zitat von @Lochkartenstanzer:

Zitat von @em-pie:

Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK :-) face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben :-D face-big-smile

Kann er ja trotzdem machen. :-) face-smile

Ich dachte auch erst ich seh nicht richtig! Ich wusste auch von nix. Hab ich Ihn etwa mit dem Thread wieder aufgeschreckt? :D
Mitglied: Lochkartenstanzer
Lochkartenstanzer am 12.05.2021
Zitat von @Ex0r2k16:

Zitat von @Lochkartenstanzer:

Zitat von @em-pie:

Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK :-) face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben :-D face-big-smile

Kann er ja trotzdem machen. :-) face-smile

Ich dachte auch erst ich seh nicht richtig! Ich wusste auch von nix. Hab ich Ihn etwa mit dem Thread wieder aufgeschreckt? :D

Jetz verschrecke den Hasen bloß wieder nicht. Sonst kommt Unbill über Dein Haupt. :-) face-smile

lks
Mitglied: LordGurke
LordGurke am 12.05.2021
Als Nachtrag dazu:

Zitat von @Ex0r2k16:
Routenverfolgung zu 10.1.1.166 über maximal 30 Hops
1 <1 ms <1 ms <1 ms fw01.XXX.de [192.168.0.20]
2 fw01.XXX.de [192.168.0.20] meldet: Zielhost nicht erreichbar.

https://administrator.de/tutorial/ping-fehlermeldungen-bedeuten-458606.h ...
Erste Überschrift, zweiter Absatz.
Fehlermeldungen, die man bekommt, sind immer hilfreich ;-) face-wink

Deine Firewall bekommt keine ARP-Auflösung hin. Paketfilterregeln sind also definitiv nicht das Problem.
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 1 TagInformationAdministrator.de Feedback58 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 23 StundenTippWindows 1020 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 11 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...