ex0r2k16
Goto Top

Statische Route auf UTM

Moin!

Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen Netz alle Geräte an diesem Switch anpingen und erreichen. In der Firewall sehe ich auch alle entsprechende Pakete.

Aber sobald ich einem anderen Gerät an einem Switch in meinem Netz eine IP aus dieser Range gebe, ist das Gerät nicht erreichbar. Für mich sogar logisch, da der UTM eine Route dahin fehlt.

Ich habe jedoch fast jede Kombi durch und ich kriegs nicht hin. Ich brauche doch eine Gateway Route, richtig? Dazu lege ich einen virtuellen Host im 10er Netz an, den ich als Gateway definiere. Network ist mein aktuelles Netz. Korrekt?

Sorry habe ich noch nie gemacht face-wink

Content-Key: 666652

Url: https://administrator.de/contentid/666652

Printed on: May 22, 2024 at 01:05 o'clock

Member: itisnapanto
itisnapanto May 12, 2021 at 06:34:31 (UTC)
Goto Top
Moin ,

also du hast 2 Netze an 2 Interfaces ? Dann brauchst du lediglich Firewall regeln erstellen , was erlaubt ist zwischen den Netzen.
Sprich NetzA <Any> NetzB wenn alles erlaubt sein soll.

Möchtest du wirklich statische Routen machen, findest du es unter Interfaces und Static Routing. Aber das obere sollte reichen.

Gruss
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 06:49:55 (UTC)
Goto Top
Moin,

ja genau. Ich dachte auch es ist eine Firewall Regel, aber ich sehe keine Pings an eine 10er Test IP. Ich habe ja schon diverse Routen durch. Ich kriegs nicht geroutet. Was wäre denn eine korrekte Route für den Fall in der UTM? Vielleicht habe ich ja auch Tomaten auf den Augen. Noch dazu ist es früh.
Member: itisnapanto
itisnapanto May 12, 2021 at 06:59:16 (UTC)
Goto Top
Hm schreib doch bitte mal genau auf wie die aktuelle Konfig ist incl. der Regeln.

Sind denn Pings generell erlaubt ?
Firewall >> ICMP >>> Ping Settings

Gruss
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 updated at 07:22:17 (UTC)
Goto Top
Jap. Durchs Gateway pingen ist erlaubt.

Welche Konfig willst du genau wissen? Da ist ja fast nichts konfiguriert

Cisco Switch an eth4 der Sophos SG330 im HA. Also alles doppelt gesteckt. Alle Geräte die physikalisch (!) über ETH4 an der Sophos hängen sind erreichbar. Ich sehe alle Pakete die (nicht) rein oder raus gehen. Alles top. Da hängt auch kein weiteres Netz oder VLAN drauf. Nichts.

Ich selbst hänge am eth0 und im 192.168.0.0/20er Netz. Wenn ich jetzt einem Gerät in meinem Netz eine statische 10er IP gebe, die frei ist, ist diese IP für mich nicht erreichbar. Gebe ich mir eine zusätzliche 10er IP, kann ich das Gerät erreichen. Ergo fehlt der UTM eine Route. Denke ich.
Member: NordicMike
NordicMike May 12, 2021 updated at 07:42:12 (UTC)
Goto Top
Nochmal als übersicht, du hast im Sophos:

eth0 -> 192.168.0.0/20 Netzwerk
eth4 -> 10.1.1.0/24 Netzwerk
Unter den Einstellungen SCHNITTSTELLEN siehst du, dass beider Schnittstellen eine eigene IP Nummer in ihrem Netzwerk bereich besitzen.

In der Firewall hast du:

192.168.0.0/20 -> any-> 10.1.1.0/24
10.1.1.0/24 -> any -> 192.168.0.0/20

Das sollte reichen. Interne Schnittstellen routet Sophos automatisch untereinander.
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 updated at 07:49:58 (UTC)
Goto Top
Hi Mike,


Zitat von @NordicMike:

eth0 -> 192.168.0.0/20 Netzwerk
eth4 -> 10.1.1.0/24 Netzwerk

korrekt

192.168.0.0/20 -> any-> 10.1.1.0/24
10.1.1.0/24 -> any -> 192.168.0.0/20

Ja nur halt mit meiner IP statt das ganze 192.168.0.0/20er Netz.

Tracert:

Routenverfolgung zu 10.1.1.166 über maximal 30 Hops

1 <1 ms <1 ms <1 ms fw01.XXX.de [192.168.0.20]
2 fw01.XXX.de [192.168.0.20] meldet: Zielhost nicht erreichbar.

Interessanterweise sehe ich das Tracert kurz in der Firewall mit einem UDP137 (geht durch). Nochmal: Die 10.1.1.166 ist mein Testclient und befindet sich an eth0.

09:47:11 Packet filter rule #65 UDP
192.168.X.X : 137

10.1.1.166 : 137
Member: NordicMike
NordicMike May 12, 2021 at 08:09:44 (UTC)
Goto Top
Ja nur halt mit meiner IP statt das ganze 192.168.0.0/20er Netz.
Was ist mit der IP von der Schnittstelle eth4?

Mach mal das ganze Subnetz, und als Protokoll "any", sonst schleichen sich Fehler ein. Schärfer stellen kannst du danach immer noch.
Member: itisnapanto
itisnapanto May 12, 2021 at 08:14:15 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Jap. Durchs Gateway pingen ist erlaubt.

Welche Konfig willst du genau wissen? Da ist ja fast nichts konfiguriert

Cisco Switch an eth4 der Sophos SG330 im HA. Also alles doppelt gesteckt. Alle Geräte die physikalisch (!) über ETH4 an der Sophos hängen sind erreichbar. Ich sehe alle Pakete die (nicht) rein oder raus gehen. Alles top. Da hängt auch kein weiteres Netz oder VLAN drauf. Nichts.

Ich selbst hänge am eth0 und im 192.168.0.0/20er Netz. Wenn ich jetzt einem Gerät in meinem Netz eine statische 10er IP gebe, die frei ist, ist diese IP für mich nicht erreichbar. Gebe ich mir eine zusätzliche 10er IP, kann ich das Gerät erreichen. Ergo fehlt der UTM eine Route. Denke ich.

Welche exakten IP Adressen wo eingerichtet sind und wie genau die Firewall Regel aussieht.
Stimme Mike zu . Das sollte so laufen wenn die IPs und die Regel passt.

Gruss
Member: em-pie
em-pie May 12, 2021 at 08:18:48 (UTC)
Goto Top
Moin,

kannst du das bitte einmal per Stift + Zettel aufmalen (oder halt digital) und an allen Interfaces/ Geräten die IP nebst Subnetmask schreiben.

Ich glaube nämlich, dass du denkst, die SOPHOS würde an allen Interfaces wie ein Switch fungieren. dem ist nicht so.
Jeder Port ist ein einzelnes Netzwerkinterface und will (LAG mal ausgenommen) eine IP haben.
Und wenn dein eth0 dann im Netz 192.168.0.0/24 hängt, wird das niemals funktionieren, wenn du mit deinem Gerät, hängend an eth0 eine IP aus dem Bereich eth4 gibst...

Gruß
em-pie
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 08:20:02 (UTC)
Goto Top
Interface IP ist 10.1.1.254 und pingbar von meinem Client. Genau wie jede 10er IP am eth4.

Rule auf Any stellen hat nichts gebracht. Sonst hätte ich es ja eh in der Firewall gesehen. Die UTM routet einfach nicht wenn 2 Subnetze auf dem gleiche Interface hängen. Sieht mir nach dem Problem aus:

https://community.sophos.com/sophos-xg-firewall/f/discussions/58791/rout ...

Nur, dass ich keinen zusätzlichen Router dazwischen habe.
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 08:23:05 (UTC)
Goto Top
Zitat von @em-pie:

Moin,
[...]
Und wenn dein eth0 dann im Netz 192.168.0.0/24 hängt, wird das niemals funktionieren, wenn du mit deinem Gerät, hängend an eth0 eine IP aus dem Bereich eth4 gibst...

Gruß
em-pie

Bingo! Da ham wirs doch face-smile Genau das habe ich ja gemacht. Wie löst man das Problemchen? VLAN? Ich habe ordentliche Switche. Die sind alle Layer 3. Cisco SG in allen Farben und Formen.
Member: itisnapanto
itisnapanto May 12, 2021 at 08:24:18 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Interface IP ist 10.1.1.254 und pingbar von meinem Client. Genau wie jede 10er IP am eth4.

Rule auf Any stellen hat nichts gebracht. Sonst hätte ich es ja eh in der Firewall gesehen. Die UTM routet einfach nicht wenn 2 Subnetze auf dem gleiche Interface hängen. Sieht mir nach dem Problem aus:

https://community.sophos.com/sophos-xg-firewall/f/discussions/58791/rout ...

Nur, dass ich keinen zusätzlichen Router dazwischen habe.

Doch das geht. Hab ich an einem Standort genau so laufen. Oder ich verstehe dich nicht richtig.

ETH2 > LAN PC
ETH3> VOIP Lan

Kommunikation möglich.
Member: em-pie
Solution em-pie May 12, 2021 updated at 08:42:17 (UTC)
Goto Top
Zitat von @Ex0r2k16:
Bingo! Da ham wirs doch face-smile Genau das habe ich ja gemacht. Wie löst man das Problemchen? VLAN? Ich habe ordentliche Switche. Die sind alle Layer 3. Cisco SG in allen Farben und Formen.

Korrekt. Arbeite mit VLANs.
Willst du etwas mehr Durchsatz haben (also 2x1 Gbit, statt 1x1Gbit): baue eine LAG für eth0 und eth4 (Achtung, sperre dich nicht aus, vorher ein drittes Interface anlegen, welches Zugriff auf die UTM hat) und das LAG-Interface wird mit VLAN-ID bestückt. AM Cisco dann den Gegenpart.

Feddischface-smile

@itisnapanto
Er will es anders machen. Du hast zwei Netze an zwei Interfaces - easy going. Er will aber zwei Netze an einem Interface.
Member: NordicMike
NordicMike May 12, 2021 updated at 08:49:06 (UTC)
Goto Top
eth4 hat ja die 10.1.1.254, die muss auch in die Firewallregel.
Welche IP Nummer hat die eth0 erhalten?
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 updated at 08:48:56 (UTC)
Goto Top
Top danke dir! face-smile Dann werde ich mich wohl mal tiefer mit der VLAN Thematik beschäftigen. Bisher kam ich meistens drumm rum oder es war sehr flach (DMZ).

Bandbreite ist bei mir kein Thema. Ist nur Management Zeug drinn.
Member: itisnapanto
itisnapanto May 12, 2021 at 08:52:04 (UTC)
Goto Top
Zitat von @em-pie:

Zitat von @Ex0r2k16:
Bingo! Da ham wirs doch face-smile Genau das habe ich ja gemacht. Wie löst man das Problemchen? VLAN? Ich habe ordentliche Switche. Die sind alle Layer 3. Cisco SG in allen Farben und Formen.

Korrekt. Arbeite mit VLANs.
Willst du etwas mehr Durchsatz haben (also 2x1 Gbit, statt 1x1Gbit): baue eine LAG für eth0 und eth4 (Achtung, sperre dich nicht aus, vorher ein drittes Interface anlegen, welches Zugriff auf die UTM hat) und das LAG-Interface wird mit VLAN-ID bestückt. AM Cisco dann den Gegenpart.

Feddischface-smile

@itisnapanto
Er will es anders machen. Du hast zwei Netze an zwei Interfaces - easy going. Er will aber zwei Netze an einem Interface.

Ja hab deinen Text zu spät gelesen face-smile . Klar mehrere Netze über ein Interface > Vlan.
Aber dann war meine Vermutunng richtig , das ich ihn nicht richtig verstanden hatte :D

Gruss
Member: aqui
aqui May 12, 2021 updated at 09:10:02 (UTC)
Goto Top
Grundlagen zum Layer 2 Konzept mit einer Firewall wie immer hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Gilt so auch für deine UTM
Ein Layer 3 Konzept mit Routing auf dem Switch sieht dann so aus:
Verständnissproblem Routing mit SG300-28
Für eins der Designs musst du dich entscheiden.

Die rote Lampe hätte bei dir schon bei deiner Äußerung:
Gebe ich mir eine zusätzliche 10er IP, kann ich das Gerät erreichen...
sofort angehen müssen !
Das bedeutet das du mit beiden IP Netzen auf einem gemeinsamen Draht fährst (gemeinsame Layer 2 Domain !). Ein sicherheitstechnischer SuperGAU in einem Firewall Umfeld wie deinem und außerdem noch ein Verstoß gegen grundlegendes TCP/IP Design was das so nicht vorsieht im Standard ! Ob das nun ein FW Konfig Fehler deinerseits war (vermutlich) oder was auch immer kann man ob der spärlichen Infos oben leider nicht sagen.
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 09:15:13 (UTC)
Goto Top
AQUI! Willkommen zurück! face-smile
Member: aqui
aqui May 12, 2021 updated at 10:47:28 (UTC)
Goto Top
Also...dann zieh dich warm an und löse das. Jetzt aber richtig !!! 😉
Du schreibst ja deine Sophos arbeiten im HA Cluster. Eine Layer 2 VLAN Lösung sähe so aus:
fw-ha1

Bei einem FW Cluster (Redundanz) wäre es aber designtechnisch völlig sinnfrei dann nicht auch eine (Core) Switch Redundanz zu haben:
fw-ha2
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 09:26:50 (UTC)
Goto Top
Zitat von @aqui:

Also...dann zieh dich warm an und löse das. Jetzt aber richtig !!! 😉

Mach ich ja! Aber du hast auch nur einen Teil richtig verstanden :D Ich konnte den einen Client nur erreichen nachdem ich mir die IP im 10er Netz gegeben habe, weil das ein Testclient ist. Die anderen in diesem Netz natürlich nicht face-wink
Member: NordicMike
NordicMike May 12, 2021 at 09:34:38 (UTC)
Goto Top
Ich bin davon ausgegangen, dass er ihm klar ist, dass er zwei Subnetze über ein Netzwerk führt.
Für die Funktionsprüfung sollte es jedoch klappen.

Wie ist denn dein DHCP eingestellt? Hört er auf beide Schnittstellen? Hast du zwei Subnetze, also für jede Schnittstelle ein DHCP Bereich?
Bedenke, wenn du dann beide Subnetze zusammen am Switch hast, dass sich auch vorhandene DHCP CLients ändern können, je nach dem von welchem DHCP Bereich dann eine IP Nummer kommt.

Welche Standardgateway haben all deine Clients und Testclients?
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 09:40:38 (UTC)
Goto Top
Hey Mike,

passt schon so alles. Kein DHCP im 10er Netz eingestellt und soll auch nicht. Es gibt also keine DHCP Clients in diesem Netz.

Gateway für "normale" Clients ist die 192.168.0.20
Member: NordicMike
NordicMike May 12, 2021 at 09:55:29 (UTC)
Goto Top
Ist die 192.168.0.20 die IP Nummer der eth0 Schnittstelle am Sophos und hat diese auch zwei Firewallregeln?

Eine ins 10er Netz und
eine aus dem 10er Netz zurück ins 192er Netz?
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 11:04:34 (UTC)
Goto Top
Genau!
Member: Lochkartenstanzer
Lochkartenstanzer May 12, 2021 updated at 11:50:16 (UTC)
Goto Top
Welcome Back Kollege aqui.

Dir ist mindestens ein Bier sicher beim Forumstreffen.

lks
Member: em-pie
em-pie May 12, 2021 at 11:45:49 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben face-big-smile
Member: Lochkartenstanzer
Lochkartenstanzer May 12, 2021 at 11:50:38 (UTC)
Goto Top
Zitat von @em-pie:

Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben face-big-smile

Kann er ja trotzdem machen. face-smile
Member: NordicMike
NordicMike May 12, 2021 updated at 12:05:12 (UTC)
Goto Top
Siehst du mit einem tcpdump, dass die Anfrage beim Sophos:

1) über eth0 rein kommt und
2) über eth4 raus geht?

Siehst du auch die Antwort
3) bei eth4 rein kommen und
4) bei eth0 wieder raus gehen?

Ich meine wirklich einen tcpdump über die Shell, nicht die Firewall Protokolle...
Member: Ex0r2k16
Ex0r2k16 May 12, 2021 at 12:26:33 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @em-pie:

Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben face-big-smile

Kann er ja trotzdem machen. face-smile

Ich dachte auch erst ich seh nicht richtig! Ich wusste auch von nix. Hab ich Ihn etwa mit dem Thread wieder aufgeschreckt? :D
Member: Lochkartenstanzer
Lochkartenstanzer May 12, 2021 at 12:29:52 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Zitat von @Lochkartenstanzer:

Zitat von @em-pie:

Zitat von @Lochkartenstanzer:

Welcome Back Kollege aqui.
Full ACK face-smile

Dir istindestens ein Bier sicher beim Forumstreffen.

lks
Ich dachte, für den Herzkasper, den er uns allen beschert hat, muss er ne Kiste ausgeben face-big-smile

Kann er ja trotzdem machen. face-smile

Ich dachte auch erst ich seh nicht richtig! Ich wusste auch von nix. Hab ich Ihn etwa mit dem Thread wieder aufgeschreckt? :D

Jetz verschrecke den Hasen bloß wieder nicht. Sonst kommt Unbill über Dein Haupt. face-smile

lks
Member: LordGurke
LordGurke May 12, 2021 at 18:30:30 (UTC)
Goto Top
Als Nachtrag dazu:

Zitat von @Ex0r2k16:
Routenverfolgung zu 10.1.1.166 über maximal 30 Hops

1 <1 ms <1 ms <1 ms fw01.XXX.de [192.168.0.20]
2 fw01.XXX.de [192.168.0.20] meldet: Zielhost nicht erreichbar.

Ping-Fehlermeldungen und was sie bedeuten
Erste Überschrift, zweiter Absatz.
Fehlermeldungen, die man bekommt, sind immer hilfreich face-wink

Deine Firewall bekommt keine ARP-Auflösung hin. Paketfilterregeln sind also definitiv nicht das Problem.