Telekom CompanyConnect mit 27er-Netzwerk an Sophos UTM

Bevor wir ins Eingemachte gehen nur zur mal Sicherhei,t damit wir hier alles das gleiche Netzwerk Design vor Augen haben was so aussehen müsste wenn man deiner Beschreibung folgt:


Dazu mehrere Fragen die du nicht beantwortet hast:

• Arbeitet das Firewall Cluster in einem Active/Active Design oder Active/Standby ?
• Sind die sog. "Additional IPs" Secondary IP Adressen oder eigenständige Alias IP Adressen die die FW in die DMZ forwardet ?
• Wichtig: Wie routen die Ciscos eurer öffentliches /27er Subnetz ins Internet ?? Geht das mit Policy Routing und Active Active oder nur mit einem einfachen Active Standby Routing (HSRP) das z.B nur der 100Mbit Router aktiv ist und der 34Mbit nur Backup ?
• Welche Gateway IP hat das Firewall Cluster definiert für den Internet Zugriff ?

Gerade die 3te und die daraus resultierende 4te Frage ist essentiell wichtig für die Erreichbarkeit eures öffentlichen /27er Subnetzes. Leider gehst du darauf mit keinem Wort ein was eine zielführende Hilde fast unmöglich macht.

Nur soviel was die 5400er Switches anbetrifft:
clear ip arp und clear arp-cache sind natürlich Schwachsinn (Sorry) und nützen rein gar nichts, denn sie wirken nur auf Layer 3 Traffic.
Das VLAN 666 darf natürlich NIEMALS eine gültige IP Adresse (vlan Interface) auf dem Switch konfiguriert haben!!
Das wäre tödlich, denn damit läge dieses Subnetz dann völlig ungeschützt direkt an der lokalen Netzwerkstrukur wo es auch gar nichts zu suchen hat. Es MUSS an den Firewalls enden.
Man kann nur dringenst hoffen das das nicht der Fall ist ?!

Wenn also das VLAN 666 richtig konfiguriert ist und ein reines Layer 2 VLAN ist auf dem Switch, ist es damit auch vollkommen isoliert was ja auch zwingend der Fall sein soll.
ARP usw. spielt hier dann keinerlei Rolle mehr...logisch ohne L3. Folglich sind dann auch die Kommandos unsinnig weil der Switch mit dem Layer 3 Forwarding ins Internet rein gar nichts mehr zu tun hat.
Das ist auch genau richtig so, denn das sollen ja logischerweise ausnahmslos die beiden Firewalls machen !!
Deshalb die Frage oben zum Routing der beiden Ciscos und wie sie das Routing und insbesondere die Route Distribution beider WAN Links in eurem öffentliche Subnetz für dortige Endgeräte realisieren !
Da liegt der eigentliche Grund des Fehlverhaltens.

Ad 2.)
Und die antworten dann auch ganz normal auf ICMP Echo Requests (Ping) von außen sofern das in der Firewall erlaubt ist ??
Hier solltest du erstmal mit einem Wireshark das mitsniffern ob ICMP echos ankommen und auch ob die Firewall Adressen darauf antworten.
OK, perfekt.
Na tolle Wurst...ihr bezahlt für zusätzliche 34Mbit und könnt sie gar nicht nutzen. Solche Steinzeit Konfigs drückt man nur noch Kunden auf die keine Ahnung haben. Sorry aber das sollte man in ein intelligenteres Balancing ändern. Sind 3 Konfig Zeilen im Cisco...
Aber egal... völlig andere Baustelle und nicht das Thema hier, vereinfacht dann das Troubleshooting.
Die dann aber ja wohl in eurem eigenen Subnetz liegt, richtig ?? also habt ihr ein 217.x.y.0 /27 Netz und die Telekom Gateway IP ist vermutlich die .1 oder die .30, richtig ?? Die Telekom macht es eigentlich immer richtig die Gateway IPs nach ganz oben oder ganz unten zu setzen ganz im Gegensatz zu eurer .22 die mittendrin ist was man nie macht...aber egal Kosmetik...
Sorry, hier ist oben ein Fehler in der Zeichnung !!
Richtig ist natürlich die Host IP Range von .1 bis .30 in einem /27er Prefix.
Ja, die 7200er arbeiten in einem popeligen HSRP Design und das ist die VIP. (Virtual IP) die immer auf den aktiven Router springt je nach Zustand der WAN Leitungen.
Ja, davon kannst du auch ausgehen, denn die routen das gesamte /27er Subnetz.
Ein einfacher Traceroute von einem externen Gerät sollte dir das auch zeigen.

Als ersten wichtigen Test solltest du also am 5400er mal einen Mirror Port einrichten und den Port der aktiven Firewall mitsniffern mit einem Wireshark.
Dann sendets du von außen einen Ping (ICMP Echo Request) erstmal auf die physische IP der aktiven Firewall und checkst ob diese ICMP Pakete über den 7200 dort eingehen.
Das wiederholst du dann für die "Additional" Adressen in eurem Subnetz.
Siehst du diese von außen eingehenden ICMP Pakete in deinem Wireshark Trace, hast du dann erstmal absolute Gewissheit das die DTAG alles auch wirklich richtig routet.
Eigentlich kannst du das auch schon sehen wenn du direkt von der Firewall einmal die 8.8.8.8 anpingst oder traceroutest und als Absender IP deren eth1 Interface IP nimmst. Kommt ein Echo Reply ist das Routing wasserdicht OK. Kommt kein, dann nicht.
Ggf. musst du dafür natürlich mal temporär eingehend ICMP zulassen auf dem FW eth1 Interface.
Das kannst du ja auch ganz einfach ohne großen Aufwand selber mal testen !!
Klemm einen Laptop in das VLAN 666, gib dem eine statische freie IP aus dem 217.x.y.0 /27 Netz (idealerweise eine der "Additional IPs"), Gateway auf die Cisco VIP und dann pingst und traceroutest du zuerst mal die Cisco VIP und dann mal die 8.8.8.8.

Wenn das alles klappt ist der böse Buhman die Sophos Gurke bzw. deren Fehlkonfiguration....was so oder so zu vermuten ist.

Da haben die DTAG Kollegen natürlich Recht. Das kann man immer via Policy Based Routing machen. Das sollten eure UTM Gurken ja hoffentlich können wenn sie nicht gerade wieder einen Bug haben
Cisco Router 2 Gateways für verschiedene Clients
Aber wie du richtig bemerkst ist das erstmal ne ganz andere Baustelle....
Du meinst das VLAN 666, richtig ??
Einfach ein show ip int brief. Dort darf es kein konfiguriertes IP vlan Interface 666 geben. Oder auch show run auf dem Switch
In der gesamten Switch Konfig darf KEIN Kommando interface vlan 666 zu sehen sein !!
Du kannst auch mit Angry IP Scanner oder Fing usw. mal einen IP Scan im VLAN 666 machen um die dort aktiven IP Adressen zu sehen.
Mach dich doch wenigstens mal mit den allernötigsten Cisco CLI Grundlagen schlau !!:
http://www.coufal.info/cisco_ios/index.shtml
"?"und die <TAB> Taste sind beim CLI immer deine besten Freunde

OK, das 80er Netz interessiert ja aber jetzt gar nicht, da sich dein Szenario ja komplett dann im 212er Netz abspielt wenn man dich da jetzt richtig versteht.
Das 80er Netz kann man also erstmal vollständig ignorieren, denn es ist ja laut o.a. Zeichnung gar nicht involviert in das Design.

Die gültigen Host Adressen im 666er VLAN liegen dann im Bereich von .33 bis .62.
Das war in so fern verwirrend weil du oben gesagt hattest (Zitat) Als GW für die FWs haben wir von der DTAG eine 217. er Adresse bekommen und (Zitat) eine Public-IP Range mit einem X.X.X.0/27 Netz.
Damit hast du uns hier natürlich bewusst falsche Adressen genannt und uns in die Irre geführt, denn das 0er Netz hat natürlich eine ganz andere IP Hostadressierung wie das bei dir verwendete .32 /27 Netzwerk. Aber egal, damit ist das ja dann sicher geklärt.
Das ist auch richtig, denn eine HSRP VIP ist nicht pingbar. Sinnvoll ping man hier natürlich die beiden physischen Adressen der Router .50 und .51. Sollte man als Netzwerker wissen
Traceroute dann auch mit -n Parameter um das reverse Lookup zu vermeiden. Ping und Traceroute sollten nicht aus einem internen Netz kommen sondern wirklich von einem externen.
Die beiden physischen IPs sollten sich in jedem Falle pingen lassen. Bei den anderen IPs im 666er VLAN musst du entweder einen Mirror Port benutzen oder einen Testrechner da reinhängen.
Letzteres ist vermutlich für dich jetzt erstmal einfacher !
Nimm also einen Raspberry Pi aus der Bastelkiste oder einen einfachen Laptop. Da sollte Wireshark drauf sein und der Rechner sollte eine statische freie IP aus dem 217... /27 IP Netz haben Gateway erstmal auf eins der physischen Routerports .50 oder .51.
Idealerweise hat der Testrechner dann eine der ominösen "Additional IPs" so das du das gleich Live testen kannst. Diese IP muss dann aber auf der Firewall deaktiviert sein. Egal wie du es machst der Testrechner sollte pingbar sein.
Beachte das wenn es Winblows ist du dann ICMP in der Firewall aktivieren musst:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Jetzt machst du von extern einen Ping auf diesen Testrechner bzw. seine IP während der Wireshark rennt.
Wenn die IP ankommt und der Testrechner antwortet dann stimmt alles wasserdicht mit dem DTAG Routing und der IP Adressierung.
Das solltest du mit BEIDEN physischen Gateways .50 und .51 verifizieren !!
Idealerweise mit einem ICMP Capture Filter im Wireshark, damit der nicht auch den gesamten Resttraffic mitschneidet und vollgemüllt wird, sondern nur die ICMP Pings anzeigt:

Alternativ kannst du einen Mirror Port (Spiegelport) am Cisco Switch nutzen. und den Port wo die aktive Firewall draufhängt ganz einfach auf einen freien Port spiegeln an den du dann genau wie oben den Wireshark Rechner klemmst. Wie das genau bei Cisco geht steht hier:
http://www.nwlab.net/tutorials/cisco/port-mirroring.html
https://supportforums.cisco.com/document/13891/how-configure-port-monito ...
usw.
Als Cisco Unkundiger solltest du ggf. dann vielleicht erstmal die einfachere Variante mit einem Testrechner in VLAN 666 nehmen.
Mit dem Mirrorport hast du nur den Vorteil das du gleich den Live Traffic der Firewall siehst
Nein, natürlich aus dem 217er. Das 80er spielt hier routingtechnisch doch gar keine Rolle.
Und niemals den Google DNS verwenden sondern immer den des Providers !

Das ist der wichtigste Test den du machen solltest.
Wenn der so wie geschildert funktioniert weisst du das routingtechnisch mit dem DTAG Anschluss alles sauber rennt und der Fehler dann einzig nur noch auf den UTM Gurken liegen kann !!

Wieso jetzt wieder das 212er??? Oben redest du doch von 217er... Ja was denn nun ??

Das ist auch technisch dann vollkommen unmöglich. Jeder Dummie weiss ja das in einem Netzwerk Endgeräte niemals kommunizieren können deren Hostadressen in vollkommen unterschiedlichen IP Netzen liegen.
Wie sollten also Endgeräte im 217.. /27er IP Netz jemals mit Endgeräten kommunizieren die in einem 80... /27 IP Netz konfiguriert sind wenn du auf dem selbe Draht arbeiten. Das kann ja niemals funktionieren und weiss jeder IT Azubi im ersten Lehrjahr und lernt man in der ersten Klasse IP Routing Grundlagen
Mal ganz davon abgesehen das es gegen den TCP/IP Standard verstößt wenn man so ein unsinniges Design umsetzt.
Da ist es also nicht weiter verwunderlich das so ein Konstrukt niemals laufen kann.
Das solltest du eigentlich auch selber wissen, denn hast du schon mal einen Rechner mit einer IP 10.1.1.1 /24 an einen Switch gesteckt mit einem Rechner der 192.168.1.1 /24 konfiguriert hat.
Ohne einen Router werden die sich niemals erreichen können.

Hier geht also schon mal was ganz grundsätzlich falsch bei dir bzw. dem wirren IP Adressdesign !!!
Von welchen IP Adressen reden wir hier also im WAN zwischen FW und Cisco 7200.
Entweder hast du also oben Unsinn gemalt bei der IP Adressierung oder hier einen fatalen Designfehler gemacht. 2 IP Netze können niemals und sollten auch niemals auf einem Draht (Layer 2 Domain) koexistieren.
Hoffen wir also mal das du dich da bei der Zeichnung schlicht und einfach nur vertan hast oder den Router vergessen hast ! 217er und 80er Netz müssten in unterschiedlichen VLANs liegen also immer vollkommen getrennte L2 Domains haben.
Igitt...ein ziemlicher Rückschritt sich dann auch noch HP Schrott ins Haus zu holen. Das macht das gruselige IP Design oben auch nicht besser.
Ein sehr weiser und guter Schritt !! Es erspart dir gruselige HPs
Wenn du mal schilderst was du vorhast, dann können wir mit dir hier eine grundlegende Basiskonfiguration erstellen. Mit 3 oder 4 popeligen VLANs ist das sehr schnell gemacht.
Scheinbar aber dann eher von eurer Seite wenn das oben Geschilderte tatsächlich stimmen sollte ? (Hoffentlich nicht ?!)

Moin,
kann es sein, dass die genannten IP-Adresse 217.x.x.x nur für den Weg DTAG Router <-> Internet gedacht sind und in deinem 80.x die Cisco Router ebenfalls eine IP-Adresse haben?! Ansonsten hat Kollege @aqui bezüglich des Routing vollkommen recht.


Gruß,
Dani

Das wäre eigentlich unmöglich, denn dann hätte die DTAG dem Kunden eine fehlerhafte Konfig zur Verfügung gestellt. Sehr sehr unrealistisch sowas zu glauben, dann das sind fest vorgegebene Standardkonfigs bei denen. Secondary IPs kommen da nicht vor.
Die DTAG liefert niemals Router aus die mit Secondary IP Adressen auf dem Cisco konfiguriert sind. Dafür gibt es 3 triftige Gründe:

• Damit erzwingt man auf dem Cisco sog. Process Switching also das Routen über die CPU was zu massiven Performance Einbußen führt
• ICMP Frames können nur immer von den primary IP Adressen versendet werden weil der TCP/IP Standard eben so ein IP Design zweier Netze innerhalb einer L2 Collision Domain nicht vorsieht. Damit ist eine ICMP Ablaufsteuerung innerhalb der secondary IPs nicht mehr möglich
• Letzteres verhindert dann ein sauberes Routing der IP Segmente.

Fazit: Nie und nimmer nicht hat die Telekom das so konfiguriert !!!
Lass dir als Endkunde von der Business Hotline einen Konfig Auszug NUR einzig eurer lokalen LAN Interfaces zeigen, das beweist das dann sofort. Auf diese Information habt ihr einen vertraglichen Anspruch, denn das ist die Übergabe Schnittstelle !
Was das o.a. Design dann absolut bestätigt !!!
Das heisst das 80er Subnetz wird dann via den 217er Adressen zu euch geroutet !
Das macht Sinn und ist durchgängige Praxis, zeigt dann aber auch gleichzeitig das dein WAN Design dann absolut falsch oben ist !!
Da ihr dann zwei öffentliche Subnetze habt musst du dich erstmal entscheiden WO du denn diese Netze an die Firewall oder einen separaten Router bringen willst !!!
Der 5400er fällt aus, denn dann wären diese öffentlichen Netze nicht mehr isoliert was dann fatal wäre. Hier dürften diese Segmente wenn dann nur als reine Layer 2 Netze anliegen bzw. konfiguriert sein.
Bleiben also nur die UTM Gurken !!

Ein sauber geroutetes Design dazu sähe dann z.B. so aus:


Das entspräche dann auch einem klassischen Standarddesign, indem das 217er Netz das reine Transportnetz ist und das 80er Netz vermutlich die angedachte DMZ. Aber das können wir hier nur frei raten, da wir eure Planungen und Intentionen zum Erwerb dieser Struktur hier gar nicht kennen bzw. du keine Information dazu lieferst.

Den Telekomikern müsst ihr dann aber auch mitteilen das sie das euch zugeteilte 80er Subnetz dann über die 217.x.y.22 (FW Cluster) erreichen !
Diese Route muss dann zwingend statisch in den 7200ern definiert sein oder die DTAG hat euch vorgegeben an welche 217er IP Adresse sie dieses Netz routet ! Das sollte dann in deinen DTAG Unterlagen sein !
Wie gesagt wenn das 80er Netz nicht irgendwie anders auf den 7200 liegt und euch nur frei zugeteilt wurde.
Ist natürlich laienhafter Unsinn, denn ihr bezahlt als Vertragskunden dafür also hab ihr auch einen rechtlichen Anspruch darauf zu erfahren WIE diese Netze am Übergabepunkt definiert sind.
Anders wär das doch für euch gar nicht umzusetzen IP technisch und ein Provider kann ja einem Vertragskunden kaum vorschreiben wie der intern seine eigenen IP Netze routet oder sichert.
Vergiss den Unsinn also und mach dich kundig statt zu raten !

Das ist ja unlogisch, denn jeder Netzwerker weiss das zu einer IP Adresse auch immer ein Netzwerk gehört, denn wie sollte das sonst funktionieren ? Man kann nur hoffen das dir die einfachen Grundlagen des IP Adressing bekannt sind ??

Wenn ihr also einzig nur eine 217er Gateway IP bekommen hat dann muss sich dahinter ja mindestens ein IP Netzwerk mit minimal 3 möglichen IP Host Adressen befinden sofern in dem Netzwerk 2 Provider Router aktiv sind.
Host 1 = Provider Router 1
Host 2 = Provider Router 2
Host 3 = Kundenrouter
Ein /30er Prefix reicht hier also de facto nicht ! (OK bei Cisco mit konfiguriertem ip subnet zero würde das gerade auch noch gehen.)
Minimal wäre also ein /29 erforderlich mit 6 möglichen Hostadressen. Wenn du dein Firewall Cluster und ggf. noch Virtuelle Gateway IPs in diesem Netzwerk abbilden musst.
Das ist ja nun mal Fakt und erste Klasse IP Adressierung was der Azubi im ersten Lehrjahr lernt.
Du kannst also wohl kaum eine 217er Gateway IP in einem 80er IP Subnetz bekommen.
Wie sollte das bitte sehr gehen ohne jetzt wilde technische Klimmzüge zu beachten. IP technisch ist das vollkommen unmöglich.

Vor dem Hintergrund dieser einfachen und banalen IP Adressierungs Grundlagen ist allein deine Konfig von eth1 (sorry) barer Unsinn und zeigt eher schwere Defizite im Wissen von IP Adressen !
Aus IP Sicht ist diese Adressierung nicht möglich.
Das weisst du aber vermutlich selber (hoffentlich), denn das sind ja nun mal die banalsten Grundregeln im IP die man in einem Administrator Forum nun nicht nochmal durchkauen muss.
Ab 1:03 beginnt der für dich zum Verständnis deiner Fehler wichtige Teil !!!

Bevor du das nicht wirklich verinnerlicht und verstanden hast und dir damit die falsche und unsinnige eth1 Adressierung bewusst ist müssen wir hier gar nicht erst weiter machen !!
Kein großes Wunder also das dein IP Routing im völligen Chaos endet.

Kläre also als Allererstes auch wasserdicht WIE die Adressierung der beiden IP Subnetze an den Ports der DTAG Router realisiert ist.
Das ist der Schlüssel zum richtigen IP Design der Restkomponenten. Binsenweisheiten die man eigentlich schon mit dem gesunden Menschenverstand erkennt. Sorry für die harten Worte das ist hier nicht bös' gemeint aber die Fakten oben zeigen das du dir da besser dringend jemanden an die Hand nehmen solltest der wirklich weiss was TCP/IP, IP Adressen und Routing sind.

OK, wenns mit dem Grunlagen Wissen zum Layer 3 so bestellt ist können wir ja weiter machen...
Fakt ist aber ja, und das weisst du als Netzwerker ja auch dann selber, das du niemals soe eine unsinnige IP Interface Konfig machen kannst wie oben am eth1 Port. Das das IP technischer Quatsch ist leichtet spätestens nach dem YouTube Video ein.

Das deine beiden Subnetze über das 217er Transfer Netz geroutet werden ist durchaus normal und üblich.
Rein aus Layer 3 Sicht sähe das dann so aus:


Ein simples Standardszenario bei Nutzern die ein oder mehrere Subnetze vom Provider bekommen.
Dir ist aber als Netzwerker ja auch vollkommen klar, das dann ein Router zwischen diesen IP Netzen kommunizieren muss. Ob das letztlich jetzt ein Router oder eine Firewall wie bei dir ist spielt routingtechnisch erstmal keinerlei Rolle.
Wenn das Design aber so aussieht (und das ist sehr wahrscheinlich), dann bekommst du von der DTAG auch eine IP Adresse genannt die dein Router haben muss.
Das ist auch klar, denn der Provider muss ja so das Routing auf die Subnetze vorgeben und dazu braucht er zwingend eine feste IP Adresse. So bekommst du also in der Regel vom Provider das Subnetz genannt, seine vergebenen IP Adressen, deine zu verwendende Gateway IP Adresse und die DNS Server.
In der o.a. Beispielskizze ist es jetzt angenommen mal die .22
Meist liegen diese IP Adressen aber immer am oberen oder unteren Rand der gültigen Host Adressen.
Damit ist dann so ein grundlegendes Design wie oben fehlerfrei abzubilden.
Fakt ist auch das dir das scheinbar nicht bekannt ist oder du hast das nicht hinterfragt oder die Provider Unterlagen konsultiert.
Die DTAG geht mit ziemlicher Sicherheit von so einem Design aus oder schreibt es vor.
Fazit:
Konsultiere deren Hotline oder Kundenbetreuer und frage das unter Zuhilfenahme der Skizze und der bekannten IP Adressierung so ab.
Niemals fährt die DTAG 2 oder mehr IP Netze auf einem Draht ! Das ist auch sicher.

Passiert dem besten Netzwerker mal
Einen Layer 3 Routing Switch ???
Ein normaler L2 Switch kann ja nicht routen !
Siehst du...genau wie oben schon vermutet
Auch genau wie oben ja schon mehrfach beschrieben... Lagen wir also gar nicht mal so falsch
Dann können wir ja entspannt ins lange Wochenende
Und du hast hoffentlich deine Routing Lektion gelernt ??!! Allein deine eth Konfig zeigt das du nicht wirklich wasserdicht in dem metier bist wenn man eine vorsichtige, kollegiale Kritik angebracht ist.
Und Kunden darfst du niemals fragen. Die haben niemals eine wirkliche Ahnung schon gar nicht bei solch komplexeren Designs wie oben.
Da fragt man immer den Netzwerker auf der anderen Seite und niemand anderen. Aber auch das ist eine simple Binsenweisheit die man als Netzwerker kennt.
Immer gerne wieder...