DynDNS nach Wechsel zu DG

  • Wie schon gesagt, habe ich leider wenig Erfahrung mit einer Sophos XG. Im Fall einer Sophos UTM wird im Installationsprozess lediglich eine Warnung angezeigt, weil die VM nur über eine NIC verfügt. Die Warnung kann problemlos übersprungen werden.

    Falls dies bei der Sophos XG nicht möglich sein sollte, kannst Du dir dauerhaft kostenfrei ein 100 Mbit/s VLAN zu deinem Server bestellen. Anschließend kannst Du im netcup SCP deiner VM eine zweite NIC spendieren.

    Hier der Link zu netcup VLAN: https://www.netcup.de/bestellen/produkt.php?produkt=2284

  • Bitte im Hinterkopf behalten, dass die Erreichbarkeit der CGNAT Adressen zwischen den DG Anschlüssen keine zugesicherte Eigenschaft ist. Ich gehe zwar davon aus, dass die DG das nicht einfach so verhindern wird, denn immerhin nutzt ein DG Kooperationspartner diese Adressierbarkeit für eine auch von der DG beworbene Dienstleistung, aber wenn dieser "Trick" eines Tages doch nicht mehr funktioniert, hat man nichts in der Hand.

  • Das ist natürlich ein absolut berechtigter Einwand. Bei mir läuft das Setup seit über zwei Jahren stabil und ohne einen einzigen Wechsel der zugewiesenen CGN IP-Adresse.


    Wenn nun zu den beiden Standorten mit einem DG Anschluss noch eine virtuelle Sophos bei netcup dazu kommt, kann man zwischen den drei Firewalls ein RED Tunnel Dreieck aufbauen. Dies in Kombination mit einem dynamischen Routing (bspw. OSPF) stellt sicher, dass im Fall einer Störung des RED Tunnels im DG CGN Netz die Standorte weiterhin über einen alternativen Weg verbunden sind.

  • Wenn nun zu den beiden Standorten mit einem DG Anschluss noch eine virtuelle Sophos bei netcup dazu kommt, kann man zwischen den drei Firewalls ein RED Tunnel Dreieck aufbauen. Dies in Kombination mit einem dynamischen Routing (bspw. OSPF) stellt sicher, dass im Fall einer Störung des RED Tunnels im DG CGN Netz die Standorte weiterhin über einen alternativen Weg verbunden sind.



    Das war auch mein Gedankengang.

    Das Zubuchen des VLANS bei Netcup hat schon mal funktioniert, die XG fällt nun nicht mehr in den Failsafe Mode.

    Gehört zwar nicht zum Topic, aber habe ich auch eine Chance an das Webinterface zu kommen über das SCP um die XG zu konfigurieren?


    /edit: sieht so aus als wäre die VLAN Nic automatisch immer die zweite NIC bei Netcup. Da die XG automatisch die erste NIC als LAN NIC festsetzt und die zweite gerne als WAN hätte, scheint das ganze Szenario nicht abbildbar zu sein.

  • So, hier die versprochene Rückmeldung. Ich habe die Installation der Sophos XG getestet. Dabei musste ich feststellen, dass der Prozess wenig vergleichbar mit der Installation einer Sophos UTM ist.


    Zunächst einmal muss Dir klar sein, dass die Cloud Firewall keine klassische LAN-Seite hat (es sei denn, Du betreibst in dem Cloud VLAN einen Server). Folglich ist das Interface, das während der Installation als "LAN" bezeichnete wird, eigentlich die WAN-Seite der Firewall. Die LAN-Seite bilden später die auf der Firewall terminierenden RED-Tunnel.


    Dieses Setup lässt sich im Setup-Dialog nicht im gängigen Mitteln abbilden. Es ist möglich, dem LAN Interface die vom Provider erhaltene öffentliche IP-Adresse zu vergeben. Allerdings lässt sich für das Interface während des Setups kein Next Hop konfigurieren. Dadurch kannst Du das Web-Interface nach dem Setup nur aus dem öffentlich Subnetz des Providers erreichen.


    Nach Abschluss des Setup-Dialogs kann die IP-Konfiguration im Web-Interface belieb angepasst werden. Doch leider schafft man es nicht bis dahin ;-(


    Muss es denn unbedingt eine Sophos XG sein?

  • Ich habe das nur lokal getestet, aber es sollte auch beim VPS Hoster gehen.


    Auf der Konsole des VPS kann man sich nach der Installation der Sophos XG Firewall mit dem Passwort "admin" einloggen und dann unter "Device Management" mit "Advanced Shell" eine Kommandozeile öffnen.


    Wenn man die Netzwerkinterfaces nicht passend so zuordnen kann, dass das zweite Interface (WAN) automatisch mit Internetzugang konfiguriert wird, kann man auf der Kommandozeile manuell nachhelfen:

    Code
    1. iptables -I INPUT ! -s 127.0.0.1 -j REJECT
    2. ip addr add 300.301.302.303/21 dev Port1
    3. ip route add default via 300.301.302.1


    Der iptables-Befehl sperrt alle ankommenden Verbindungen außer vom VPS selbst, weil mit den nächsten Befehlen die LAN-Schnittstelle konfiguriert wird und damit das Webinterface aus dem Internet erreichbar würde.

    Der ip addr Befehl fügt die IP Adresse, die man vom Hoster für den VPS bekommen hat, der ersten Netzwerkschnittstelle hinzu (Port1 ist die "LAN"-Schnittstelle). "300.301.302.303/21" also entsprechend durch IP Adresse und Subnetzgröße ersetzen.

    Der ip route Befehl fügt das Default-Gateway hinzu. "300.301.302.1" durch die Adresse des Gateways ersetzen.


    Nach diesem Eingriff sollte man z.B. den Google DNS Server 8.8.8.8 anpingen können. Dann kann man mit den weiteren Schritten fortfahren:


    Per ssh macht man eine Portweiterleitung zum Webserver der Sophos XG: ssh user@jumphost -R *:65003:127.0.0.1:65003


    Anschließend ist das Webinterface unter https://jumphost:65003 erreichbar, wobei jumphost jeweils die IP-Adresse oder der DNS Name eines Hosts ist, auf dem man sich vom VPS aus per ssh mit Username und Passwort einloggen können muss. Der Jumphost muss "GatewayPorts yes" in der sshd-Konfiguration haben und auf dessen Port 65003 muss man mit einem Webbrowser zugreifen können.


    Mit dieser Portweiterleitung kann man den Rest der Installation durchführen. Wenn im Webinterface die LAN-Schnittstellenkonfiguration abgefragt wird, dann 172.16.16.16 mit Netzgröße /24 eingeben und den DHCP-Server abschalten. Die richtige Einstellung kommt erst später, wenn Port1 zum WAN-Port gemacht worden ist.


    Nach dem Reboot muss man die manuelle Netzwerkkonfiguration und die Weiterleitung wie oben einmal neu aufbauen. Sollte man eine Meldung bekommen, dass die Portweiterleitung fehlgeschlagen ist, einfach einen anderen Port als ersten Port im SSH-Befehl und in der Web-URL verwenden.


    Danach kann man im Webinterface den HTTPS Zugang über das WAN Interface einschalten (gutes Admin-Passwort setzen...), Port1 zum WAN-Port mit der richtigen Konfiguration machen und die restlichen Einstellungen vornehmen. Dauerhaft sollte man den Admin-Zugang nur über VPN erlauben.

  • Als Ergänzung zum vorherigen Beitrag: Wenn man keinen Jumphost greifbar hat, geht es auch direkter:

    Code
    1. iptables -I INPUT ! -s 127.0.0.1 -j REJECT
    2. iptables -I INPUT -s eigeneIP -j ACCEPT
    3. ip addr add 300.301.302.303/21 dev Port1
    4. ip route add default via 300.301.302.1

    Im zweiten iptables Befehl die eigene IP Adresse freigeben, von der man das Webinterface aufrufen will. Dann braucht man keine Portweiterleitung per SSH und kann das Webinterface direkt unter https://vpsip:4444/ aufrufen.

  • Vielen Dank, dies verdient eigentlich ein dediziertes How-To! Mega!


    Die Einrichtung hat funktioniert und die VPS XG baut den RED Tunnel mit SITE A erfolgreich auf, Pings der Gateways gehen auch durch.

    SITE B macht noch ein paar Probleme, was mir sehr ungewöhnlich erscheint.


    Der RED Tunnel wird aufgebaut (VPS XG ist Server, SITE B XG ist Client), jedoch können sich die RED Gateways nicht gegenseitig anpingen. Die LAN to LAN Firewall Allow Policy (wird später noch etwas feiner definiert) ist natürlich vorhanden.


    Um die VPS auszuschließen, habe ich mal einen RED Tunnel von SITE B (Server) zu SITE A (Client) gemacht. Das gleiche Problem, also scheint es an SITE B zu liegen, nur tappe ich irgendwie im dunkeln. Kann es am Provider liegen (noch Telekom)?


    SITE A die problemlos funktioniert ist bereits mit Deutsche Glasfaser unterwegs.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden