Beiträge von 2k9

Vielen Dank, dies verdient eigentlich ein dediziertes How-To! Mega!

Die Einrichtung hat funktioniert und die VPS XG baut den RED Tunnel mit SITE A erfolgreich auf, Pings der Gateways gehen auch durch.

SITE B macht noch ein paar Probleme, was mir sehr ungewöhnlich erscheint.

Der RED Tunnel wird aufgebaut (VPS XG ist Server, SITE B XG ist Client), jedoch können sich die RED Gateways nicht gegenseitig anpingen. Die LAN to LAN Firewall Allow Policy (wird später noch etwas feiner definiert) ist natürlich vorhanden.

Um die VPS auszuschließen, habe ich mal einen RED Tunnel von SITE B (Server) zu SITE A (Client) gemacht. Das gleiche Problem, also scheint es an SITE B zu liegen, nur tappe ich irgendwie im dunkeln. Kann es am Provider liegen (noch Telekom)?

SITE A die problemlos funktioniert ist bereits mit Deutsche Glasfaser unterwegs.

Zitat von Alfy

Ich werde das Setup heute Abend testen.

Danke, bin gespannt. Mögliche Alternative wäre ein Root-Server mit Hyper-V und XG Appliance, aber ist natürlich mit mehr Kosten verbunden (und mehr benötigter Ressourcen)

Zitat von Alfy

Wenn nun zu den beiden Standorten mit einem DG Anschluss noch eine virtuelle Sophos bei netcup dazu kommt, kann man zwischen den drei Firewalls ein RED Tunnel Dreieck aufbauen. Dies in Kombination mit einem dynamischen Routing (bspw. OSPF) stellt sicher, dass im Fall einer Störung des RED Tunnels im DG CGN Netz die Standorte weiterhin über einen alternativen Weg verbunden sind.

Das war auch mein Gedankengang.

Das Zubuchen des VLANS bei Netcup hat schon mal funktioniert, die XG fällt nun nicht mehr in den Failsafe Mode.

Gehört zwar nicht zum Topic, aber habe ich auch eine Chance an das Webinterface zu kommen über das SCP um die XG zu konfigurieren?

/edit: sieht so aus als wäre die VLAN Nic automatisch immer die zweite NIC bei Netcup. Da die XG automatisch die erste NIC als LAN NIC festsetzt und die zweite gerne als WAN hätte, scheint das ganze Szenario nicht abbildbar zu sein.

Danke erstmal für eure Tipps!

Bin zwar nicht komplet Planlos, aber dann auch nicht allzu Tief in der Materie drin.

Der RED TunnelN wird sich dann vermutlich (über die CGN IPv4 der beiden DG Anschlüsse) problemlos einrichten lassen zwischen beiden Standorten.

Nun gibt es noch die Überlegung bei beiden Standorten die vDSL Leitung zu kündigen, und einen der beiden Standorte dann per Netcup Sophos Appliance erreichbar zu machen.

Voller Tatendrang habe ich bei Netcup dann das 2,95€ Paket gebucht und die Sophos XG installiert um dann festzustellen, dass die XG direkt in den Failsafe Mode fällt, da nur 1 Netzwerkadapter zur Verfügung steht bei Netcup. Hat die UTM diese Limitierung nicht?

Zitat von Alfy

natürlich erkläre ich mein Setup gerne. Es ist allerdings deutlich kompliziertes als die Einrichtung eines simplen Portmappers.

An meinem Glasfaser-Anschluss verwende ich anstelle eines normalen "Heimrouters" eine Sophos UTM Firewall. Sophos stellt diese Privatpersonen kostenfrei als Software- Appliance (bis max. 50 internen IP-Adressen) zur Verfügung.

Hallo Alfy,

ich habe deine Lösung gesehen wie du deinen DG Anschluss von Außen erreichbar gemacht hast - sehr schön umgesetzt.

Auch wir haben mittlerweile unseren DG Anschluss geschaltet bekommen, jedoch haben wir parallel dazu noch einen vDSL Anschluss im Betrieb (als Backup) wo auch noch SIP Rufnummern drüber laufen. Die Kündigung ist jedoch geplant.

Der Aufbau mit der virtuellen RED ist tatsählich auch ein gangbarer Weg für uns, ich würde dir gerne aber mal unser Szenario erklären.

eine mittelständische Firma mit 2 Standorten (lediglich 5km voneinander getrennt).

Standort A: DG 400Mbit/s + vDSL 50 (DynIP)

Standort B: DG 400Mbit/s + vDSL 100 (DynIP)

Nun ist es so, dass die Standorte (vorher zwei getrennte Firmen) miteinander fusioniert werden, an Standort B die IT minimiert wird, und die jeweiligen Benutzer über ein Site to Site VPN Arbeiten sollen. Die grundlegende IT Infrastruktur wird an Standort A verfügbar sein. Daher Standort B = Remote Standort, und Standort A = Haupt Standort.

Wir wollen den vDSL Anschluss an Standort B gerne einsparen zukünftig. Da Standort A wichtig ist, kann der vDSL Anschluss hier jedoch als Failover erhalten bleiben. Soweit der Gedanke.

Verfügbar nach Extern am Standort A: Exchange OWA, Sophos XG

Sowie eine SSL Site to Site zu Standort B.

Soweit so gut, nun zur ersten Frage.

Du hast geschrieben, dass Sophos eine direkte Kabelverbindung emuliert. Funktioniert dies auch zwischen zwei XG Appliances innerhalb des DG Netzes? Wir haben an beiden Standorten eine Sophos XG hinter dem Glasfaser Anschluss, ich konnte es leider noch nicht ausprobieren, aber beudetet das, dass sich eine S2S verbindung zwischen den beiden Standorten (und DG Anschlüssen) realisieren lässt, ohne Portmapper?

Der vDSL Anschluss an Standort A (welcher als Backup fungieren soll) kann dann für die Port-Forwards dienen. Ggf. wäre dieser auch kündbar und man könnte die Lösung mit der virtuellen RED bei netcup in Betracht ziehen.