Hi,
kurze Information: Ich brauche aktuell weitaus länger zum Antworten (Haus Kernsanierung und Tochter wird erwartet).
Also nicht wundern, wenn ich nicht antworten sollte....
Ich sage dennoch schon jetzt: Dickes Danke! 
Beiträge von pschaumburg
-
-
Moin!
Das dürfte vermutlich etwas komplizierter sein, ja^^
Ich versuche es mal....Ich habe in meinem Heimnetz auf meinem ESXi virtualisiert beide Systeme am Laufen:
- eine Ubuntu VM
-- 1 virtuelles Netzwerkinterface: 10.0.16.208
- die Sophos UTM
-- virtuelles Netzwerkinterface #1: 10.0.16.61
-- virtuelles Netzwerkinterface #2: 10.0.16.71
Gateway für beide: 10.0.16.1 (das ist meine Ubiquiti Dream Machine Pro, die die 10.0.11.1 hat).
Alle IPs lassen sich gegenseitig ohne packet loss anpingen.
------
Zu meiner Aussage: Die Sophos UTM ist auf beiden Seiten virtualisiert. Das RED-Interface (egal auf welcher Seite) wird in dem Sinne "manuell" im Webinterface angelegt. Bei der Auswahl der Hardware wählen wir kein "echtes" Interface aus, sondern den RED-Tunnel. Dieser ist demnach für mich rein virtuell. Wie das bei einer Hardware Appliance wiederum aussieht, kann ich nicht sagen.
-
Guten Morgen,
Deine Angaben zu den Netzwerksettings sind korrekt.
Ich habe mir eine Ubuntu VM aufgesetzt, die eine IP in der 10.0.16.0/24 hat und den ICMP request gegen die 172.27.29.3 laufen lassen. Es kommt nichts zurück. Auch in meiner Netzwerk Clientübersicht taucht der Client als solches gar nicht erst auf.
Frage ist natürlich: Sollte er das überhaupt, weil er rein virtuell ist und als "Hardware" das RED Interface hat und somit nur innerhalb der Sophos existiert?
Gruß
Patrick
-
Bevor ich es vergesse, auch wenn ich einen Doppelpost habe:
Ich habe unter Static Routes noch folgendes aktiv:
*netcup
Wobei Network 10.0.16.0/24
und
Gateway 172.27.29.3 (das RED-Interface zu Hause)
is.
-
Hey,
so...ich habe es nun noch einmal im Detail ausgetestet und habe erneut ein paar unverständliche Dinge:
*netcup
- NAT Rule angelegt:
Wobei
- Rule Type DNAT ist (möchte die Source IPs auch gerne am Zielsystem sehen und nicht nur das Gateway, sonst würde ich Full-NAT wählen)
- Using Service auf Any steht anstatt, dass ich da einzelne Dienste erlauben kann (gebe ich einen speziellen TCP destination port an und lasse den source port auf alle stehen, geht kein Traffic durch den RED Tunnel - Ist das normal?)
- Going To meine Additional Address ist, welche auf dem Interface #1 liegt
- Change the destination to mein RED-Interface zu Hause ist
Bei der Firewall in netcup gibt es dann folgende Ausgabe:
Es wird der Traffic also schonmal in den Tunnel geroutet. Die 172.27.29.3 ist dabei mein RED-Interface zu Hause.
------------
*Home
Ich glaube, hier kommt der große Fehler meinerseits (das ganze doppelte NAT etc. sind noch nie meine Stärke gewesen
)- Rule Type: DNAT
- Using service: TCP Port 12345 (das ist immer mein Test)
- Change destination to: IP Host 10.0.16.208, welcher einen nginx am Laufen hat und intern definitiv funktioniert
- And the service to: TCP Port 80
- Automatic Firewall Rule
Das Ergebnis ist, dass innerhalb des Firewall Logs nichts mehr über die Anfrage ankommt. Deaktiviere ich die NAT Rule, dann erscheint mir die Anfrage durch den Tunnel als DROP, weil er keine Firewall Rule auf die 172.27.29.3 freigegeben hat.
Irgendetwas fehlt mir hier, nur weiß ich nicht was.
Gruß
Patrick
-
Nur der ICMP. Ich gehe die nächsten Schritte mit DNAT usw. noch einmal sicherheitshalber durch und gebe Bescheid, ob die Anfragen nun laufen
(Sorry für die verwirrende Antwort^^)
-
Hi Lars,
das ICMP Setting war es vermutlich. Jetzt funktioniert der ICMP request jedenfalls einwandfrei von beiden Seiten aus (Auch wiederholend).
Gruß
Patrick
-
Hallo ihr beiden,
ich versuche mal auf alle Fragen zu antworten:
Zu frank_m:
1. Es sind Details verborgen: Das habe ich mir schon fast gedacht (Hatte mich schon über ein paar Punkte und unterschiedlichen Ansätze gewundert gehabt und dementsprechend freue ich mich, dass das jetzt noch einmal zur Sprache kommt)
2. Warum möchte ich den gesamten Traffic tunneln?
-> Mein Wunsch bzw. Überlegung ist es, dass der gesamte Traffic (natürlich nur die Ports usw., den ich in der Sophos bei netcup freigegeben habe) bei mir ankommt. Das möchte ich aber nur an einer einzigen Stelle machen.....und gerade jetzt kommts mir in den Kopf: Eigentlich blöd, weil ich es dann trotzdem zwei Mal einstellen muss
Also ignorieren wir den Fall mal^^3. Was möchte ich erreichen?
-> Ich möchte diverse DNS-Einträge auf die IP legen. Je nach Eintrag werden ggf. andere Ports und andere IPs innerhalb meines Heimnetzes angesprochen.
Es sollen am Ende Dinge wie ein Confluence, GitLab, nginx, Time series Datenbanken, Grafane usw. erreichbar gemacht werden.
4. VLAN: Ich kann es dir nicht pauschal beantworten, weil es schon zu lange her ist
Zu Alfy:
Ich hatte den Beitrag abgesendet und mir direkt gedacht: Irgendwas fehlt, aber ich weiß auch nicht, wo ich hätte anfangen sollen^^
Zu 1.: Ja, die RED-Verbindung zwischen den Sophos ist aufgebaut (netcup ist RED Server und Home ist RED Client) - der grüne Haken ist unter RED Management vorhanden und nicht rot.
Zu 2.+3.: Ich habe auf beiden Firewalls je ein Ethernet Interface erstellt
-> Hier ist die Frage zum Verständnis: Ich kann jede x-beliebige IP Adresse nehmen. die nicht innerhalb meiner existierenden IP Range liegen, weil meine anderen Interfaces dazu benutzt werden, richtig?
Habe da folgendes:
*netcup
- Interface #1: Public IP bei netcup und als Hardware eth0 (mit default Gateway aus netcup heraus)
- Zusätzliche Adressen: 2. Public IP auf Interface #1
- Interface #2: 172.27.29.2/24 und als Hardware reds1 (mein RED Interface; kein default Gateway)
*Home
- Interface #1: 10.0.16.61/24 mit default Gateway aktiviert
- Interface #2: 10.0.16.71/24 mit default Gateway aktiviert (dadurch ist das Uplink Balancing automatisch aktiviert worden)
- Interface #3: 172.27.29.3/24 und als Hardware redc1 (mein RED Interface; default Gateway ist 172.27.29.2)
Generell nutze ich intern für mein Netzwerk diverse Subnetze im die 10.0.0.0/8er Netz und die 172.16.0.0/12 wird nicht in meinem Netzwerk genutzt und ist unbekannt.
Zu 4.:
- Von der UTM Home auf 172.27.29.3 (netcup red interface)-> 100% packet loss (was ja richtig sein müsste, weil die Home doch nur Client ist, oder?)
- Von der UTM netcup auf 172.27.29.2 (Home interface) -> ICMP funktioniert
-
Hallo zusammen,
steinigt mich nicht, aber das ist heute mein erster Eintrag.
Ich habe bereits sehr stark das Thema zu IPv6 und IPv4 bei DG nachverfolgt. Leider habe auch ich das Problem, dass ich eine statische IPv4 benötige.
Dazu habe ich bereits folgende Beiträge mir angeschaut und gefunden:
-> Die Lösung von Alfy gefällt mir dabei sehr gut
- https://benjaminradan.de/oeffentliche-i…se-trotz-cgnat/
-> Habe ich als Möglichkeit versucht umzusetzen, bin jedoch gescheitert
- https://www.busche.org/index.php/2017…-utm-ueber-red/
-> Ist meine bevorzugte Weise, da ich dann das NAT vernachlässigen kann und nur an einer Stelle zentral eine Einstellung für eine Freigabe treffen muss anstatt an zweien
Leider hat bei mir bisher keine der Möglichkeiten funktioniert. Mal ist es an der Firewall gescheitert (trotz aktiver Einstellung und Erlauben von Any-Any-Any) , mal am RED Tunnel (down, up und keine Verbindung etc.), mal an einem "Error", der in keinem Log angezeigt wird.
-------
Folgendes Setup ist vorhanden:
*netcup*
- VPS200 - darauf eine Sophos UTM 9 installiert
- VLAN dazu gebucht
- 2. IP Adresse
*Privat*
- Virtuelle Sophos UTM 9
-------
Hat eventuell jemand ein ähnliches/gleiches Setup und kann mir da Unterstützung geben? (Gerne auch per Whatsapp/telefonat oder ähnlichem mit der Lösung dann hier im Forum)
Sobald das alles bei mir läuft, würde ich mich auch dazu bereit erklären, ein kleines HowTo zu schreiben und hier im Forum zu veröffentlichen.
Gruß
Patrick