Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Jop. Hab tcp/udp Dienste erstellt und auch alle noch einmal überprüft.

„Warcraft III is the only Blizzard Title that currently supports multiple players hosting games behind NAT. Other games are not able to do this.“

wie lege ich eine NAT Regel in Verbindung mit exposed host an? Alles was ich probiert habe funktioniert irgendwie nicht.

Wäre super wenn mir da jemand helfen könnte.

edit:
Bei anno 1800 hab ich das selbe Problem. Dieses Spiel brauch nutzt auch NAT und auch dort hab ich Probleme beim Verbinden.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mitglied seit
03.10.2016
Beiträge
219
Ort
MUC/AMS
Hallo Zusammen :)

ich hab es nun hinbekommen mit meinem VLAN , dem Unifi AP PRO , und einer SOPHOS XG die über Hyper-V läuft.

wenn interesse besteht , würde ich die tage eine kleine Anleitung verfassen mit bildern und so , gebt mir einfach feedback. :)
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.163
Ort
SN
Laut Blizzard werden aber nur folgende Ports benötigt:
Das Ding ist, die Angaben der Hersteller kannst du da in der Masse der Fälle absolut vergessen. Sinnvoller ist es dort, sich einfach das Livelog aufzumachen, auf den Client zu filtern und einfach anzuschauen, was alles geblockt ist/wird.
Dann schaut man welche IPs wo zu gehören, also dass da nicht irgend ein Hintergrunddienst auf dem PC was fabriziert, was nicht zum Spiel gehört und macht dann den Spaß einfach auf.

Games mit so PTP Multiplayer Ansätzen sind eh Sackgang hinter so einem Router. Im Heimbereich mit nem Plastebomber könnte man über UPnP nachdenken (würde ich persönlich aber nie machen) oder man schreibt halt einfach die entsprechenden Regeln.


Wo die HighPorts her kommen kann dir aber hier wohl keiner wirklich beantworten. Das klingt/sieht in erster Linie aber nach dynamischen Ports aus. Sprich dass die Anwendung sich nen Kommunikationsport mit dem Zielserver aushandelt - der dann blöderweise immer anders sein kann. Frag mal nen Admin im Microsoft Windows Umfeld nach der Portrange für RPC dynamic ports ;) Das sind irgendwo tcp 49000 bis sonstwohin, wenn man es nicht vorher festbrennt. Ähnlich schaut das hier auch aus. Entweder du machst das einfach großflächig auf, bspw. für das IP Netz 37.244.3.0/24 und 37.244.54.0/24 oder pickst dir die einzelnen IPs raus, was zu mehr Pflegeaufwand führen wird. Die Netze sind btw. im AS57976 der Blizzard Entertainment, Inc zugehörig ist. Hat also definitiv irgendwie irgendwas mit dem zu tun, was du da vor hast.
Und nicht verwechseln, das ist komplett outgoing! Das musst du logisch nicht von draußen nach innen via NAT Regel forwarden! Da geht es rein um den Traffic von deinem Client PC aus über den Router nach public, der da im Moment geblockt wird. Den Weg andersherum musst du dir wahrscheinlich zwar auch ansehen, aber bevor ich da wild Port Forwardings schalten würde, würde ich an deiner Stelle erstmal prüfen ob überhaupt was benötigt wird bzw. wenn ja, was denn angefragt/geblockt wird.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Das mit ports für die einzelnen blizzard IP Adressen aufzumachen klingt gut. Bin ich selbst nicht drauf gekommen.

Danke. Ich gebe dann später mal Feedback. ;)
 

AvantFighter

Member
Mitglied seit
04.12.2013
Beiträge
304
Ort
Der dunkle Wald
Hi,

habe ein Problem mit der Sophos UTM und WIndows 10 PCs.

Habe Webfilter aktiv im Transparrent modus und das Problem ist, das die PCs keine Windows Update herunterladen können

Im Webfilter log steht immer

2020:02:02-18:53:32 sgate httpproxy[5772]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="93.184.221.240" user="" group="" ad_domain="" statuscode="416" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (content filter action)" size="0" request="0x8c45100" url="http://au.download.windowsupdate.com/c/msdownload/update/software/uprl/2020/01/windows-kb890830-x64-v5.79_61eb38de1be8c2c209955189129c9f60edcced91.exe" referer="" error="" authtime="0" dnstime="65" aptptime="110" cattime="0" avscantime="0" fullreqtime="231652" device="0" auth="0" ua="Microsoft-Delivery-Optimization/10.0" exceptions="sandbox,content,url,ssl,mime,fileextension,size" reason="range"

Die Ausnahmen für Windows sind aber drinen

1580666221216.png


Hat jemand ein ähnliches problem oder sogar eine lösung
 
Zuletzt bearbeitet:

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.163
Ort
SN
@AvantFighter
Eine Ausnahme bei AV Scan - und das sollte laufen.
Eine Ausnahme für die Fortschrittspage wäre auch sinnvoll, überall dort, wo du Files automatisch downloaden lässt (wie bei Windows Updates), die im Zweifel klein genug sind via AV Scanner erfasst zu werden - dann bekommt dein Client nämlich nicht die Datei präsentiert sondern die Page mit dem Download Button und bricht dort dann ab.
Bei Windows Update brauchts aber offenbar eine Ausnahme für den AV Scanner - Zwischenspeichern musst du schauen ob das funktioniert, im Zweifel auch ausmachen.
 

AvantFighter

Member
Mitglied seit
04.12.2013
Beiträge
304
Ort
Der dunkle Wald
@fdsonne

Dank dir, mit dem punkt Antivirus deaktivieren, seh ich immer kritisch (da ich als Systemadministrator arbeite) und unsere großen Firewalls damit keine Probleme haben,
aber der Punkt mit Fortschrittspage hat es gebracht, die Updates laufen komplett durch.

Nur wundert es mich, das dieser Punkt diese Blockade verursacht.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Das Ding ist, die Angaben der Hersteller kannst du da in der Masse der Fälle absolut vergessen. Sinnvoller ist es dort, sich einfach das Livelog aufzumachen, auf den Client zu filtern und einfach anzuschauen, was alles geblockt ist/wird.
Dann schaut man welche IPs wo zu gehören, also dass da nicht irgend ein Hintergrunddienst auf dem PC was fabriziert, was nicht zum Spiel gehört und macht dann den Spaß einfach auf.

Games mit so PTP Multiplayer Ansätzen sind eh Sackgang hinter so einem Router. Im Heimbereich mit nem Plastebomber könnte man über UPnP nachdenken (würde ich persönlich aber nie machen) oder man schreibt halt einfach die entsprechenden Regeln.


Wo die HighPorts her kommen kann dir aber hier wohl keiner wirklich beantworten. Das klingt/sieht in erster Linie aber nach dynamischen Ports aus. Sprich dass die Anwendung sich nen Kommunikationsport mit dem Zielserver aushandelt - der dann blöderweise immer anders sein kann. Frag mal nen Admin im Microsoft Windows Umfeld nach der Portrange für RPC dynamic ports ;) Das sind irgendwo tcp 49000 bis sonstwohin, wenn man es nicht vorher festbrennt. Ähnlich schaut das hier auch aus. Entweder du machst das einfach großflächig auf, bspw. für das IP Netz 37.244.3.0/24 und 37.244.54.0/24 oder pickst dir die einzelnen IPs raus, was zu mehr Pflegeaufwand führen wird. Die Netze sind btw. im AS57976 der Blizzard Entertainment, Inc zugehörig ist. Hat also definitiv irgendwie irgendwas mit dem zu tun, was du da vor hast.
Und nicht verwechseln, das ist komplett outgoing! Das musst du logisch nicht von draußen nach innen via NAT Regel forwarden! Da geht es rein um den Traffic von deinem Client PC aus über den Router nach public, der da im Moment geblockt wird. Den Weg andersherum musst du dir wahrscheinlich zwar auch ansehen, aber bevor ich da wild Port Forwardings schalten würde, würde ich an deiner Stelle erstmal prüfen ob überhaupt was benötigt wird bzw. wenn ja, was denn angefragt/geblockt wird.
Hi,

hab jetzt folgende Regel FW erstellt:

DD25E188-E50F-4657-83FE-85DE5B3EBCC3.jpeg


Mit der hat es soweit erstmal funktioniert. Hab aber auch noch andere ips im log gesehen und konnte mich auch manchmal nicht zum Custom Game verbinden.
Bin mir nicht sicher, ob das das so richtig ist. Hosten hab ich noch nicht probiert.

Das Problem bei anno1800 bleibt weiterhin bestehen. Bekomme dort die Meldung: NAT Typ unbekannt.

Jemand damit Erfahrung?
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.163
Ort
SN
@schoeller

Möglicherweise hat Blizzard noch andere IP Ranges?

Was Anno angeht, ist denn das Netzwerk Symbol grün in Anno oben rechts in der Ecke?
Für Anno 1800 hab ich bei mir jeweils als UDP die Ports 6005, 6010, 12000 und 12009-12011 offen.
Allerdings habe ich auch ne Regel für Anno2070 (ebenso von Ubisoft) mit TCP 14000 und 14008 sowie UDP 21150-21151 und 21156. Ich meine mich dran zu erinnern, dass Anno1800 auch die 211xxer Ports genutzt hat. Im Zweifel mal im Log schauen. Häufiger gleichen sich die Ports für irgendwelche Publisher spezifischen Dienste - was ggf. auch einfach der Grund ist, warum für WC3 nur die paar wenigen Ports oben auf der Seite stehen, aber real bspw. das Battle.net Zeugs noch andere Ports braucht. Bei uPlay von Ubisoft ist das ähnlich. Oder Steam oder Origin und wie sie alle heißen...

Destination ist jeweils Any Public IP bei mir, die Source ist meine Spielemöhre Zuhause.
 

p4n0

Well-known member
Mitglied seit
07.08.2012
Beiträge
2.334
Ort
Raum Stuttgart
Hi in die Runde.
Die Home Lizenz meiner UTM wird im April ablaufen. Wie erneuer ich das Ding mit moeglichst wenig Aufwand?

Grueße
 

wenzilinho

Member
Mitglied seit
21.09.2018
Beiträge
171
Über https://myutm.sophos.com:

If your home use license is near to expiry you need to open the license below, delete it and create a new one.

Danke für den Hinweis. Meine Lizenz läuft Montag aus, habe ich grade festgestellt.
 

pippo21995

New member
Mitglied seit
19.07.2013
Beiträge
7
Ort
Bad Arolsen
Hallo zusammen,

aktuell bin ich noch auf der Suche nach der passende Hardware für meine UTM.

Aktuell setze ich einen HP ProDesk 800 G1 mit einem i3 der 4. Generation und 4 GB RAM. Leider ist die Hardware für meinen Geschmack "etwas" zu laut.

Daher bin ich auf der Suche nach einem passenden Ersatz, vielleicht kann mir jemand eine passende Empfehlung geben :)

Folgende Anforderungen habe ich:
- Aktuell 300/20 Mbits, später ggf. 1000/50. Oder die 300/20 in Kombination mit einer 100/40 Mbits Leitung
- Nutzung des SMTP Proxy, tägliches E-Mail Volumen ca. 500 E-Mails
- 1-2 IPsec S2S VPNs
- ca. 3-5 SSL VPN Verbindungen
- und möglichst leiste und stromsparend

Schonmal vielen Dank :)
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
Also ich steh mal wieder aufm Schlauch, habe nen Verständnisproblem oder bin einfach zu dumm.

Es geht um das Game CoD Warzone:

Folgende Ports sind freigegeben:
TCP: 3074,27014-27050
UDP: 3074,3478,4379-4380,27000-27031,27036

Daraufhin habe ich eine FW Regel erstellt:
regel.png


Wenn ich ein Game suche, bekomme ich im Live Protokoll folgende Antwort:
live protokoll.png


Was stimmt da jetzt wieder nicht? Port 3074 (TCP/UDP) ist freigegeben.

Mache ich meine any-any Regel an und die andere aus, funktioniert alles Problemlos und das livelog zeigt mir das auch:
live protokoll_any_any.png



Was ist hier wieder das Problem?

Ich brauch doch nur eine Richtung freigeben und die UTM managed den Rest alleine oder?
 

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
948
@schoeller Ich verstehe nicht wieso du für deinen PC nicht einfach eine any nach any Regel anlegst. Die Sophos filtert nur nach Ports und kann kein zuverlässiges Application Control.
Die reine Freigabe/Sperre von Ports ist mittlerweile technisch längst nicht mehr so sicher wie sie mal (augenscheinlich) war.

Wenn du böse Software hast die nach Draussen will, wird sich dies auch über Port 80/443 etc. machen.

Ich möchte behaupten das du unterm Strich damit kein größeres Sicherheitsrisiko reinholst alles zu erlauben, dir aber sparst, weitere Lebenszeit für die Lösung eines Problems zu opfern, das es eigentlich nicht gibt.
 

G6_of_UNSATO

Active member
Mitglied seit
27.03.2007
Beiträge
1.150
In der Firewall Regel definierst du die Ports wo der Traffic hingeht.
Sven PC - Port am ZIELServer - jedes Ziel.

Da musst du also Port 42490 und 30090 (je UDP) angeben!
Ich empfehle generall NIE das Anyobjekt in FWRules zu nutzen.

"Internet iPv4" wäre hier die richtige Wahl.
 

schoeller

New member
Mitglied seit
13.09.2010
Beiträge
24
@p4n0

Webfilter hatte ich komplett deaktiviert.

Was mich wundert ist, dass ich die Regel ja angelegt habe, aber er trotzdem den Port 3074 verwirft. Ist Any Any offen, akzeptiert er die Kommunikation über den Port. Das macht mich stutzig.

@Opticum

Wenn ich alles offen habe, hab ich doch ein Sicherheitsrisiko. Dann kann ich mir die UTM ja eigentlich sparen oder wie meinst du das?
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.163
Ort
SN
Was mich wundert ist, dass ich die Regel ja angelegt habe, aber er trotzdem den Port 3074 verwirft. Ist Any Any offen, akzeptiert er die Kommunikation über den Port. Das macht mich stutzig.
Nein, 3074 ist der Source Port von der 192.168.20.60 -> du willst aber den Destination Port öffnen, also 30090 und 42490 (UDP)
Der kleine Pfeil im Log gibt btw. an von wo nach wo die Kommunikation erfolgt.

Wenn ich alles offen habe, hab ich doch ein Sicherheitsrisiko. Dann kann ich mir die UTM ja eigentlich sparen oder wie meinst du das?
Er hat zwar durchaus Recht mit dem Thema, dass eine Kommunikation nicht zwangsweise über HighPorts erfolgt und wenn etwas "raus" will, dann kommt es auch raus. ABER (und hier widerspreche ich), kombiniert man dies mit dem von @G6_of_UNSATO erwähnten, nämlich das Any Objekt nicht zu nutzen (und theoretisch auch das nichtmal Internet v4 oder v6), sodass man die Ziele per IP einschränkt, funktioniert das dennoch. Etwas was raus will müsste dann schon "zufällig" einen von dir öffenen Port zu einer definierten Destination IP nutzen um kommunizieren zu können.
Für die Masse der aktiven Schadsoftware die so rumfliegt, ist die Kommunikation auch recht klar - selten voll dynamisch oder passt sich den Gegebenheiten an. Auch sowas erschlägt man damit.

Btw. solltest du dir ggf. doch mal die Web Protection ansehen. Im Zweifel sogar Transparent ohne Authentication für dein Netz aktivieren. Dann sparst du dir auch TCP 443/80 zu öffnen. Kostet am Anfang recht viel Pflegeaufwand bis die Regeln mal alle angepasst sind, aber dann läuft das normal recht einfach...
 

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
948
@Opticum

Wenn ich alles offen habe, hab ich doch ein Sicherheitsrisiko. Dann kann ich mir die UTM ja eigentlich sparen oder wie meinst du das?
Was für ein Sicherheitsrisiko meinst du? So ein komplettes Zero-Trust was du fährst haben meistens nicht mal irgendwelche Behörden. Die Firewall macht bei dir auch das Routing, VPN, DNS usw. - Sicherheitsrisken gibt es heutzutage eher durch Crypto Trojaner per E-Mail und Social Hacking, aber nicht dadurch das du ausgehende Verbindungen soweit tot-trittst das du bei Spielen jeden einzeln Port und Zielserver freigeben musst.

Wenn du jüngere Kinder hast, ist es manchmal sinnvoll so Dinge wie URL Filter oder Nutzungszeitfenster einzurichten.
 

scimob

Member
Mitglied seit
19.10.2011
Beiträge
252
Ort
Oberfranken
Heute muss ich mal eine Frage in die UTM Runde stellen:
Folgendes Szenario:
Sophos XG 230, Firmware aktuell.
Im internen Netz hängt eine größere Unify Telefonanlage die als Gateway u. DNS die interne IP der Sophos XG eingetragen hat.
Hinter der XG hängen 2 Router. Einer ist das Default Gateway ins Internet und macht auch VPN für den Außendienst der Firma bzw. HomeOffice.
Auf den Geräten welche sich per VPN verbinden sollen auch Telefonieclients drauf, damit die Firmennebenstelle auch von Zuhause genutzt werden kann.
Der andere Router wickelt exklusiv die Telefonie ab, und ist vom Telefonieanbieter vorkonfiguriert. Der kann auch nur das. Kein Internetzugang darüber möglich.
Vorgabe ist, das exklusiv die ein und ausgehende Telefonie über den Router des Telefonieanbieters geroutet wird. Alles andere soll ganz normal über das Standardgateway raus.

Meine erste Idee war in der Sophos Routen für die paar IP Adressen des Telefonieanbieters zu machen. Ging nicht.
Aktuell läuft eine Firewallregel die den Telefonierouter als primäres Gateway enthält. Nachteil: Kein Internetzugang mehr für die Telefonanlage, somit nicht mehr zu erreichen vom Standardgateway aus.
Habt ihr da einen Lösungsansatz?
Diagram anbei...
 

Anhänge

mfbomber

999 Punkte
Mitglied seit
21.05.2007
Beiträge
1.276
Ort
Bavaria
Ich habe bei einem Kunden die gleiche Konstellation und das mit 2 Firewallregeln gelöst:
1. Regel für DNS, HTTP, HTTPS und NTP (kein Muss) über die Internetleitung
2. Regel für SIP etc. über die Telefonieleitung (lässt sich natürlich auch erstmal mit Any testen)
Wichtig ist, dass die 1. Regel in der Liste vor der 2. Regel steht
 

scimob

Member
Mitglied seit
19.10.2011
Beiträge
252
Ort
Oberfranken
Bedingung wäre aber das SIP auch über das Standardgateway raus geht, da ja die Clients zuhause auch damit versorgt werden sollen.
Somit müsste ich die Regel die SIP auf den Telefonierouter schickt ja noch auf die IP Adressen des Telefonieanbieters einschränken, da dann alles andere was SIP ist über Standardgateway raus geht?
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.163
Ort
SN
Meine erste Idee war in der Sophos Routen für die paar IP Adressen des Telefonieanbieters zu machen. Ging nicht.
Aktuell läuft eine Firewallregel die den Telefonierouter als primäres Gateway enthält. Nachteil: Kein Internetzugang mehr für die Telefonanlage, somit nicht mehr zu erreichen vom Standardgateway aus.
Habt ihr da einen Lösungsansatz?
Diagram anbei...
Mhh, ich würd dir da gern versuchen zu helfen und ein Bild ist auch erstmal ganz gut um den Aufbau zu verstehen, aber du schmeißt da ein paar Begriffe durcheinander. Leider versteh ich den Aufbau damit nicht so recht :fresse: Und im Bild fehlen auch ein paar entscheidende Sachen. Bspw. wo hängt denn nun das Internet? Da sehe ich zwei Router neben der UTM/XG, aber es ist nur jeweils ein Interface eingezeichnet. Welche Route zeigt bspw. wie wohin, wäre eine essentielle Frage.

Bspw. "eine Firewallregel die den Telefonierouter als primäres Gateway enthält" -> das ist technisch so nicht möglich. In der FW Regel kann es kein Gateway Eintrag geben. Das eine ist ne Route -> ne default Route um genau zu sein. Dort gibst du dein Gateway oder eben ein next Hop an und das Netz, was über diesen next Hop erreichbar ist. Eine FW Regel aber ist einfach nur ne Art Listeneintrag, die der integrierten Firewall sagt, wenn Traffic von so nach so mit dem und dem Protokoll, dann erlauben oder verbieten (vereinfacht gesagt) -> da kannst du reinschreiben was du willst, die Werte einer FW Regel haben nix mit dem Routing zu tun. Das Routing drunter MUSS passen, damit die Pakete überhaupt an der FW vorbei kommen. Hier muss also klar differenziert werden.

Btw. sehe ich möglicherweise schon mal ein Problem, wenn alles bildlich "vor" der UTM/XG im 192.168.2.0/24er Netz ist. Sowohl die beiden Router als auch die Clients der VPN EInwahl -> dann hast du ziemlich sicher ein Asynchrones Routing, was gehen kann, aber hässlich ist. Die UTM/XG droppt da möglicherweise einfach eine Richtung der Pakete (also die Hinpakete bspw. weil das Rückpaket nicht bei ihr vorbei kommt)
Um das richtig zu bauen sollte 192.168.2.0/24 ein Transfer Netz sein, wo ausschließlich die Router zu finden sind. Wenn überhaupt. Ggf. brauchst du sogar ein zweites Transfer Netz zwischen dem Telefon Router und der UTM/XG ggü. dem dem anderen Router und der UTM/XG solltest den Traffic über die UTM/XG routen, als zentralen Core Router. Die Einwahl Clients sollten dann in einem anderen Netz landen (nicht dem gleichen wie zwischen UTM/XG und dem Router (auf dem Bild unten rechts)), damit auch dort wieder der Weg eineindeutig ist. Und dann kann man auch entsprechende Routen definieren + FW Regeln schreiben, der den Traffic erlaubt.

Wenn ich nachher mal paar Minuten finde, mal ich das mal in ein Bild zusammen, wie das aussehen könnte. vllt wird das dann eher verständlich ;)
 

G6_of_UNSATO

Active member
Mitglied seit
27.03.2007
Beiträge
1.150
eine Firewallregel die den Telefonierouter als primäres Gateway enthält" -> das ist technisch so nicht möglich.
Die XG kombiniert in der FW-Regel Firewalling, NAT, Webfilter, etc...
Dasher ist es sehr wohl in einer XG möglich den Traffic per NAT über ein spezifisches Inteface zu leiten.

Ich habe bei einem Kunden die gleiche Konstellation und das mit 2 Firewallregeln gelöst:
1. Regel für DNS, HTTP, HTTPS und NTP (kein Muss) über die Internetleitung
2. Regel für SIP etc. über die Telefonieleitung (lässt sich natürlich auch erstmal mit Any testen)
Wichtig ist, dass die 1. Regel in der Liste vor der 2. Regel steht
Das würde ich so auch erstmal testen.
Generell ist es mit TKs und SIP immer schwierig, wenn eine Routentrennung erfolgen muss, da Server-Client und Client-Client kommunikation nie den selben Weg über die Firewall gehen.
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
35.163
Ort
SN
Die XG kombiniert in der FW-Regel Firewalling, NAT, Webfilter, etc...
Dasher ist es sehr wohl in einer XG möglich den Traffic per NAT über ein spezifisches Inteface zu leiten.
Das mag sein, aber das ändert nix an der Tatsache, dass ne FW Regel ne FW Regel ist und ne Route eben ne Route.
Was die XG da für Eigenarten hat/macht oder ob man dort in einer gemeinsamen Übersicht dann FW Regeln oder NAT Regeln oder Webfilter oder sonstwas sieht, spielt dabei doch gar keine Rolle?
Hier gehts eher um das Verständnis der grundlegenden Netzwerkthemen? Und wenn man das Verständnis hat, weiß man auch, was einzurichten ist. So wie das Bild sich ließt ist alles was "vor" der UTM/XG ist, im selben Netz, das Netz ist zeitgleich noch Transfernetz zwischen den Routern. Es gibt keine eindeutigen Wege usw. usf.

Klar kann man jetzt hier mit NAT Geschwurbel oder sonstwelchen Tricksereien irgendwas hinbiegen - und vielleicht geht das sogar. Aber warum nicht richtig machen?

Das würde ich so auch erstmal testen.
Generell ist es mit TKs und SIP immer schwierig, wenn eine Routentrennung erfolgen muss, da Server-Client und Client-Client kommunikation nie den selben Weg über die Firewall gehen.
Wo siehst du da eine Schwierigkeit?
Die Schwierigkeit kommt doch, weil alles im selben Netz ist - und nur ein Teil über das zentrale Gateway läuft während andere Kommunikation direkt erfolgt. Da ist irgendwelcher Unsinn vorprogrammiert, der schwer zu troubleshooten geht.
 

scimob

Member
Mitglied seit
19.10.2011
Beiträge
252
Ort
Oberfranken
Eine Rückmeldung: @fdsonne @G6_of_UNSATO @mfbomber
Ich konnte die Sache inzwischen lösen.
Die beiden Router befinden sich tatsächlich in einem Netz (Transfernetz). Einzig unglücklich ist, daß der Adressbereich für die VPN Clients auch da drin liegt. Aber ist nicht schlimm, das wird über separate Firewallregeln erschlagen.
Am Ende hat sich herausgestellt das die ganze Sache nicht ging weil die Telefonanlage in der Auslieferungskonfig ein internes "Wartungsnetz" hat, das zwar nicht genutzt wird, aber der Adressbereich war exakt der gleiche wie das Transfernetz der Router. Dumm.
Danach hab ich in der Sophos 2 Routen über den Telefonierouter für die Netze des Telefonieanbieteres gemacht, und noch eine Firewallregel die den Traffic von der Telefonanlange zum Telefonieanbieter definiert. Fertig.
Sicherlich wäre es schöner gewesen alle Router jeweils in einem eigenen Netz zu haben und die VPN Clients auch. Aber die Gegebenheiten sind eben so.
 
Zuletzt bearbeitet:

PhatFarmer

New member
Mitglied seit
15.08.2016
Beiträge
2
Ich habe auch ein kleines Problem. Habe eine UTM hinter einer FritzBox am laufen, hinter der Fritte wegen Telefonie usw. (FritzBox als Exposed Host konfiguriert). Soweit funktioniert auch alles wunderbar.

Auf meinem iPhone hab ich das FRITZ! App Fon installiert, hier geht es hauptsächlich um interne Telefonie. Das Handy hab ich meistens dabei und bräuchte dann nicht immer noch das DECT FritzFon mitschleppen.

Da die Verbindung nicht immer zuverlässig funktioniert hat, hab ich mir das LiveLog in der UTM angeschaut und die entsprechenden Ports freigegeben, und eine Regel erstellt:

Source: FrtizBox 192.168.0.10
Services: Gruppe mit den freigegebenen Ports: DNS Port: 7077; RTP Port: 7078:7110; SIP: 5060; + weitere Ports (erklärung weiter unten)
Destinations: LAN (Network)

Richtig zuverlässig funktioniert es trotzdem nicht. Wenn ich einen internen Anruf tätige, will die FritzBox 192.168.0.10 Port 5060 eine Verbindung zum iPhone 192.168.1.205 Port 52210 herstellen. Also habe ich z.B. diese Ports in der Regel freigegeben:

Name: Fritz App Fon
Type of definition: UDP
Destination Port: 5060
Source Port: 1:65535

Standardkonfig vom Source Port ist ja 1:65535, aber das funktioniert so nicht, erst wenn ich den Source und den Destination Port tausche funktioniert es ohne Probleme, aber dann habe ich ja die komplette Port Range geöffnet, oder nicht? Habe auch versucht den Source Port genau zu definieren welcher im LiveLog steht, aber der Port auf der iPhone Seite wechselt immer wieder, das heisst nach ner gewissen Zeit oder wenn ich vom W-LAN getrennt war und wieder heim komme kann es sein dass ein anderer Port verwendet wird. Ausserdem dachte ich wenn ich einen Port öffne funktioniert dieser in beide Richtungen?

Hat jemand ne Idee?
 

p4n0

Well-known member
Mitglied seit
07.08.2012
Beiträge
2.334
Ort
Raum Stuttgart
Kurze Frage: Ists n DSL Anschluss?
Falls ja: Einfach die Fritzbox hinter die UTM als IP Client laufen lassen. Habe ich hier exakt so. Telefonie funktioniert einwandfrei.
 

PhatFarmer

New member
Mitglied seit
15.08.2016
Beiträge
2
Ja, is n VDSL Anschluss von M-Net 50/10 Mbit. Ich hatte damit glaub schon mal experimentiert, weiss aber nicht mehr worans dann gescheitert ist.
 
Oben Unten