Firewall-Profi gesucht, Einrichtung und Erstkonfiguration einer Sophos SG105W (UTM9)

[Jeveraner]

Hallo,

ich kämpfe hier mit der Einrichtung und Erstinstallation einer Sophos SG105W (UTM9) Firewall und ich bin nun an einen Punkt angekommen, wo ich echt nicht mehr weiter weiß. Vielleicht gibt es hier im bf einen versierten IT- bzw. Firewall-Profi, der mir den entscheidenden Tipp geben kann, was ich hier bei meinem Testaufbau falsch mache. Da die Konfigurationsbeschreibung aufgrund zahlreicher Screenshots recht umfangreich ist, habe ich das Ganze als pdf-Datei auf einem Webserver abgelegt. Vielleicht schaut sich das mal jemand an? Vielen Dank!

<<Der ursprüngliche Link wurde vom TE entfernt>>

Gruß, Ralf

[viertakter]

Das Erste, das mit auffällt ist, dass du LAN und WAN Adresse der Sophos im selben Subnetz hast, was so eigentlich nicht sein sollte. Da Du an der LAN Schnittstelle der Sophos aktuell nur das Notebook betreibst, würde ich hier zunächst ein anderes Subnetz konfigurieren - das Routing zu den Geräten an der Fritzbox übernimmt dann die Sophos. Möglicherweise führt das auch dazu, dass die Sophos mit derselben MAC-Adresse auf beiden Schnittstellen antwortet.

Ein sauberes Firewall-Regelwerk wirst Du so auch nicht aufbauen können, weshalb ich erstmal nicht weiter suchen würde, bevor Du das nicht angepasst hast.

[viertakter]

PS: Deine Masquerading Rule ist deaktiviert... die würde ich im Anschluss auch noch aktivieren.

[Jeveraner]

Zitat:

Zitat von viertakter

Das Erste, das mit auffällt ist, dass du LAN und WAN Adresse der Sophos im selben Subnetz hast,

Hallo Christian, diese vereinfachte Testkonfiguration in nur einem Subnetz ist sozusagen aus der Not heraus entstanden. Ich hatte die Sophos zuerst als exposed Host mit bzw. zwischen zwei Fritz!Boxen konfiguriert, und da auch noch mit verschiedenen Subnetzen. Nachdem ich das wegen dem selben Problem nicht zum Laufen bekommen habe, da stets sämtlicher Traffic trotz (testweiser) eingerichter ANY-Regel gesperrt wurde, habe ich dann mehfach die Konfiguration umgebaut und immer wieter vereinfacht, um ersteinmal die eigentliche Ursache meines Config-Problems zu finden, weshalb die Sophos ständig & immer alles sperrt. Masquerading Rules hatte ich auch eingerichtet, aber wieder verworfen, da ich auch damit zu keinem funktionsfähigen Testaufbau zustande bekommen habe.

Das "echte" Netz, das sieht dann später anders aus ..., es soll ja schließlich sicher sein

Gruß, Ralf

[viertakter]

Wenn Du weder SNAT noch Masquerading aktiv hast, wirst Du auch nicht durch die Firewall kommen. Die Internal/External Rule ist OK so, aktiviere sie ruhig. Du wirst allerdings vermutlich ein Problem mit den Netzwerkdefinitionen bekommen, wenn Internal und External Network dieselben sind.

Grundsätzlich würde ich Dir empfehlen, folgenden Aufbau umzusetzen:

Internet - fritzbox WAN - sophos - switch - (alle endgeräte + notfalls zweite fritzbox für wlan, besser einen access point)

Wenn Du ein separates Gerät für WAN und WLAN verwenden würdest, könntest Du den AP an den dritten Port der Sophos hängen - gibt Dir weitere Möglichkeiten, das WLAN abzusichern.

Die Sophos als exposed host zu konfigurieren macht Sinn - da Du allerdings noch viele Geräte "außerhalb" der Sophos hast, kannst du keine weiteren Freigaben einrichten.

Da Du aber nach meinem Verständnis außer dem Notebook nichts Anderes am LAN der Sophos hängen hast, fang doch mal damit an, das Subnetz dort zu ändern. Prüfe im Anschluss am Besten mal Deine Netzwerkdefinitionen.

[Jeveraner]

So, jetzt habe ich die NIC vom Laptop und den "Internal" (LAN bzw. eth0) Port der Sophos in ein anderes Subnetz gelegt ..., sozudsagen habe ich wieder eine der vorherigen Testkonfigurationen aufgesetzt, aber das Problem bleibt das Gleiche, auch bei entsprechend angepasster GW-Definition der geänderten NICs ...

PING 8.8.8.8 (8.8.8.8) from 192.168.1.1 eth0: 56(84) bytes of data.
From 192.168.1.1: icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=2 Destination Host Unreachable
From 192.168.1.1 icmp_seq=3 Destination Host Unreachable

Wenn ich dieses Problem endlich gelöst habe, dann geht es an den eigentlichen Netzumbau und der soll dann in etwas so aussehen, wie du es beschreibst ...

Internet - 1. Fritzbox LAN - Sophos (mit WLAN AP in eigenem Subnetz)- 2. Fritzbox LAN (VoIP/DECT und alle Endgeräte an LAN in einem dritten Subnetzt), so der Plan.

[Jeveraner]

Zitat:

Zitat von Jeveraner

So, jetzt habe ich die NIC vom Laptop und den "Internal" (LAN bzw. eth0) Port der Sophos in ein anderes Subnetz gelegt ..., sozudsagen habe ich wieder eine der vorherigen Testkonfigurationen aufgesetzt, aber das Problem bleibt das Gleiche, auch bei entsprechend angepasster GW-Definition der geänderten NICs ...

PING 8.8.8.8 (8.8.8.8) from 192.168.1.1 eth0: 56(84) bytes of data.
From 192.168.1.1: icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=2 Destination Host Unreachable
From 192.168.1.1 icmp_seq=3 Destination Host Unreachable

Wenn ich dieses Problem endlich gelöst habe, dann geht es an den eigentlichen Netzumbau und der soll dann in etwas so aussehen, wie du es beschreibst ...

Internet - 1. Fritzbox LAN - Sophos (mit WLAN AP in eigenem Subnetz)- 2. Fritzbox LAN (VoIP/DECT und alle Endgeräte an LAN in einem dritten Subnetzt), so der Plan.

Das Masqerrading ist bei zwei Subnetzen nun natürlich auch wieder gesetzt ...


Internal (Network)External (WAN)

[Jeveraner]

Zitat:

Zitat von Jeveraner

Das Masqerrading ist bei zwei Subnetzen nun natürlich auch wieder gesetzt ...


Internal (Network)External (WAN)

Der IP-Scan zeigt in diesem Subnetz jetzt auch nur noch die eigene NIC des Laptops und den eth0 der Sophos, ... in sofern wohl tatsächlich die bessere Testkonfiguration .

[viertakter]

Ich weiß jetzt natürlich nicht, was Du noch alles "verbastelt" hast... du sagtest, du hättest mit den Gatewaykonfigurationen herumgespielt? Da Du ja noch nicht wirklich viel angepasst hast, würde ich an Deiner Stelle nochmal von vorn beginnen, direkt mit den künftigen Subnetzen.

Ansich braucht es erstmal nicht viel, wenn die Standardinstallation mit passenden Interfacekonfigurationen steht... eine Regel Internal(Network) - any - internet (IPv4) sollte erstmal reichen. Ohne Zugriff auf das Endgerät und die Firewall wird das mit Troubleshooting schwierig denk ich.

[viertakter]

Ich habe eben übrigens auf meiner Sophos auch mal einen Ping auf google dns von der internen schnittstelle aus gemacht... funktioniert genauso wenig wie bei Dir, ich habe aber auch keine Any Regel aktiv. Weiß also nicht, ob das ein zuverlässiger Test ist.

[Jeveraner]

Zitat:

Zitat von viertakter

Ich weiß jetzt natürlich nicht, was Du noch alles "verbastelt" hast... du sagtest, du hättest mit den Gatewaykonfigurationen herumgespielt? Da Du ja noch nicht wirklich viel angepasst hast, würde ich an Deiner Stelle nochmal von vorn beginnen, direkt mit den künftigen Subnetzen.

"Verbastelt" hört sich immer so Böse an ... , 'nee im Ernst, ich weiß eigentlich, auf was ich mich hier eingelassen habe und was ich hier mache ... aber ich bin auch nicht Allwissend . Es wird sicher nur eine Kleinigkeit, ein blöder Gedankenfehler sein.

"Von vorne beginnen" ..., ja das habe ich jetzt auch schon mehrfach gemacht, inkl. neuem jungfräulichen UTM-OS auf die Box aufzuspielen, Konfiguration von Hand, Konfiguration mit dem Setup-Wizzard ..., das Problem das nach Abschluss des Setups /der Grundkonfiguration sämtlicher Traffic "blocked" ist, blieb leider bei all meinen Versuche bestehen. Die zahlreichen How-to zu lesen u.a Quellen zur Problemeingrenzung heranzuziehen haben leider auch keine Erleuchtung gebracht..., denn daran gemessen müsste es eigentlich funktionieren. Tut es aber nicht

[Jeveraner]

Zitat:

Zitat von viertakter

Ich habe eben übrigens auf meiner Sophos auch mal einen Ping auf google dns von der internen schnittstelle aus gemacht... funktioniert genauso wenig wie bei Dir, ich habe aber auch keine Any Regel aktiv. Weiß also nicht, ob das ein zuverlässiger Test ist.

Du bekommst auch ein "Destination Host Unreachable"? Ist bei dir der Ping freigegeben (was ich bei einer ANY-ANY-ANY allowed Firewallregel impliziere)?

In zahreichen Youtube-Tutorials funktioniert dieser Test, aber wenn der "Destination Host Unreachable"ist, dann wundert es mich auch nicht, dass der Browser beim Test auch keine Webseite aufrufen kann. Web-Protection u.a. habe ich für die Tests ersteinmal disabled.

[Jeveraner]

Der Setup-Wizard setzt ja auch die entsprechenden Service-Regeln für die Firewall ..., die ANY-ANY-ANY Regel habe ich dann nachträglich als "Notnagel" angelegt, um ersteinmal grundsätzlich eine Verbindung zu bekommen ...

[viertakter]

hast Du mal geprüft, ob deine Netzwerkdefinitionen noch stimmen? Der Ausschnitt Deines Firewall Logs zeigt leider keine der Anfragen, mit denen Du testest... mach z.b. Vom laptop mal ein nslookup auf google.de und schau, was mit der DNS anfrage im firewall log passiert (dns server am laptop auf 8.8.8.8 stellen und gateway auf die firewall natürlich).

[viertakter]

Testweise würde ich eine Internal(network) any Internet IPv4 regel setzen und die any any any erstmal verwerfen

[Jeveraner]

Zitat:

Zitat von viertakter

hast Du mal geprüft, ob deine Netzwerkdefinitionen noch stimmen?

External (WAN)[Up]
on eth1[192.168.178.150/24]MTU 1500 · DEFAULT GW 192.168.178.2Added by installation wizard


Internal[Up]
on eth0[192.168.1.1/24]MTU 1500Auto-created on installation

Zitat:

Zitat von viertakter

Der Ausschnitt Deines Firewall Logs zeigt leider keine der Anfragen, mit denen Du testest... mach z.b. Vom laptop mal ein nslookup auf google.de und schau, was mit der DNS anfrage im firewall log passiert (dns server am laptop auf 8.8.8.8 stellen und gateway auf die firewall natürlich).

Microsoft Windows [Version 10.0.15063]
(c) 2017 Microsoft Corporation. Alle Rechte vorbehalten.

C:\>nslookup www.google.de
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: fec0:0:0:ffff::1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

C:\>


Live-Log


18:48:32 Default DROP TCP 192.168.178.2 : 55685 → 192.168.178.150 : 80 [SYN] len=60 ttl=64 tos=0x00 srcmac=34:31:c4:f1:32:57 dstmac=00:1a:8c:42:09:2d

18:48:33 Default DROP TCP 192.168.178.2 : 55685 → 192.168.178.150 : 80 [SYN] len=60 ttl=64 tos=0x00 srcmac=34:31:c4:f1:32:57 dstmac=00:1a:8c:42:09:2d

18:48:35 Default DROP TCP 192.168.178.2 : 55685 → 192.168.178.150 : 80 [SYN] len=60 ttl=64 tos=0x00 srcmac=34:31:c4:f1:32:57 dstmac=00:1a:8c:42:09:2d

18:48:39 Default DROP TCP 192.168.178.2 : 55685 → 192.168.178.150 : 80 [SYN] len=60 ttl=64 tos=0x00 srcmac=34:31:c4:f1:32:57 dstmac=00:1a:8c:42:09:2d

Zitat:

Zitat von viertakter

Testweise würde ich eine Internal(network) any Internet IPv4 regel setzen und die any any any erstmal verwerfen

Das habe ich alles bereits durchexerziert ..., z.B.

Internal (Network) - ping - Any
Internal (Network) - ping - Any IPv4 / Internet IPv4
Internal (Network) - Any - External (WAN) (Network)
Internal (Network) - http - External (WAN) (Network)
External (WAN) (Network) - Any - Internal (Network)
External (WAN) (Network) - http - Internal (Network)

... und unzählige andere Regelkombinationen.
Keine einzige Regel hat den Kontakt zur Außenwelt erlaubt.

[viertakter]

Sorry, mit network definitions meine ich nicht die schnittstellen, sondern die definierten namen (hinter internal network steht ja eine definition, die du unter Definitionen, nicht unter schnittstellen findest). Das notebook scheint dns über einen ipv6 dns server auflösen zu wollen. Schalte ipv6 auf dem notebook testweise mal ab.

[Jeveraner]

Zitat:

Zitat von viertakter

Sorry, mit network definitions meine ich nicht die schnittstellen, sondern die definierten namen (hinter internal network steht ja eine definition, die du unter Definitionen, nicht unter schnittstellen findest). Das notebook scheint dns über einen ipv6 dns server auflösen zu wollen. Schalte ipv6 auf dem notebook testweise mal ab.

ipv6 auf dem notebook abgeschaltet, keine Änderung merkbar

Die Definitions sehen eigentlich auch alle gut aus, soweit ich das beurteilen kann ...


Internal (Address)192.168.1.1Internal Address
Internal (Broadcast)192.168.1.255Internal Broadcast
Internal (Network)192.168.1.0/24

External (WAN) (Address)192.168.178.150Address of interface "External (WAN)"
External (WAN) (Broadcast)192.168.178.255Broadcast address of interface "External (WAN)"

External (WAN) (Network)192.168.178.0/24

[Jeveraner]

Zitat:

Zitat von viertakter

Das notebook scheint dns über einen ipv6 dns server auflösen zu wollen. Schalte ipv6 auf dem notebook testweise mal ab.

Wie kommst du darauf, ipv6, das ist mir bisher nicht aufgefallen ..., ich will aber auch nicht ausschließen , dass ich zwischenzeitlich ein Brett vor'm Kopf habe / den Wald vor lauter Bäumen nicht mehr sehe

[Jeveraner]

Any0.0.0.0/0Matches any IPv4 and IPv6 address
Any IPv40.0.0.0/0Matches any IPv4 address

[viertakter]

Zitat:

C:\>nslookup www.google.de
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: fec0:0:0:ffff::1

Stimmt denn die definition für internal(network) z.b.?

[viertakter]

Probiere mal folgendes auf der cmd

nslookup
server 8.8.8.8
google.de

[Jeveraner]

Zitat:

Zitat von viertakter

Probiere mal folgendes auf der cmd

nslookup
server 8.8.8.8
google.de

Microsoft Windows [Version 10.0.15063]
(c) 2017 Microsoft Corporation. Alle Rechte vorbehalten.

C:\>nslookup
DNS request timed out.
timeout was 2 seconds.
Standardserver: UnKnown
Address: 8.8.8.8

> server 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
Standardserver: [8.8.8.8]
Address: 8.8.8.8

> google.de
Server: [8.8.8.8]
Address: 8.8.8.8

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an [8.8.8.8].
>

Vielen Dank für deine Bemühungen bis hier hin, aber ich höre jetzt auf zu Testen.
Ich hab' die letzten 48h fast nichts anderes gemacht, für heute reicht's .

Gruß & dir noch 'nen schönen Sonntagabend

[viertakter]

Keine Ursache... der nächste Schritt wäre dann zu schauen, was mit der DNS Anfrage in der Firewall passiert.

[Jeveraner]

Google DNS (8.8.8.8 und 8.8.4.4) hatte ich übrigens auch schon zuvor in den Network Services -> DNS -> Global eingetragen, das hat auch nichts gebracht

Ich habe ja auch bereits ziemlich zu Begin meiner ganzen Testerei versucht beim Browser direkt die IP-Adressen aufzurufen, also nicht über den DomainName. aber das lief ebenfalls ins Leere