Frage zur Kombination Fritzbox und Sophos UTM

jackhollister

Neuer User
Mitglied seit
10 Feb 2016
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Servus,

ich habe eine Frage zur Kombination einer Fritzbox 7490 und Sophos UTM Home Edition (installiert auf einen PC mit zwei NICs).
Zielsetzung wäre alle Geräte zuhause durch die Sophos UTM zu routen, unabhängig davon ob sie physikalisch hinter der UTM sind oder das WLAN der Fritzbox nutzen. DNS und DHCP würde ich gerne auf der Fritzbox belassen, ebenso die DECT-Telefonie.

Da ich das nicht so gut beschreiben kann, habe ich versucht das ganze per Bild zu veranschaulichen (siehe unten).

- Wäre das technisch möglich?
- Muss ich DHCP eventuell doch auf die UTM bringen?

Besten Dank im voraus, Jack


Homeoffice.jpg
 

Anhänge

  • Homeoffice.jpg
    Homeoffice.jpg
    55.1 KB · Aufrufe: 39
Hallo Jack,

so wie deine Zeichnung es besagt ist die UTM ziemlich nutzlos, da das Routing in der ersten Instanz ja die Fritze übernimmt, perfekt wäre es wenn die UTM vorne steht!

Ich habe selbst eine Lösung geschaffen mit UTM vor einer FB 7490, welche VoIP, WLAN int und WLAN guest macht.
Falls du Interesse hast, einfach antworten!
 
Hallo njabi91,

Ich bin auch gerade dabei mit der draytec 130 dann mit der qnap die utm installiert. Jetzt würde ich gerne wie du, meine 7490 nach der utm in Betrieb nehmen.

Über deinen Lösungsansatz wäre ich dir dankbar
 
Hallo njabi91,

Ich habe ich fast vergessen, vielen Dank für deine Dokumentationen.

Bei mir funktioniert dies leider nicht. Ich habe ein draytek 130 Modem installiert und die DSL Lampe leuchtet. Sobald ich die fritzbox
Einschalte nach kurze Zeit Blink an beiden Geräten die DSL Lampe.
Laut deiner Doku soll man an der fritzbox die Einstellung "Internetverbindung selbst aufbauen" auswählen ohne benutzerdaten. Können
Beide Geräte Modem und fritzbox gleichzeitig die DSL Leitung verwenden? Aber woher bekommt die fritzbox das Internet?

Gruß
Hans-Peter
 
Hallo njabi91,

vielen Dank für deine Anleitung. Das eth0 (WAN01) zum VDSL-Modem geht verstehe ich, aber warum machst du für eth1 ein internes Netz (LAN01) auf und connectest die Fritzbox erst an eth2 (FB)? Macht die Einwahl die FB selbst?
Mein gewünschtes Setup sieht so aus, dass die UTM die Einwahl über das am WAN-Port angesteckte VDSL-Modem macht und erst danach die Fritzbox (auch 7490) kommt. Allerdings habe ich ebenfalls VoIP (Telekom) über die Fritzbox laufen und versuche noch zu verstehen was genau ich dafür konfigurieren muss.

Vielen Dank für deine Hilfe im Voraus.

Gruß,
Mirko
 
Hallo Kermit2k aka Mirko,

ETH0 ist das WAN-Interface: Hierüber soll die Sophos die Einwahl ins Internet über ein vorgeschaltetes Modem machen.
ETH1 ist das LAN-Interface: Hier sollen die Clients angeschlossen werden. Da in der Regel ein einziger Port nicht reicht, habe ich hier einen Swtich dran und an dem Switch wiederum die Fritz!Box.
Das muss so sein, damit die Fritz!Box ein Teilnehmer im internen LAN ist und vom angebundene WLAN-Clients an der Fritz!Box eine IP-Adresse vom DHCP-Server bekommen, welcher die Sophos ist. Des weiteren hat die Fritz!Box als LAN-angebundenes Gerät noch den Vorteil, dass man die anderen Ports der Fritz!Box sozusagen als Switch missbrauchen kann. Ich z.B. habe hier meinen PC und ein NAS angebunden, welches ich dann über die Fritz!Box Oberfläche über VPN per WoL einschalten kann.
ETH2 ist das FB-Netz: Über dieses zweite Subnets soll der VoIP-Verkehr geroutet werden, sowie Gäste-WLAN Verkehr stattfinden: Es ist im ersten Moment schwer zu begreifen und auch schrifttlich zu erklären:

Wir wollen ja (siehe auch Anleitung), dass die Fritz!Box ihren Internetaufbau über die Sophos macht, also eine bestehende Internetverbindung mitbenutzt. Daher wird ein LAN-Interface der Fritz!Box als WAN-Interface "missbraucht". Nun hätten wir den Zustand, dass wir z.B. mit unserem Laptop ins WLAN der Fritz!Box verbinden und nach Standardeinstellung von der Fritz!Box eine DHCP-Adresse erhalten. Haben wir alles ordnungsgerecht eingerichtet, so könnten wir auch surfen. Wir hätten jedoch keine Chance aus dem WLAN an die Sophos zu kommen (es sei denn die IP liegt im gleichen Subnetz usw.).
Es ist eine Designfrage, aber ich möchte, dass das Verhalten so aussieht, dass das Gäste-WLAN von der FB bereitgestellt wird und der voreingestellte DHCP-Server (kann man ohnehin nicht wirklich ausschalten, es sei denn Gäste-WLAN ist deaktiviert) soll mitbenutzt werden. Vom Routing her stellt ein Gäste-Gerät eine WLAN-Verbindung mit der Fritz!Box her und die Fritz!Box leitet die Anfragen dann über unsere WAN-Strecke FB->Sophos an unsere geliebte (Sophos-)Firewall. Ich möchte ja als nicht-Gast auch per WLAN mit meinem Smartphone funken, gehe also in mein internes WLAN der Fritz!Box, bekomme vom DHCP-Server der Sophos (denn die Sophos ist ja lt. Anleitung auch per LAN mit der Sophos verbunden) eine IP-Adresse und kann mich als nicht-Gast und Admin in meinem eigenen Netz bewegen wie ich will (je nach Firewalleinstellungen natürlich). Kommen wir zu VoIP. Die Fritz!Box weiß natürlich nicht, dass im angebundenen LAN die Sophos theoretisch zu erreichen ist, sie möchte eine VoIP-Verbindung doch über ihr eingestelltes WAN-Interface abbilden, denn das haben wir ihr ja lt. Anleitung beibegracht. Im Standard versucht die FB ja auch über das DSL-Interface eine Internet/VoIP-Strecke aufzubauen und nicht über LAN.
Das Routing für VoIP findet also auch über WAN-FB -> ET2 Sophos statt!


Als Tipp:
Im Sophos Firewall Regelwerk habe ich trotz physikalisch selber Verbindung zwei Regeln gebaut:

ETH2(FB-Netz) darf surfen -> ETH0 (dies habe ich dann "Zugriff für Gäste" genannt. Somit kann ich in dieser Regel einstellen, was Gäste noch so dürfen.

ETH2(FB-Netz) darf VoIP (hier sollten dann u.a. alle nötigen VoIP-Ports des Providers gelistet sein) -> ETH0 (dies habe ich "VoIP <Provider>" genannt, damit hier wirklich nur Ports für VoIP eingestellt werden.

Ich finde es ein bisschen übersichtlicher, bzw. ist es dann sauber getrennt, ist aber geschmackssache und kann natürlich in einer Regel zusammengefasst werden.

Ich hoffe ich konnte mit der Erklärung erst einmal weiterhelfen.
 
Hallo njabi91,

Ich habe ich fast vergessen, vielen Dank für deine Dokumentationen.

Bei mir funktioniert dies leider nicht. Ich habe ein draytek 130 Modem installiert und die DSL Lampe leuchtet. Sobald ich die fritzbox
Einschalte nach kurze Zeit Blink an beiden Geräten die DSL Lampe.
Laut deiner Doku soll man an der fritzbox die Einstellung "Internetverbindung selbst aufbauen" auswählen ohne benutzerdaten. Können
Beide Geräte Modem und fritzbox gleichzeitig die DSL Leitung verwenden? Aber woher bekommt die fritzbox das Internet?

Gruß
Hans-Peter

Hallo Hans-Peter,

schaue dir doch mal meinen letzten Beitrag an, vielleicht hilft es dir schon weiter?
Konstrukt wäre wie du schon vermutest:

Vigor130 -> ETH0 der Sophos
ETH2 Sophos -> "WAN" (LAN1) der Fritz!Box (die Internetverbindung wird dann über den LAN-Port hergestellt und es wird die von der Sophos aufgebaute Internetverbindung über den Vigor mitbenutzt.
 
Der Beitrag ist zwar ein wenig in die Jahre gekommen, ich probiere es trotzdem einmal:

@njabi91
Ich habe eine Frage zu Deiner Aussage in #2. Dort sagst Du dass die Sophos UTM gemäß Zeichnung jackhollister hinter der FritzBox nutzlos sei.
Mir ist nicht klar warum. Wenn die FritzBox DHCP ausgestellt hat, oder Adressen in einem anderen Netzwerkbereich vergibt, könnte doch der DHCP-Server der Sophos im internen Netz (ETH1) Netzwerkadressen vergeben ein „sicheres“ Netzwerk aufbauen.
Was übersehe ich?
Grüße
gis
 
Hallo,

habe einen ähnlichen Aufbau.
Die Fritte hängt bei mir jedoch an erster Stelle (Vodafone Kabel), um ein stressfreies WLAN-Netz (Transfernetz, nur Handys, Prime-Sticks, XBoxen und belangloses Zeug) zu generierern sowie den VoIP-Traffic durch die FB handlen zu lassen (Telefonfunktion ist immer oberstes Gebot, um den WAF - nein, hat nichts mit dem Reversproxy der UTM zu tun ;) - des ganzen Technikkramens zu erhöhen).

Dahinter kommt dann als quasi "internes Gateway/Firewall" die UTM, welche das wichtige Netz (Clients (Homebanking/Schriftverkehr/Passwortmanager usw.), Hyper-V Host mit diversen VMs) mit diversen Regeln/IPS und (HTTP/S-)Proxy abschirmt.
Zudem kommt noch eine DMZ (mit ziemlich zugeschnürtem Regelwerk) für die NAS und den Jabber-Server.

Zwar könnte man die Fritzbox als WLAN-Bridge "missbrauchen", via DHCP auf dem WAN-Port der UTM dann die IPs in einer anderen Range verteilen, als die Fritte läuft (diese z.B. auf Standard 192.168.178.1, statische Adresse auf UTM-WAN 192.168.178.254 mit Gateway auf .178.1 + zusätzliche IP auf WAN mit einer "internen" Range (192.168.x oder 172.16.x etc.) und auf dieser zusätzlichen Range einen DHCP aufgesetzt.

So kannst du den Traffic der an der Fritzbox per Kabel oder eben WLAN hängenden Clients durch die UTM abfangen, filtern, durch den Proxy und das IPS + ATP schiessen usw.

Nicht absolut sauber (da ja kein VLAN, d.h. Multicast/Broadcast jubelt dir weiterhin fröhlich auf dem "externen" Fritzbox Netz umher), aber stressfrei und auch mit unmanaged Switch gut umzusetzen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.