In der Grundkonfiguration ist die Sophos wie folgt erreichbar
PC / Laptop an Port 1 Anschliessen
https://172.16.16.16:4444 für das Admin Portal
https://172.16.16.16:444 für das User Portal
Benutzername / Passwort: admin / admin
Einfach dem Dialog folgen, dann könnt Ihr die LAN und WAN Einstellungen schon Grundlegend anpassen
LAN Einrichtung
-------------------------------------------------------------------------------------------------------------------
Standardmässig ist für Ports 1 / 3 / 4 etc eine Bridge eingeschaltet für die Zone LAN
Je nachdem, was man machen will (ein oder mehrere Netzwerke) kann dies so belassen werden,
oder Ihr müsst einzelne Ports aus der Bridge entfernen.
WICHTIG: Werden mehrere Geräte angeschlossen (z.B. Switch an Port1, Server an Port3) muss eine LAN to LAN Firewallregel erstellt werden, sonnst besteht kein Traffic! Infos dazu weiter unten.
Configure -> Network
Interfaces:
Hier kann die Bridge angepasst werden, sowie die interne IP Adresse der Firewall.
Um ein zweites LAN zu machen müsst Ihr:
1: Den Port aus der Bridge entfernen
2: Unter Zones: eine neue Zone erstellen (z.B. LAN2)
3: Die Zone LAN2 kann nun dem Port hinterlegt werden und die IP der Sophos in diesem Netz gegeben werden
DNS:
Hier können die externen DNS eingerichtet werden. DNS via DHCP des WAN Ports oder manuel angeben
DNS-Request-Routen:
sofern eine Interne Domäne besteht und der interne DNS aber nicht angegeben wurde oben, können hier DNS-Request-Routen für z.B. contoso.local und den internen DNS angeben
DHCP:
Hier kann der DHCP angepasst werden. Neue DHCP Server, bestehende bearbeiten oder Löschen.
Hier z.B. für LAN2 einen neuen DHCP Server hinterlegen
WAN Einrichtung
-------------------------------------------------------------------------------------------------------------------
Configure -> Network
Interfaces:
Port2:
Hier kann nun die WAN Konfiguration vorgenommen werden (Statisch, DHCP oder PPoE (DSL) jenachdem was euer ISP ist
Wichtig: Falls meherer WAN IP Adressen bestehen:
Add Interface -> Add Alias
Dual WAN Konfiguration:
Falls mehrere ISPs vorhanden sind, kann wie folgt ein Dual WAN eingerichtet werden:
Um ein zweiten WAN Anschluss zu machen müsst Ihr:
1: Den Port aus der Bridge entfernen
2: Dem Port nun die WAN Zone zuweisen und wie oben mit ISP Einstellungen konfigurieren
Unter Network -> WAN Link Manager:
Für eine Failover-WAN Konfiguration, kann nun einer als Activer Typ und einer als Backup eingerichtet werden.
Wichtig sind dabei sind die Failover-Regeln
Auf dem Backup:
Activate This Gateway - If Any oder spezifisch der Primäre gateway fails
Auf dem Primären:
Failover Rules -> If
Not able to Connect PING Port * on IP Adress: Die des WAN ISP Gateways
WICHTIG:
Configure -> Network -> DNS
Bei Dual-WAN nehmt als DNS1 einen internen DNS, sonnst kann es zu Problemen / Timeouts kommen wenn z.B. ein Cablecom DNS via Swisscom Leitung abgefragt wird (und umgekehrt) oder gebt einen Root-Server an
Dyn-DNS
-------------------------------------------------------------------------------------------------------------------
Network -> Dyn-DNS: (hinter den 3 Punkten oben rechts versteckt)
Hier kann ein DynDNS hinterlegt werden
Firewall Einrichtung
-------------------------------------------------------------------------------------------------------------------
WICHTIG: Werden mehrere Geräte angeschlossen (z.B. Switch an Port1,
Server an Port3) muss eine LAN to LAN Firewallregel erstellt werden,
sonnst besteht kein Traffic
Firewall -> Add Firewall Rule
User / Network Rule
Name: LAN_TO_LAN
Source Zones: LAN
Source Networks and Devices: Any
Destination Zones: LAN
Destinatio Networks: Any
Services: Any
Identity: Match known users: Entfernen
Den rest auf Standard belassen
LAN zu WAN:
Wurde der Dialog am Anfang durchgegange, müsste eine Automatisch generierte Regel bestehen, diese kann einfach angepasst werden, oder halt eine neue eingerichtet werden
Firewall -> Add Firewall Rule
User / Network Rule
Name: LAN_TO_WAN
Source Zones: LAN
Source Networks and Devices: Any
Destination Zones: WAN
Destinatio Networks: Any
Services: Any
Identity: Match known users: Entfernen
NAT & Routing:
Rewrite source adress (Masquarading): Ein
Use Outbound Adress:
MASQ
Primary Gateway:
WAN Link Load Balance
Anmerkung:
Für jede "LAN" Zone muss eine Regel erstellt werden
Anmerkung 2:
Sind mehere WAN Adressen vorhanden, und man möchte z.B. das LAN2 über einen WAN Alias (die 2e WAN IP) raussteuern:
Bei Use Outbound Adress ein neues MASQ erstellen (als IP Adresse einfach die IP Angeben / erstellen)
Portforwardings
-------------------------------------------------------------------------------------------------------------------
Ein Port-Forwarding lässt sich wie folgt einrichten:
Firewall -> Add Firewall Rule
Business Application Rule
Template:
DNAT / Full NAT / Load Balancing
Name:
PORT_TO_SERVERXY
Source Zones: WAN
Source Networks and Devices: Any
Destination & Services:
Hier den WAN Port wählen (leider kann nur einer gewählt werden, selbst bei einer dual WAN konfiguration)
Wichtig: Bei WAN Aliasen den entsprechenden wählen (#Port2:1 etc)
Services:
Wählt einen Service aus oder erstellt gleich einen neuen (eine Liste ist unter System -> Hosts und Services zu finden)
Wichtig: Falls Ihr einen neuen Service erstellt, macht bei Source Port umbedingt "*" bzw. "1:65535" und bei Destination Port den effektiven Port z.B: 20500
Forward To:
Protected Server(s):
Den Server auswählen oder erstellt einen neuen
Protected Zone:
Die Zone wo der Server ist z.B. LAN
Mapped Port:
Sollte der Port umgeleitet werden (extern ein anderer als intern) kann dies hier gemacht werden
Den rest auf Standard belassen
Anmerkung: Nutzt die Gruppier-funktion! Ich empfehle für jeden Port ein einzelne DNAT Regel und danach zu gruppieren für eine einfachere übersicht
WICHTIG:
Ich empfehle ganz zu unterste eine Network Rule "BLOCK ALL" - ANY - ANY - Reject Regel mit eingeschaltetem Log zu erstellen.
Es gibt zwar eine versteckte, gleiche Regel, aber das Log funktioniert nicht immer
Keine Kommentare:
Kommentar veröffentlichen