Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Alles, was sonst nirgends dazu passt

Moderatoren: Yusuf, Florian S., Sven

Chris84x
Junior - Member
Junior - Member
Beiträge: 22
Registriert: 17.02.2016, 07:05

Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Chris84x » 05.04.2016, 10:41

Hallo!

Ich habe einen Mnet Anschluss mit 50/5 an einer FritzBox 7360, dahinter ist eine Sophos UTM (Firewall) und dahinter kommt mein Heimnetzwerk (LAN). Dank DS-Lite muss ich in der Firewall NAT machen, um von extern auf z.B. einen Computer im Heimnetzwerk zu kommen, weil M-Net den Internet-Traffic nicht ins "Heimnetz"-Subnet routed (habe ich so gelesen und bestätigen auch meine Tests/Einrichtungserfahrungen) :(

Als ich Mnet neu bekommen hatte, habe ich alles probiert und gemacht und getan, aber ohne Erfolg. Ich dachte mir - das kann doch nicht wahr sein - dann fand ich irgendwo einen Hinweis, dass von Mnet nicht ins Subnet gerouted wird (vom Internet aus), also NAT eingerichtet und schon funktionierte alles. Soviel zum Thema "IPv6 macht NAT überflüssig" :roll: Die FritzBox als Modem verwenden und die Einwahl über die Sophos machen kann ich, mangels Zugangsdaten, nicht machen.

Die Verbindung von extern/Internet zu meinem Computer/Server sieht etwas "bildlich" dargestellt dann so aus:
Internet > FritzBox > Sophos (NAT) > Computer/Server

Was aktuell noch ein großes Problem bei mir ist, bei jedem IPv6-Präfix-Wechsel muss ich einmal die FritzBox neustarten, weil sonst die Sophos UTM Firewall keine Verbindung mehr mit der FritzBox hat und dann natürlich auch das NAT ins Heimnetzwerk nicht funktioniert, obwohl die Sophos UTM den Präfix-Wechsel erkennt...aber irgendwas scheint da bzgl. Lifetime im FritzBox DHCP/PD nicht zu stimmen (dort kann ich aber nichts einstellen) und deshalb hält die Sophos Firewall an den "alten" IP`s fest (am "WAN-Interface" zur FritzBox), was erst nach einem FritzBox-Neustart "behoben" ist. Vorher komme ich nicht mehr vom Internet in mein LAN :(

Hat noch jemand eine Sophos UTM Firewall hinter der FritzBox bei M-net und kann meine Beobachtungen bestätigen oder hat sogar eine Lösung? Grundsätzlich kann ich mit NAT leben, aber bei jedem Präfix-Wechsel die FritzBox neustarten ist sehr bescheiden und auch nur möglich, wenn ich in dem Moment zu Hause bin.

Gruß, Chris

Knight
Aufsteiger
Aufsteiger
Beiträge: 150
Registriert: 05.07.2014, 21:46

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Knight » 06.04.2016, 01:51

Hey Chris,

die Daten werden dir nichts bringen, da die Fritzbox kein PPPOE passthrough unterstützt - wie vieles andere.

Du könntest ja mal versuchen mit der ip/support.lua auf der Fritzbox bei einem reconnect oder beim ziehen des DSL Steckers zu schauen ob die Fritzbox denn das neue Prefix als Router Advertisement preisgibt oder eben nicht.
Liebe Grüße, Knight :) | 63628 - Bad Soden-Salmünster // Breitband Main-Kinzig-Kreis :)
Bild

Chris84x
Junior - Member
Junior - Member
Beiträge: 22
Registriert: 17.02.2016, 07:05

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Chris84x » 07.04.2016, 15:35

Hi!

Der neue Präfix wird an die Sophos gemeldet, weil die meldet mir den Präfix-Wechsel per Email. Aber warum auch immer bekommt das WAN-Interface der Sophos (was an der FritzBox hängt) die neuen Infos nicht mit und damit findet keine Kommunikation mehr statt. Eventuell ist da auch nur teilweise etwas nicht richtig und die FritzBox weiß auf einmal nicht mehr, wo sie mit den Daten hin soll, weil sie selbst noch die alten Präfixe sucht. Keine Ahnung wo es genau klemmt.
Ich weiß nur, dass nach einem FritzBox-Neustart alles wieder funktioniert :?

Gruß Chris

Knight
Aufsteiger
Aufsteiger
Beiträge: 150
Registriert: 05.07.2014, 21:46

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Knight » 08.04.2016, 01:11

Hey,

wenn die Fritzbox den dahinterliegenden Routern via Router Advertisement den neuen Prefix bekannt gibt kennt sie ihn ja schon zumal du ja auch von der Sophos eine EMail bekommst. Hast du mal in der Shell bei der Sophos nachgesehen, ob sie das neue Prefix auch anerkennt. Nicht dass die denkt ach lass die mal machen und ignoriert es einfach weil man es ihr erst sagen muss das sie den neuen Prefix auch nimmt.

Code: Alles auswählen

ndp -an
ip -6 neigh
Liebe Grüße, Knight :) | 63628 - Bad Soden-Salmünster // Breitband Main-Kinzig-Kreis :)
Bild

Wolfhart1
Junior - Member
Junior - Member
Beiträge: 15
Registriert: 15.05.2016, 00:40

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Wolfhart1 » 19.05.2016, 22:57

Hallo Chris,

bzgl.IPv6 Router-Advertisment hat die Sophos (ex Astaro) UTM ein seit vielen Jahren nicht gefixtes Problem.
Siehe hier im Sophos Forum: https://community.sophos.com/products/unified-threat-management/f/53/t/34367#pi394=2

Dies konnte ich an meinem M-Net Maxi DSL-Anschluss ohne Routerzwang mit einem davorgeschalteten D-Link ADSL2+ Modem als Bridge im echten Dual-Stack-Betieb nachvollziehen. Ein alter Anschluss bei Altvertrag hat schon was für sich. Die Nameldung übernimmt die Sophos UTM über PPoE. Die IPv4 Router-Advertisments kommen an, die für IPv6 nicht.

Sophos wird das Problem vermutlich auch nicht lösen, da Geschäftskunden, die eine Sophos UTM als Gateway/Firewall einsetzen, meist feste IP-Adressen besitzen/bekommen.

Für IPTV (der DTAG) gibt es mit der Sophos UTM eine weiteres Problem bzgl. dem Multicaststreams. Dies wird hier beschrieben: https://community.sophos.com/products/unified-threat-management/f/68/t/58737. Dazu gibt es eine Community-Lösung mit einem IGMP-Proxy.

Meine Lösung dazu sieht wie folgt aus:

- IPTV setze ich nicht ein, da ich TV per SAT verwende und damit meine 6000 Bandbreite schone. Aufzeichnung via KODI https://kodi.tv/; Nutzung der TV-Mediatheken via Internet; Keine Zeit für Privatfernsehen

- Wechsel des Providers zum nächsten Termin, da keine höhere Bandbreite als 10000/756 an meinem Anschkuss durch M-Net möglich ist und ich echten Dualstck benötige, damit ich von SIXXS (siehe auch hier: https://www.sixxs.net/signup/ wegkomme. Für meinen Serverbetrieb ist dies erforderlich und ich will richtig auf IPv6 seit es mobil auch kommt und bei mir mit meinem Penny-Mobil-Daten-Vertrag bereits mit IPv6 auf dem Google Nexus 7 funktioniert.

- DTAG hat bei uns auf VDSL 100 ausgebaut.
- Dieses nutzt der neue, von mir ausgesuchte Provider TAL.DE http://www2.tal.de/ bundesweit als Vorleistungsprodukt. Dieser bietet echten Dualstack mit gleichzeitig festen (endlich kein DynDNS mehr) und dynamischen (pseudonymes Surfen weiterhin möglich) IPv4 und IPv6 nach Kundenwunsch und stellt alle Verbindungen über sein Rechenzentrum her (nix mit DTAG).
- Er hat heute schon keinen Routerzwang, sondern unterstützt und supportet Kundenmodems, wie das Dratek Vigor 130 oder ZyXEL VMG1312-B30A. Ist im Profibereich tätig und klein, aber fein.
- Der Kundensupport für Interessenten, die x Fragen stellen, ist endgeil. Da sind echte Profis unterwegs.
- Einziger Wermutstropfen: ISDN fliegt dann halt leider raus. Ist jedoch früher oder später eh nicht zu verhindern.
- Mein geplantes Webhosting und die Domainverwaltung bekomme ich dann auch aus einer Hand. Der Auftrag ist schon gestellt. Wie man sieht, technisch alles kein Problem, man muss nur wollen und als Kunde bereit sein ein bischen mehr zu bezahlen.So 5 bis 10 Euro halt, je nach Bestandsvertrag. Dafür gibts auch mehr Leistung.

Es ist nicht so, dass ich als Altkunde seit 2009 mit M-Net je unzufrieden gewesen wäre. M-Net war auch mal sehr hilfsbereit und vor allem innovativ. Die Hilfe hier im Forum ist auch wirklich gut. Da muss man die Admins echt loben. Leider ist halt mittlerweile in bestimmten Gebieten für M-Net ein Infrastrukturproblem vorhanden und M-Net nutzt, auch mit berechtigten Gründen, kein Vorleistungsprodukt der DTAG. Leider hat M-Net mit dem Routerzwang und Dualstack Light im Privatkundenbereich aus meiner Sicht den falschen Weg eingeschlagen. Wobei M-Net seit Protesten die Möglichkeit anbietet, bezahlt einen vollwertigen Dualstack mit festerIPv4 zu bekommen. Dies fand ich sehr gut. Jedoch müsste man nun auch mal mit festen und dynamischen IPv6 gleichzeitig kommen. Gibt es nach meinen Informationen leider auch über einen Geschäftkundenvertrag nicht. Der Routerzwang hätte mich jedoch auch bei einer höheren möglichen Bandbreite seitens M-Net an meinem Anschluss zu einem neuen Provider getrieben. Da viel mehr Bandbreite nicht ging, habe ich tunlichst meinen Altvertrag weiterlaufen lassen und mich in Geduld geübt.

Chris84x
Junior - Member
Junior - Member
Beiträge: 22
Registriert: 17.02.2016, 07:05

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Chris84x » 23.05.2016, 09:57

Hallo Wolfhart,

vielen Dank für deine ausführliche Antwort!

Die IPv6 Probleme bei der Sophos UTM 9 sind mir (leider) bekannt. Mit der UTM 9.4 haben sich ein paar Dinge mit IPv6 verbessert, jetzt warte ich auf den nächsten Präfix Wechsel und hoffe, dass dieser vlt. mal richtig funktioniert.

Werbung für einen anderen Anbieter...ok :) Ich kann zwischen Telekom 12Mbit und Mnet 50Mbit wählen. Da fällt die Wahl eher leicht ;)

Knight hat mir aber sehr gute Tipps gegeben, welche ich nochmal genauer verfolgen werden, falls der nächste Präfix Wechsel wieder nicht funktionieren sollte. Ansonsten muss ich halt regelmäßig beim IPv6 Wechsel die FritzBox neustarten oder die FritzBox vorsorglich neustarten und so dem ungeplanten IPv6 Wechsel vorbeugen. Nicht schön...aber wenn es bald keine Zwangsrouter mehr gibt, dann werden sich einige Probleme sicher von alleine lösen 8) :D

Danke und Grüße,
Chris

Knight
Aufsteiger
Aufsteiger
Beiträge: 150
Registriert: 05.07.2014, 21:46

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Knight » 23.05.2016, 16:50

Ja finde ich auch super deine Beschreibung.

Lade doch einfach das telnet.rar hoch, dann wird der DSL Dienst neugestartet ;)
Ein drück auf den Neu Verbinden Knopf wäre zu einfach um es zu testen, immer diese Uptime Farmer wie ich :D

Was hast du nur gegen die intern beschnittenen schlechten 12 Mbit/s? :) Thema peerings zu und innerhalb AS 3320

Gerne doch :) h4x0r :3

Du könntest auf einem Linux System aber auch ein Skript laufen lassen welches immer hergeht und die IPv6 Interconnectivität überprüft. Wenn es nicht geht dann macht es einen Reconnect. Vllt hat einer ja eine FBox auf halde und kann mal testen ob die ganzen Skripte da noch gehen http://www.wehavemorefun.de/fritzbox/Tr ... Neueinwahl wäre mal gut zu wissen. Bei mir kommt nur 404 Not Found habe aber auch UPNP aus.
Liebe Grüße, Knight :) | 63628 - Bad Soden-Salmünster // Breitband Main-Kinzig-Kreis :)
Bild

Chris84x
Junior - Member
Junior - Member
Beiträge: 22
Registriert: 17.02.2016, 07:05

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Chris84x » 24.05.2016, 06:56

Hi!

Stimmt! Ich könnte einfach den FritzBox-Neustart automatisch alle X Tage per Skript auslösen :) Ist zwar auch nicht die super finale Lösung, aber eine gute Übergangslösung :)

Weiß jemand wie viele Tage MINDESTENS zwischen einem IPv6-Präfix-Wechsel liegen?

Einen Reconnect kann man ganz einfach über SOAP auslösen. Das geht mit allen möglichen Programmiersprachen. Oder ganz einfach auch per Bash (crontab).
http://www.spurgo.de/blog/tutorials/fri ... sh-script/

Gruß, Chris

Wolfhart1
Junior - Member
Junior - Member
Beiträge: 15
Registriert: 15.05.2016, 00:40

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Wolfhart1 » 24.05.2016, 11:41

@Chris84x:
Ich wollte noch ein paar Anmerkungen einstellen:
- Danke für die Rückmeldung. Oftmals melden sich Threadersteller dann nie wieder.
- Zur Sophos UTM: ich nutze derzeit die Version 9.402-7
. Zu UPNP/SOAP: Diese Funktion auf einem Router zu öffnen ist aufgrund der Implementation von Haus aus gefährlich, wenn man nicht ein Gateway/UTM zusätzlich in seinem internen Netzwerk betreibt. Nur für den Fall, dass andere Nutzer UPNP einfach einschalten, ohne weitere Sicherungsmaßnahmen zu ergreifen.

- Zur Bandbreite: 12 MBit/s DTAG oder 50 MBit/s M-net --> Da ist alles klar --> M-net. Ich habe jetzt das Glück, in einem Ausbaugebiet der DTAG zu wohnen. Nun war ich auf der Suche nach einem alternativen Anbieter mit guter Leistung. M-net konnte mir nicht wirklich mehr Bandbreite liefern. Auch besteht die Gefahr, dass M-net meinen Anschluss kündigen muss, wenn die DTAG Vectoring am HVT aufschaltet. Und ich finde das derzeitige Verhalten der DTAG in Bezug auf Vectoring am HVT und den Umgang mit den Mitbewerbern richtig schlecht.

- Zur Nennung eines Mitbewerbers im M-net-Forum:
Wenn M-net dies nicht wünscht, können Sie meine Angaben löschen. Ich finde jedoch, dass ich nicht schlecht über M-net gesprochen habe, sondern nur sachlich dargestellt habe, warum ich wechseln werde. Vielleicht ist jemand in einer ähnlichen Lage un M-net kann keine bessere Bandbreite/Leistung bieten. Dazu werde ich in einem eigenen Thread noch etwas schreiben.

@Knight:
- Jetzt habe ich auch glernt, dass "h4x0r" - "Hacker" bedeutet. Das :3 Emoticon wird leider nciht von der Foren-SW angezeigt.
- Wer ist "telnet.rar" - Fritzbox-spezifisch?
- Zur Fritzbox kann ich nichts sagen, da ich ein derartiges Gerät nicht in Betrieb habe.

Chris84x
Junior - Member
Junior - Member
Beiträge: 22
Registriert: 17.02.2016, 07:05

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Chris84x » 24.05.2016, 22:47

Ja, diese "Unart" sich nie wieder im Forum zu melden ist echt nervig... Wozu bekommt man Emails bei neuen Antworten? :)

Dann installier dir mal fix das aktuelle Update 9.403, da gibts ein paar Sicherheitsfixes bzgl. SSL ;)

telnet.rar ist für die FritzBox, damit kann/konnte man das auf der FritzBox deaktiviert Telnet wieder aktivieren. Funktioniert beim neuen FritzOS aber alles nicht mehr so einfach.

Gruß - Chris

Knight
Aufsteiger
Aufsteiger
Beiträge: 150
Registriert: 05.07.2014, 21:46

Re: Sophos UTM hinter Mnet FritzBox (NAT und Probleme)

Beitragvon Knight » 25.05.2016, 20:57

Wolfhart1 hat geschrieben:@Chris84x:
- Zur Nennung eines Mitbewerbers im M-net-Forum:
Wenn M-net dies nicht wünscht, können Sie meine Angaben löschen. Ich finde jedoch, dass ich nicht schlecht über M-net gesprochen habe, sondern nur sachlich dargestellt habe, warum ich wechseln werde. Vielleicht ist jemand in einer ähnlichen Lage un M-net kann keine bessere Bandbreite/Leistung bieten. Dazu werde ich in einem eigenen Thread noch etwas schreiben.

@Knight:
- Jetzt habe ich auch glernt, dass "h4x0r" - "Hacker" bedeutet. Das :3 Emoticon wird leider nciht von der Foren-SW angezeigt.
- Wer ist "telnet.rar" - Fritzbox-spezifisch?
- Zur Fritzbox kann ich nichts sagen, da ich ein derartiges Gerät nicht in Betrieb habe.


Solange man keine Links zu Anleitungen hier verlinkt welche man nicht auch bei Google findet scheint alles cool zu sein :wink:

Ich finde :3 aber auch so schön genug :3

AVM entfernt doch nach und nach die Hacker Ziele. Was so keiner wirklich versteht außer die Menschen in Berlin wo in den installations Skripten einmal englisch und deutsch schreiben - und das nicht nur in den Kommentaren :shock:
Die telnet.rar sorgt dafür, dass in der Version 6.31 der Telnet Daemon wieder geht. Hat man aber in der 6.51 auch entfernt weswegen ich meine 7360v1 auch nicht mehr updaten kann. Wer will schon einen Router wo man nicht unter die Motorhaube schauen kann. Dann kann ich ja keine lustigen crash logs mehr lesen :cry:

Sei einfach froh darum keine Fritzbox zu haben. Für 90% der Menschen reicht sie bestimmt aus - also jene wo es nicht juckt. Mein Onkel hat einfach random crashes, WLAN Probleme usw. Mein OpenWRT Router am am anderen Ende der Wohnung 5 von 5 WLAN Balken. Die Fritzbox 2 meter neben dem Laptop nur 3/5 - irgendetwas muss da doch einfach nicht stimmen :)
Liebe Grüße, Knight :) | 63628 - Bad Soden-Salmünster // Breitband Main-Kinzig-Kreis :)
Bild


Zurück zu „Café“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast