Probleme mit opnsense auf Sophos XG105 Rev.3 oder SG105 Rev.3

[servusli]

Hallo zusammen

Ich versuche seit einigen Tagen opnsense auf Sophos XG105 Rev.3 bzw. SG105 Rev.3 zum laufen zu bringe.
Die Installation verläuft auf beiden Hardware Firewalls fehlerfrei und ich kann am Schluss auch alles schön mit einem Monitor konfigurieren (so wie ich es bereits mit einer laufenden SG105 Rev.2 gemacht habe).

Stecke ich die Firewalls ins Netzwerk, passiert nix. Obwohl auf der FW der DHCP-Server aktiv ist, können sich die Client-Geräte keine IP abholen, diese generieren jeweils selber eine 169.x.x.x.

Bei einem kleinen Versuchsaufbau bestehend aus Modem, smart managed Switch und Sophos das gleiche Spiel, es kann keine IP-Adresse abgeholt werden um auf das WebUI der opnsensen zu kommen.
Auf dem Switch habe ich 2 VLAN erstellt. VLAN-ID 1 ist das LAN und VLAN-ID 10 ist das WAN. Genau so wie es bereits mit der Sophos SG105 Rev.2 am laufen ist.

Mein kleiner Versuchsaufbau sieht folgendermassen aus:
Modem => Switch (VLAN 10) => WAN (VLAN 10)
LAN (VLAN 1) => PC (Win 11)

Schliesse ich den PC direkt am Modem an, holt er sich eine IP aus der 192.168.10.x-Range ab. So wie konfiguriuert.

Muss ich bei Geräten der Revision 3 etwas spezielles einstellen damit die Interfaces korrekt angesprochen werden können oder übersehe ich etwas?

 

[Masamune2]

Kannst du dir eine statische Adresse zuweisen und dann auf das Interface zugreifen (oder zumindest anpingen)?

 

[TheHille]

Ist am Switch evtl DHCP-snooping aktiviert?

Edit: Wie meinst du "direkt am Modem"? Was ist das für ein Modem? Welches Switch verwendest du?
Wer kümmert sich um PPPoE?

 

[Big Bopper]

Richtig verkabel? Der erste Netzwerkport ist LAN und der zweite WAN...
Was steht denn auf der Konsole bei der Einrichtung? Dort sollte eine IP zugewiesen sein...

 

[F31v3l]

Ganz dumme Frage: Kabel steckt im richtigen Port?

Ich würde im ersten Schritt den Switch weglassen und schauen, ob ein Endgerät per DHCP eine IP bekommt oder der Zugriff wie von @Masamune2 vorgeschlagen über eine feste IP aus dem Subnetz funktioniert.

 

[servusli]

Ich habe ein altes Provider-Modem welches ich für Testzwecke offline verwende. Schlussendlich spielt es keine Rolle ob Internet vorhanden ist oder nicht. Hat das letzte Mal auch prima funktioniert.

Alles ist richtig verkabelt. Hab ich schon mehrere Male so verkabelt. Mein PC kann sich auch keine IP abholen wenn ich diesen direkt an der Sophos anstöpsle.

Die Frage welche sich stellt, kann es sein dass im
BIOS die Interface für Fremdsoftware gesperrt wurde...
Weil bei den SG105Rev.2 lief alles reibungslos

 

[F31v3l]

Und was passiert, wenn du dem PC eine IP aus dem Subnetz (nicht aber DHCP-Bereich) gibst?

 

[servusli]

Keine Verbindung zur Firewall.
Es ist seltsam, ich habe alles 1:1 so gemacht wie bei der SG105 Rev.2

 

[servusli]

UPDATE:
Ich konnte das Problem lösen und die Sophos läuft wie eine Schweizer Uhr.

Das Problem war die (für mich seltsame) Port-Beschriftung.

SFP+ und eth4 = igb0
LAN = igb1
WAN = igb2
DMZ = igb3

Ich fand fand diese Information nach einer aufwendigen Recherche im Internet. Da ich keine serielle Verbindung mittels COM-Port aufbauen konnte, stand ich wie der Esel vor dem Berg.

Wichtig ist dabei, dass die Konfiguration vom
LAN-/WAN-Interface während dem Booten vom
USB-Stick passiert. Es kommt eine entsprechende Kommandozeile welche mit Enter in die Config führt. Bei mir gab es einen Konflikt mit der IP-Adresse, als ich die Interface nach dem Installationaprozedere konfigurueren wollte.

Ich gehe stark davon aus, dass fiese Port-Belegung auch bei anderen Sophos Hardware Firewall mit SFP+ anwendung findet. Das werde ich mit der Sophos SG105 Rev.3 testen.

 

[Masamune2]

Gut zu wissen, ich habe auch noch eine SG105 und SG125 hier stehen die ich bespielen will, wäre wohl in das selbe Problem gelaufen.

 

[servusli]

Welche Reviosion der SG105 hast du?
Bei der Rev.2 (mit dem oldschool VGA-Anschluss) ist die Port-Belegung 1:1.

LAN = igb0
WAN = igb1
DMZ = igb2
eth4 = igb3

Bei der SG125 würde ich dir empfehlen den Aufkleber mit der mac-Adresse auf der Unterseite des Geräts zu beschten. Dort steht die mac-Adresse von eth0 (LAN).
Im opnsense-Setup sieht man alle Ports mit den mac-Adressen. Die passende mac-Adresse ist nun in opnsense entsprechend dem LAN zuzuweisen zB igb1. WAN ist eine Nummer grösser also igb2.

Hätte ich auch von selbst drauf kommen können. Aber manchmal sieht man den Wald vor lauter Bäumen nicht mehr...

 

[Masamune2]

Müsste ich nachschauen, die 125er ist auf jeden Fall Rev2 bei der anderen weiß ich es nicht.

 

[Raijin]

Hm.. Die Beschriftung ist in der Tat irreführend. Shared Ports zwischen SFP(+) und RJ45 sind nicht unüblich, aber meistens liegen diese dann auch nebeneinander. Das Problem ist wohl entstanden, weil man den SFP-Slot links montiert hat und dann auch von dort mit dem Zählen angefangen hat. Deswegen ist SFP dann igb0 und am aaaaaaaaanderen Ende der dazugehörige shared Port mit RJ45... Ein Designfehler

 

[F31v3l]

Danke auf jeden Fall für den Test, dass OPNsense auch auf Rev 3 läuft. Habe gestern die Nachricht von Sophos bekommen, dass UTM zum 30.06.2026 eingestellt wird. Da werden in nächster Zeit Gebrauchtgeräte auf den Markt kommen.

 

[Masamune2]

Ja mit der Sophos SG/Astaro stirbt leider eine der besten Firewall Appliances und wird durch die XG(S) ersetzt die vom Funktionsumfang auch Jahre nach der ersten Ankündigung nicht an die SG heran kommt. Ich hoffe das irgendjemand die SG crackt und als "Opensource" Projekt weiter am Leben hält. Das hilft uns im geschäftlichen Einsatz zwar nicht weiter aber privat will ich eigentlich von der SG nicht weg.