Sophos UTM 110/120 hinter Fritzbox wie einrichten

tim1980

Lt. Junior Grade
Dabei seit
Mai 2006
Beiträge
368
#1
Hallo,
ich habe mir zu Lernzwecken eine Sophos UTM 110/120 gekauft.
Diese möchte ich nun gerne hinter der Fritzbox einrichten.

Meine Fragen hierzu wären:
Wie muss ich die Schnittstelle zur Fritzbox konfigurieren? Ganz normal als WAN und DHCP, und die LAN Schnittstelle auch als DHCP?
Oder muss ich einen DHCP Relay Agent einrichten, damit ich weiterhin die IP-Adressen von der Fritzbox zugewiesen bekomme, was eigentlich gewollt ist.
Die IP Adressen sollen weiterhin von der Fritzbox verteilt werden.

Muss ich Sip aktivieren für Netzwerktelefone von Yealink und Tiptel?

Wenn ich jetzt mit dem PC über die UTM surfen will, reicht es die IP mit Port der UTM als Proxyserver einzutragen oder muss ich als Gateway auch noch die IP Adresse der UTM nutzen?

Das sollte es für den Anfang erst einmal gewesen sein, ich hoffe, Ihr könnt mir weiterhelfen.

Gruß
Tim
 
Dabei seit
Nov. 2002
Beiträge
3.612
#2
Das ist Unsinn was du machen willst lass die Sophos die Ip Adressen für das interne Netz verteilen aber in einem anderen privaten IP Bereich als die Fritzbox. Die Fritzbox lässt du auf DHCP und machst die Ip Adresse der Sophos dort fest so das immer dieselbe Ip zugewiesen wird und stellst die Utm als DMZ ein. Auf der UTM aktivierst du auf dem Wan Port das Dynamisches IPv4 (Ipv6). Das ist wichtig das du das so machst weil die Utm reagiert nicht gut auf fehlerhafte Ipv6 Weiterleitungen was teilweise passiert wenn dein Provider die Adresse ändert da ein Teil des Ipv6 Präfixes mit durchgereicht wird.

Ach und ja du musst den Sip Proxy auf der Sophos aktivieren wenn du einen Port auf der Utm über hast kannst du auch die Netzwerktelefone vom normalen Netzwerk trennen was weniger Probleme macht weil man alle Funktionen pro Netzwerkinterface verwaltet.
 
Zuletzt bearbeitet:

inciter

Lt. Junior Grade
Dabei seit
Mai 2010
Beiträge
264
#3
Sofern möglich, würde ich die UTM als einziges Gateway einsetzen. Mach eine funktionierende Standardkonfiguration rauf, damit erst mal Alles grundlegende funktioniert. Speichere die Konfiguration, damit du sie jeder Zeit zurückspielen kannst, wenn etwas beim Ausprobieren schief lauft.

Ein wesentlicher Aspekt einer UTM ist das regeln des Traffics. Wenn die FritzBox das erst NAT macht, nimmst du eine Menge an Möglichkeiten. UTMs haben eben einen bestimmten Einsatzzweck, den sollte man solch einem Gerät auch geben - meine Meinung.
 

tim1980

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Mai 2006
Beiträge
368
#4
Hallo, ich denke die Fritzbox bleibt als erstes Gateway da die utm sicher keine Telefonnummer registrieren kann beim Provider. Wir sind bei 1&1. Wegen der IP Adressen würde ich gerne vin der fritzbox weiterhin machen lassen wegen WLAN und Gäste WLAN. Ich habe viele feste IP Adressen eingerichtet, möchte ungern alles ändern müssen. Ist das möglich das die IP Anfragen weiterhin von der Fritzbox beantwortet werden? Wenn ich das richtig verstanden habe sollte das mit dem dhcp relay agent funktionieren. Mir geht es erstmal darum das ich drüber surfen kann und die Telefone weiter funktionieren. Alles andere nach und nach.
 

inciter

Lt. Junior Grade
Dabei seit
Mai 2010
Beiträge
264
#5
Ok, ich verstehe durchaus dein Anliegen, aber das macht leider einfach nicht so viel Sinn. Bitte nich falsch verstehen. OK, die FritzBox macht bei dir auch die Telefonie, muss also bestehen bleiben - zumindest soweit, dass die Telefonie weiterhin funktioniert.

Grundsätzlich unterscheiden UTMs WAN- und LAN-Seite, damit können sie grundlegend nur - und wirklich nur - als NAT eingesetzt werden. Das heißt in der Schlussfolgerung, dass WAN und LAN zwingend zwei separate Netze sein müssen. Die einzige Möglichkeit das anders zu gestalten, wäre es, sämtlichen Traffic von einer zu anderen Seite durchzupassen und das in beide Richtungen. Aber was möchtest du dann noch mit einer UTM? Denn das würde (annähernd) den gesamten Funktionsumfang einer UTM außer Kraft setzen. Das kann Alles nur Sinn machen, wenn die UTM eben auch ein Gateway ist. Ein Auto fährt ja auch nicht mehr, wenn man die Räder abschraubt.

Vielleicht, das müsstest du prüfen, kann die FritzBox im Bridge-Modus weiterhin die Telefoniefunktion aufrecht erhalten. Ansonsten bleibt die wirklich nur doppeltes NAT.
 

tim1980

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Mai 2006
Beiträge
368
#6
Okay mal angenommen ich würde das mit den anderen IP Adressen hin bekommen, wie ist das dann mit meinem WLAN über einen Fritz repeater? Okay der bekommt ja auch eine neue IP Adresse dann aber der gibt die IP Adresse der fritzbox doch weiter. Und das Gast WLAN bekommt sowieso einen anderen Adressbereich zugewiesen. Ich sehe da große Probleme. Wenn ich für den Anfang alles durchleiten wollte, wie müsste ich das einrichten? Ziel eins sollte sein das ich drüber surfen kann und Webseiten auf Viren überprüft werden, die Telefone sollen auch weiterhin funktionieren. WLAN und Gäste WLAN sollten erst mal so bleiben. Dann nach und nach vielleicht eine sinnvollere Lösung überlegen. Ich habe ja verstanden das es nicht sinnvoll ist, aber ich muss erst mal sehen das ich nicht zu viel ändern muss.
 
Dabei seit
Nov. 2002
Beiträge
3.612
#8
Hat einer von euch meinen Beitrag gelesen? Da habe ich eindeutig beschrieben wie es funktioniert und die Telefone können Notfalls an die Fritzbox was bei analogen Telefonen sowieso der Fall wäre und das Wlan würde auch weiterhin funktionieren zumal ich nicht davon ausgehe das eine Utm mit Wlan Modul vorhanden ist sondern sowieso ein extra Accesspoint gebraucht würde. Im übrigen ist die Diskusion sowieso hinfällig da sich die neueren Fritzboxen sowieso nicht mehr in reinen Modembetrieb schalten lassen.
 

t-6

Admiral
Dabei seit
Juni 2007
Beiträge
7.713
#9
Ich habe ja verstanden das es nicht sinnvoll ist, aber ich muss erst mal sehen das ich nicht zu viel ändern muss.
Das beißt sich aber mit dem was du vor hast.
Die UTM nach "Regelbauweise" an die Fritzbox anzuschließen ist deutlich einfacher als alle möglichen Interfaces in der UTM umzubiegen damit der Webfilter irgendwie greifen kann.

Auf Anhieb wüsste ich gerade gar nicht wie man das überhaupt eingerichtet bekommt und wir betreuen ein paar Dutzend UTMs ^^

Der Webfilter greift afaik nur bei "durchfließendem" Traffic durch die UTM, also wenn die UTM routen muss. Da du aber darauf bestehst dass die Fritzbox das Gateway bleiben soll, fällt damit schon mal die Methode flach das WAN-Interface der UTM aufs LAN zu schalten und damit effektiv Gateway zu sein.

Machs doch gleich richtig.

Hallo, ich denke die Fritzbox bleibt als erstes Gateway da die utm sicher keine Telefonnummer registrieren kann beim Provider.
Die UTM nicht, aber die Telefone mit Sicherheit.

DHCP Relay ist dein geringstes Problem.

Fang doch erst mal klein an. Bau die UTM in Regelbauweise an die Fritzbox. Dann hängst du einen oder zwei PCs an das Netzwerk der UTM und kannst dich dann damit austoben.
 

inciter

Lt. Junior Grade
Dabei seit
Mai 2010
Beiträge
264
#10
Nun, wenn die FritzBox weiterhin das WLAN macht, können alle mobilen Geräte erst mal in Netzwerk und ggf, unter einander kommunizieren. In den Netzwerkbereich, den die UTM aufspannt kommen die Geräte erst mal nicht.

Du hast jetzt drei Möglichkeiten.
(1.) Funktioniert, ist aber umständlich: Du müsstest jedem einzelnen Gerät im Netzbereich der FritzBox eine Route beibringen, nämlich für den Bereich hinter der UTM die WAN-IP der UTM als Gateway zu verwenden. Das Routing innerhalb der UTM muss dementsprechend angepasst werden. Kleine Anleitung: hier.
(2.) Sofern möglich (Keine Ahnung, ob die FritzBox das beherscht), eine Static-Route in der FritzBox konfigurieren, die Traffic an Ziele hinter der UTM an die UTM selbst umleitet.
(3.) Für ein vernünftiges Handling am besten geeignet: Kauf einen günstigen Access-Point um WLAN auch im Netzbereich der UTM anbieten zu können und verbinde alle Geräte mit dem UTM-Netz.
 
Zuletzt bearbeitet:

tim1980

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Mai 2006
Beiträge
368
#11
Hallo ich habe gerade ein bisschen gelesen, die Fritzbox 7590 kann ich über wan mit einem anderen Router verbinden. Wenn die utm die Einwahl ins Internet macht und die Fritzbox alles andere übernimmt, sollte das doch auch funktionieren oder habe ich einen Denkfehler?
 

inciter

Lt. Junior Grade
Dabei seit
Mai 2010
Beiträge
264
#12
Hallo ich habe gerade ein bisschen gelesen, die Fritzbox 7590 kann ich über wan mit einem anderen Router verbinden. Wenn die utm die Einwahl ins Internet macht und die Fritzbox alles andere übernimmt, sollte das doch auch funktionieren oder habe ich einen Denkfehler?
Ja, der Denkfehler ist das fehlende ([A/V]-DSL-/Kabel-) Modem der UTM. Damit funktionieren dann auch die Telefone nicht mehr.
 
Dabei seit
Nov. 2002
Beiträge
3.612
#13
Ja hast du es geht nicht die Fritzbox müsste dazu reinen Modembetrieb machen und wie ich schon geschrieben habe geht das bei den neueren Modellen nicht mehr.
 

tim1980

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Mai 2006
Beiträge
368
#14
Verdammt.... Nein ich habe drei Rufnummern, die kann nur die Fritzbox registrieren beim Provider. In der Fritzbox werden ja auch die Telefone eingerichtet und Rufnummern vergeben. Hm vielleicht versuche ich das ganze dann lieber erst mal via lte zum testen. Ich hatte gehofft die utm könnte selbstständig sich einwählen nach den Regeln die ich gesehen habe.
 
Dabei seit
Nov. 2002
Beiträge
3.612
#15
Oh man noch mal du lässt die Telefone an der Fritzbox machst die Utm mit dem Wan Port an die Fritzbox und machst die Computer an den Lan Port der Utm. Was ist da jetzt das Problem?
 
Dabei seit
Apr. 2007
Beiträge
3.783
#16
Oh man noch mal du lässt die Telefone an der Fritzbox machst die Utm mit dem Wan Port an die Fritzbox und machst die Computer an den Lan Port der Utm. Was ist da jetzt das Problem?
ich habe mir zu Lernzwecken eine Sophos UTM 110/120 gekauft.
Ja, wo ist das Problem? :rolleyes:
2 Zeilen und das Problem ist erst mal gelöst, hoffentlich, wenns Probleme gibt, konkret fragen, nicht, wie fange ich überhaupt an. Dafür gibts Google, sorry!
 
Zuletzt bearbeitet:

tim1980

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Mai 2006
Beiträge
368
#17
Genau das habe ich jetzt gemacht, aber ich habe ein Problem, dass ich nicht von einem Netz ins andere komme. Bin nach der Anleitung auf Youtube vorgegangen. Ich habe meinem PC manuell eine IP mit Standardgateway UTM gegeben. Und als Proxy habe ich die IP der UTM auf Port 8080 eingetragen, aber auch ohne Proxy geht es nicht.
Was mache ich falsch?
 
Dabei seit
Apr. 2007
Beiträge
3.783
#18
Der Sophos bekommt WAN-seitig eine Fixe IP aus dem Fritzbox Netz und die Adresse der Fritzbox als DNS-Server und Standard-Gateway.
Den Sophos kannst du als DHCP-Server konfigurieren und die Clients auf automatischen Bezug der IP stellen.
Das Fritzbox-Netz muss einen anderen Bereich haben, als das Sophos-Netz.

Z.B.
Fritzbox (192.168.30.1) -> Sophos WAN-Seite (192.168.30.5, Fix) mit der Adresse der Fritzbox als DNS-Server und Standard-Gateway -> Sophos LAN-Seite, DHCP an (192.168.5.1) -> Clients (über Sophos DHCP versorgt).
 

tim1980

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Mai 2006
Beiträge
368
#19
So habe ich es eingerichtet, sophos bekommt über Gast Zugang LAN 4 anderer IP Bereich als eigentliches Netz. Aber ich komme nicht ins Internet. ist die Proxy Adresse IP utm port 8080 richtig?
 

eaglemax1

Cadet 4th Year
Dabei seit
Nov. 2014
Beiträge
112
#20
da gibt es jetzt viele Fragen:

- gibt es Firewall-Regeln die den Zugriff zur Fritzbox zulassen (oder dessen Netz)?
- macht die Sophos schon eine Maskierung(NAT) zum WAN-Interface?
- ist der Webfilter schon aktiviert mit Proxykonfiguration oder Transparent?
- ist die Sophos bereits DHCP-Server? Oder hast du evtl. noch Apipa-Adressen?
 
Top