LAN-Schnittstelle an Sophos UTM durchreichen

    Hallo zusammen,


    nachdem ich nun einige Zeit mit erfolglosen Versuchen verbracht habe wende ich mich nun an euch.


    Ihh habe eine TS-563 mit 16GB RAM, 2x 256GB SSD (Raid1), 2x 3TB SEAGATE NAS HDD. Das SSD-Array ist für VMs vorgesehen.
    Darauf läuft auch schon ein W2k12 ohne probleme.


    Nun zu meinem Problem:
    Ich möchte die UTM ebenfalls darauf Virtualisieren und benötige dafür logischerweise 2 Schnittstellen (WAN & LAN)
    LAN läuft ohne Probleme. Als UnityMedia Kunde bekomme ich meine WAN Adresse dynamisch per DHCP von UM-Kabelmodem zugewisen. Ich habe nun versucht das LAN-Interface für WAN an die VM als "external only" durchzureichen. Leider bezieht offenbar trotzdem das NAS selber bzw. deren DHCP Client die Adresse vom Kabelmodem so dass is der VM nur ein Transfernetz (100.x)sichtbar wird. Vorher hatte ich die VM unter VMware Workstation laufen und das NIC direkt zur VM gebridged. Dafür musste ich jedoch die Windowseigenen Dienste für die Netzwerkkarte deaktivieren. So eine Möglichkeit bräuchte ich für das NAS auch.


    Habt ihr n Lösungsansatz oder ne Idee ?


    VG
    Andre

    Hey, ich bin also nicht der Einzige mit dieser Konfiguration. Läuft bei mir schon seit geraumer Zeit problemlos. Wenn du was wissen willst, nur zu.

    Hallo,


    Ich bin ebenfalls gerade dabei mir eine solche Konfig zu basteln.
    Erster kurzer Test verlief Fehlerhaft, also wieder retourgebaut.
    Das war aber so eine Ho-Ruck Aktion, ohne viel nachdenken, mitten in der Nacht.
    Jetzt hatte ich ein paar Tage keine Zeit dafür.
    Geplant hätte ich:
    NAS-Nic1: für WAN (also zum Modem) 192.168.0.x, GW:Modem
    NAS-Nic2: für LAN (zum Switch) 192.168.1.x
    NAS-Nic3: Mgmt (Switch) 192.168.1.x, GW (IP von Nic2)
    NAS-Nic4: Lan (Twonky) 192.168.1.x, Gw (IP von Nic2)
    Alle anderen Rechner bekommen, dann auch das GW von der internen Nic der Sophos.
    Haben bis jetzt die des Modems.


    Bin ich da richtig?


    NAS-Nic1 im selbem Netz wie der Rest wäre einfacher.



    lg
    fuetzi

    fuetzi


    Versuche gerade zu verstehen was du da vor hast weil funktionieren wird das vermutlich nicht, was ist eigentlich dein Ziel von deinem Projekt?...

    Ziel wird sein, eine VM am NAS mit Sophos laufen zu haben, die über 2 phy. Nics den Traffic zu überwachen.
    Die Frage war eigentlich ob ich die Netze trennen soll. Also 192.168.0.x richtung Modem, 192.168.1.x ins LAN.
    Bzw. wie das die Sophos macht/lieber hat.


    lg
    fuetzi

    Also ich kann dir eines bereits jetzt sagen die WAN Leitung immer die IP Adresse deines ISP bekommen das heißt 192.168.0.x Richtung Modem fällt schon mal weg (außer du meinst mit deiner Beschreibung das es eigentlich eine IP Adresse für das interne LAN dann sein soll), fange einmal klein an und zwar mit der wichtigsten Verbindung überhaupt.....


    ETH1 Port an der QNAP (UTM Box - mit der IP deines ISP) -------> Internet Modem -------> Internet
    ETH2 an der QNAP (UTM Box - mit der IP deines lokalen LAN zb 192.168.0.254/24) ----------> Switch (zb) ------> Div. Endgeräte....


    Netzwerke trennt man eher per VLANs und wenn du sich die Geräte zwischen den VLANs unterhalten sollen wird es kompliziert weil dann brauchst du entweder eine Layer3 Netzwerk Hardware oder deine UTM erledigt diese Aufgabe, weder das eine noch das andere lässt sich in ein paar Minuten einrichten und das Thema selber ist nicht gerade trivial....


    Besser ist es für dich das Netz flach zu halten, ein Broadcast Netz für alle Endgeräte und fertig.... Aber selbst wenn du sagst ok ich will VLANs haben, eventuell später, dann brauchst du so oder so einmal die oben beschriebene Ausgangsbasis...

    Hatte ich noch nicht erwähnt...ich habe ein LTE-Modem.
    Dieses vergibt dann nach innen die 192.168.0.x IP´s. Dieses soll dann der Eingang in die virtuelle UTM sein (also ext. WAN quasi).
    Vlan´s gibts keine, hab auch keinen Manageged Switch dafür.
    Daher eben 2 Netze. 192.168.0 für incoming und 1 für internen Traffic.


    Oder...da fällt mir gerade beim tippen ein...es gibt auf dem Modem einen DMZ-Port.
    Sollte ich nicht lieber den incoming troaffic von dort holen?



    lg
    fuetzi