Mehrere statische IP Adressen von Unitymedia (KabelBW) an einer Sophos UTM nutzen

Bei einigen Tarifen bietet KabelBW bzw. jetzt Unitymedia mehrere statische IP Adressen an.

Diese müssen über deren Portal aktiviert werden. Hierzu sind die MAC Adressen der WAN-Anschlüsse des bzw. der Router ein zu tragen. Jeder MAC Adresse kann EINE statische IP Adresse zugewiesen werden.

Üblicherweise bekommt der Kunde bei einem Business-Anschluss mit 5 statischen IP Adressen ein Cisco Modem. Dahinter wird dann ein Router bzw. eine Firewall angeschlossen.

In unserem Fall betreiben wir eine Sophos Firewall daran. Diese, wie sehr viele andere Router/Firewalls, bietet zwar die Möglichkeit, virtuelle Adressen am WAN Port zu definieren. Das bringt uns unserem Wunschszenario, mehrere IP Adressen an den WAN Port der Firewall zu leiten, aber nicht näher.

Unser Weg:
Hinter dem Cisco-Modem greifen wir das Internetsignal nicht direkt mit der WAN-Schnittstelle der Sophos ab (was nur eine MAC hätte), sondern schalten einen 5-Port Gigabit Switch dazwischen. Nun leiten wir zwei WAN-Leitungen an zwei Schnittstellen der Firewall, welche wir jeweils als WAN (WAN1 und WAN2) konfigurieren. Somit verfügen wir nun über ZWEI MAC Adressen, die wir den jeweils gewünschten IP Adressen im Portal von Unitymedia zuordnen. Nun erhalten wir auch die entsprechenden Adressen in der Sophos Firewall.

Wir möchten einen FTP Server aus dem LAN heraus so betreiben, dass dieser über die 2. statische IP Adresse erreichbar ist UND auch darüber hinaus ins Internet gelangt. Leider lässt sich nur EINE der WAN-Anschlüsse als Default Gateway definieren. Routing Policies etc. verhalfen uns nicht, dieses Szenario um zu setzen.

Was hilft ist die Konfiguration der beiden WAN-Schnittstellen unter Interfaces & Routing/Interfaces als Uplink balance:

Uplink balance
Uplink balance

Auf diese Weise können beide nun als Default Gateway fungieren.

Die Maskierung sieht dementsprechend auch einfach aus (man beachte „Uplink Interfaces“):

uplink interfaces
uplink interfaces

Zu guter letzt, und das bringt den gewünschten Split:

Unter Interfaces & Routing / Multipath Rules kann nun dem einzelnen FTP Server die WAN2 Schnittstelle zugewiesen werden (zweiten Regel). Das restliche LAN hingegen bekommt aber die WAN1 angefacht (erste Regel):

wan ip splitting
wan ip splitting

split-tunnel bei SSH-VPN einer Sophos UTM (Astaro) unterbinden

Ein Kunden muss auf bestimmte Webdienste unter seiner statischen IP Adresse (die der Firma) gelegentlich auch von unterwegs zugreifen. Nur über diese Adresse kommend erhält er dort Einlass.

Er könnte über TeamViewer von unterwegs auf einen Rechner in der Firma zugreifen und darüber dann den Browser bedienen.

Wir entschieden uns aber, seine vorhandene Sophos UTM Firewall zu nutzen.

Folgendermaßen ging ich vor:

Einrichtung einer SSL-VPN Verbindung. Diese hat jedoch zunächst die Eigenschaft, einen split-tunnel zu erstellen, sprich: Nur der Trafic für das entfernte LAN wird durch den Tunnel geleitet, andere Anfragen, so auch die Web-Aufrufe (die eigentlich über die Firmen-IP erfolgen sollen), würden direkt vom Client ins Web gleitet.

Um dies zu unterbinden genügt es, in der Konfiguration unter „Lokale Netzwerke“ des SSL-VPN Profiles (Fernzugriff/SSL) in der Sophos UTM „Any“ für das erlaubte Netzwerk zur VPN Nutzung ein zutragen. Damit veranlasst die Sophos, dass der gesamte Trafic durch den Tunnel geroutet wird. Ein evtl. bereits eingerichteter VPN Client muss mit neu heruntergeladenen Konfig-Daten aktualisiert werden. Vergesst die automatischen Firewall-Regeln nicht oder aber setzt manuelle Regeln für das neue Netzwerk.

split-tunnel umgehen
split-tunnel abschalten

Nicht zu vergessen ist, dass wir in der Firewall nun das zugehörige VPN-SSL Netzwerk noch maskieren müssen, damit das Netzwerk auch „raus“ ins Internet kann.

zusätzliches Netzwerk maskieren
NAT Maskierung

Migration des Collaboration Service (Wiki) von 10.6.8 Snow Leopard nach 10.8.x Mountain Lion Server

Notiz für mich als Gedankenstütze – und für alle anderen, die es interessiert:

Migration des Collaboration Service (Wiki Server) von 10.6.8 Snow Leopard nach 10.8.4 Mountain Lion Server

Migration des Collaboration Service (Wiki) von 10.6.8 Snow Leopard nach 10.8.x Mountain Lion Server weiterlesen

Datumsangaben in Mail ändern sich auf aktuelles Datum nach Verschieben

Bei einem Kunden hatte und ich das Problem, dass Emails, die manuell von einem lokalen Postfach oder einem IMAP bzw. Exchange Postfach auf einen Exchange-Ordner verschoben werden, das aktuelle Datum des Momentes des Verschiebens erhält bzw. so dann in Apple Mail dargestellt wird.

Datumsangaben in Mail ändern sich auf aktuelles Datum nach Verschieben weiterlesen

Ab sofort kann jeder, auch ohne Apple Gerät, Pages Numbers und Keynote für iCloud verwenden

Apple hat die Nutzung seiner Office Programme weiter geöffnet. Jetzt ist der Zugriff auf diese Dienste kostenfrei auch für Interessenten möglich, die über keine Apple Hardware verfügen.

Über beta.cloud.com kann man sich eine kostenlose Apple-ID erstellen und gleich loslegen.

In dem, früher als iWork bezeichneten Programmpaket, stehen Ihnen u.a. Pages, Numbers und Keynote, sowie weitere Funktionen zur Verfügung.

Apple Tunderbolt Display Update 1.2 erscheint immer wieder …

Wenn das Update über den App Store immer wieder angezeigt wird, obwohl man es bereits durchgeführt hat, könnte folgende Veränderung zur Lösung führen:

Achten Sie darauf, dass das Display des dabei angeschlossenen MacBook Pro geöffnet ist, wenn Sie den Aktualisierer starten!