SSLVPN oder internal Network zu DMZ

Moderator: Securepoint

Gesperrt
Grisu74
Beiträge: 40
Registriert: Fr 18.03.2011, 17:29

SSLVPN oder internal Network zu DMZ

Beitrag von Grisu74 »

Hallo zusammen.

Was muß ich alles konfigurieren, damit ich vom internal Network oder vom SSLVPN.Client Zugriff auf einen Rechner in der DMZ habe?

SSLVPN > DMZ1 > any
DMZ1 > PC > any

internal Network > DMZ1 > any


damit sollte doch eigentlich alles funktionieren oder?

Ich bekomme nichtmal einen Ping hin. :'(

Gruß

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

da kann so einiges schief gegenagen sein.
SSLVPN > DMZ1 > any
Nach dem Anlegen der Regel ist der Dienst SSL-VPN neuzustarten.

Welche Zonen liegen auf den Interfacen? Welche wurde für die Netzwerkobjekte ausgewählt? Welche Netzmasken, IPs wurden verwendet.

Hier gab es schon des öfteren Zahlendreher, etc.

192.168.250.0/24 vpn-openvpn -> 192.168.1.0/24 internal -> any

192.168.1.0/24 internal -> 172.16.0.0/24 dmz1 -> any
Zuletzt geändert von carsten am Di 17.05.2011, 09:39, insgesamt 1-mal geändert.
There are 10 types of people in the world... those who understand binary and those who don\'t.

Grisu74
Beiträge: 40
Registriert: Fr 18.03.2011, 17:29

Beitrag von Grisu74 »

Hallo.

Netzwerke:

internal Network 192.168.1.0/24 internal
internal Interface 192.168.1.254/32 firewall internal

PC DMZ1 192.168.100.1/32 DMZ1
DMZ1 (interface) 192.168.100.0/24 firewall-dmz1

Mir würde der Zugriff von internal Network schon mal genügen.

Gruß

Grisu74
Beiträge: 40
Registriert: Fr 18.03.2011, 17:29

Beitrag von Grisu74 »

Code: Alles auswählen

<4>May 17 18:29:46 kernel: DROP(default) IN=eth1 OUT=eth2 SRC=192.168.1.22 DST=192.168.100.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=588 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=2101 
Das Log zeigt, das die Firewall immer blockiert.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Grisu74 hat geschrieben: Hallo.

DMZ1 (interface) 192.168.100.0/24 firewall-dmz1

Wie wäre es wenn Sie ein

DMZ-Network 192.168.100.0/24 dmz1

Netzwerkobjekt anlgen und damit die Regel machen.

- liegt auf eth1 die Zone (internal, firewall-internal)
- liegt auf eth2 die Zone (dmz1, firewall-dmz1)
There are 10 types of people in the world... those who understand binary and those who don\'t.

Grisu74
Beiträge: 40
Registriert: Fr 18.03.2011, 17:29

Beitrag von Grisu74 »

Hallo.

Die Zonen sind so wie sie geschrieben haben.

Ich lege das Netzwerk mal an und ändere die Regeln.

Gruß

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Ist in der Dienstgruppe any auch any drinne?
There are 10 types of people in the world... those who understand binary and those who don\'t.

Grisu74
Beiträge: 40
Registriert: Fr 18.03.2011, 17:29

Beitrag von Grisu74 »

Ja.

in Dienstgruppe any ist auch any

Grisu74
Beiträge: 40
Registriert: Fr 18.03.2011, 17:29

Beitrag von Grisu74 »

Was ist eigentlich der Unterschied zwischen firewall-internal und firewall-dmz?

Gruß

JanP
Beiträge: 29
Registriert: Do 19.11.2009, 12:41

Beitrag von JanP »

firewall-internal beschreibt die Zone auf dem internen Interface.
firewall-dmz beschreibt die Zone auf dem dmz Interface.
Zonen können je nur für eine Schnittstelle konfiguriert werden.

Grüße

Gesperrt