Hallo,
wir haben eine UTM im Einsatz: WAN, LAN und DMZ sind eingerichtet. Der normale Internetverkehr unseres LANs geht ganz normal über die UTM in's WAN/Internet.
Nun möchten wir aber den Netzwerkverkehr an bestimmte externe IP-Adressen vom LAN aus über die DMZ bzw. an einen weiteren Router in der DMZ leiten (der restliche Verkehr soll nach wie vor unverändert direkt ins WAN gehen)
Wie geht das? Ich komme bisher mit den Portfilter-Regeln nicht weiter.
Vielen Dank schomal!
Grüße
dwmf
[Gelöst]Routing für bestimmte externe IPs über DMZ
Moderator: Securepoint
Nachtrag: entsprechende Route haben wir gesetzt (LAN => nächster Router/Hop in der DMZ => Ziel-Netz: entsprechend eingetragen).
Wenn ich dann im LAN versuche einen ping/tracert auf die Ziel-Adresse (in der Route eingetragen) zu machen, sehe ich im Securepoint-Log, dass diese Pakete gedropped werden (Default Drop).
Ich habe also verschiedenste Portfilter-Regeln eingetragen, aber keine davon hat dazu beigetragen, dass die Verbindung zustande kommt? Was für eine Regel muss ich hier eintragen?
Danke!
Wenn ich dann im LAN versuche einen ping/tracert auf die Ziel-Adresse (in der Route eingetragen) zu machen, sehe ich im Securepoint-Log, dass diese Pakete gedropped werden (Default Drop).
Ich habe also verschiedenste Portfilter-Regeln eingetragen, aber keine davon hat dazu beigetragen, dass die Verbindung zustande kommt? Was für eine Regel muss ich hier eintragen?
Danke!
-
pascal
Moin,
damit Sie in das DMZ-Netz kommen brauchen Sie eine Regel
Quelle aus Internal Network -> Ziel im DMZ Network - Dienst
Die Quelle und das Ziel können Sie über ein Netzwerkobjekt eingrenzen, damit nicht alle Clients aus den jeweiligen Netzen erreichbar sind / in das andere Netz kommunizieren dürfen.
damit Sie in das DMZ-Netz kommen brauchen Sie eine Regel
Quelle aus Internal Network -> Ziel im DMZ Network - Dienst
Die Quelle und das Ziel können Sie über ein Netzwerkobjekt eingrenzen, damit nicht alle Clients aus den jeweiligen Netzen erreichbar sind / in das andere Netz kommunizieren dürfen.
Hallo,
danke für die Antwort.
Eine solche Regel habe ich eingerichtet, im Log meldet nun, dass meine Anfragen accepted werden (auf Basis dieser Regel), aber ein Zugriff ist trotzdem nicht möglich. Seltsamerweise kann ich das Gerät in der DMZ auch nicht von der Securepoint aus anpingen (von "Netzwerk" => "Netzwerkwerkzeuge" aus), wenn ich als Absender-Adresse die Securepoint-Gateway-IP unseres internen Netzes nehme. Wenn ich hier als Absender-Adresse die Securepoint-Gateway-IP der DMZ nehme, geht es (sprich: es liegt nicht am Gerät in der DMZ, grundsätzlich antwortet das auf Ping-Anfragen, aber sobald ich es von unserem internen Netz mache, komme ich nicht durch - obwohl - wie gesagt - laut Log hier keine Pakete mehr gedropped werden).
Fehlt hier noch eine Einstellung? Was kann ich hier noch tun?
Danke und Grüße
danke für die Antwort.
Eine solche Regel habe ich eingerichtet, im Log meldet nun, dass meine Anfragen accepted werden (auf Basis dieser Regel), aber ein Zugriff ist trotzdem nicht möglich. Seltsamerweise kann ich das Gerät in der DMZ auch nicht von der Securepoint aus anpingen (von "Netzwerk" => "Netzwerkwerkzeuge" aus), wenn ich als Absender-Adresse die Securepoint-Gateway-IP unseres internen Netzes nehme. Wenn ich hier als Absender-Adresse die Securepoint-Gateway-IP der DMZ nehme, geht es (sprich: es liegt nicht am Gerät in der DMZ, grundsätzlich antwortet das auf Ping-Anfragen, aber sobald ich es von unserem internen Netz mache, komme ich nicht durch - obwohl - wie gesagt - laut Log hier keine Pakete mehr gedropped werden).
Fehlt hier noch eine Einstellung? Was kann ich hier noch tun?
Danke und Grüße
Super, damit hat es geklappt, diese Variante hatte ich wohl doch nocht nicht probiert. Danke! Nun komme ich in die DMZ.
Mein nächstes Ziel ist: in der DMZ habe ich - wie oben schon beschrieben - ein Gerät (Router) stehen. Dessen LAN-Seite hängt an der DMZ-Seite der Securepoint, die WAN-Seite des Routers in der DMZ hängt an einem Internetanschluss. Mit der Regel von Bjoern komme ich nun auch auf den Router in der DMZ.
Nun möchte ich Anfragen aus dem internen Netz, die eine bestimmte Ziel-Adresse (aus dem Internet) haben, über den Router in der DMZ leiten. D.h. ich habe in der Securepoint eine Route eingerichtet (Quelle: internes Netz => Gateway: IP des Routers in der DMZ => Ziel: IP des Ziels ( = IP einer Website im Internet). Allerdings ohne Erfolg, meine Anfragen bleiben gleich an der Securepoint hängen (traceroute zeigt an, dass ich gar nicht erst zu dem Router in der DMZ komme).
Wie kann ich diese Weiterleitung erreichen?
Danke und Grüße
Mein nächstes Ziel ist: in der DMZ habe ich - wie oben schon beschrieben - ein Gerät (Router) stehen. Dessen LAN-Seite hängt an der DMZ-Seite der Securepoint, die WAN-Seite des Routers in der DMZ hängt an einem Internetanschluss. Mit der Regel von Bjoern komme ich nun auch auf den Router in der DMZ.
Nun möchte ich Anfragen aus dem internen Netz, die eine bestimmte Ziel-Adresse (aus dem Internet) haben, über den Router in der DMZ leiten. D.h. ich habe in der Securepoint eine Route eingerichtet (Quelle: internes Netz => Gateway: IP des Routers in der DMZ => Ziel: IP des Ziels ( = IP einer Website im Internet). Allerdings ohne Erfolg, meine Anfragen bleiben gleich an der Securepoint hängen (traceroute zeigt an, dass ich gar nicht erst zu dem Router in der DMZ komme).
Wie kann ich diese Weiterleitung erreichen?
Danke und Grüße
Hallo,
existiert das Ziel mit der Zone DMZ als Netzwerkobjekt? Gibt es eine Regel die es erlaubt dieses Ziel zu erreichen mit HN auf das dmz interface?
Gibt es Rule Routing einträge? Wenn ja könnten die es ggf. verhindern. Da rule Rouing vor den Ziel-Routen greift.
Gruß Björn
existiert das Ziel mit der Zone DMZ als Netzwerkobjekt? Gibt es eine Regel die es erlaubt dieses Ziel zu erreichen mit HN auf das dmz interface?
Gibt es Rule Routing einträge? Wenn ja könnten die es ggf. verhindern. Da rule Rouing vor den Ziel-Routen greift.
Gruß Björn
Hallo,
das Ziel existiert als Netzwerkobjekt (allerdings mit Zone external, werde das nun auf dmz1 ändern), allerdings hatte ich die besagte Regel nicht konfiguriert - werde ich ebenfalls gleich mal probieren - danke!
Was ist der Unterschied zwischen Rule Routing und Ziel-Routen? Ich hatte einige Versuche mit Routen unter Netzwerk => Netzwerkkonfiguration => Routing gemacht
Grüße
das Ziel existiert als Netzwerkobjekt (allerdings mit Zone external, werde das nun auf dmz1 ändern), allerdings hatte ich die besagte Regel nicht konfiguriert - werde ich ebenfalls gleich mal probieren - danke!
Was ist der Unterschied zwischen Rule Routing und Ziel-Routen? Ich hatte einige Versuche mit Routen unter Netzwerk => Netzwerkkonfiguration => Routing gemacht
Grüße
Habe das Netzwerkobjekt entsprechend geändert, eine passende Regel erstellt + eine Route (mit Router in der DMZ als Gateway) hinzugefügt und nun funktioniert es! Der Netzwerkverkehr an eine bestimmte Ziel-Adresse geht nun über die DMZ, der Rest ganz normal wie bisher über den "normalen" Weg.
Vielen Dank für die Hilfe!!
Vielen Dank für die Hilfe!!
Hallo,
der Unterschied liegt in liegt an der Abarbeitung des Routings. Als erstes greift das Routing unter den Netzten die direkt auf der UTM liegen. Danach kommen die rule routen, dann die source routen, Ziel routen und zum Schluss die default routen.
Gruß Björn
der Unterschied liegt in liegt an der Abarbeitung des Routings. Als erstes greift das Routing unter den Netzten die direkt auf der UTM liegen. Danach kommen die rule routen, dann die source routen, Ziel routen und zum Schluss die default routen.
Gruß Björn