Hallo,
wir möchten eine DMZ komplett vom Hausnetz trennen und möchten dafür eine zweite Securepoint benutzen. Im Hausnetz haben ja alle als Gateway die UTM1 eingetragen.
Hausnetz: 192.168.100.0/24
UTM1 (intern): 192.168.100.5
UTM2 (intern): 192.168.100.6, Die DMZ hat die IP 192.168.15.0/24.
Ich muss ja jetzt der UTM1 sagen, dass die DMZ hinter der UTM2 steht.
Mach ich das mit einem RuleRouting oder wie bin ich da auf dem Holzweg?
Danke
Leon
2x UTM in einem Netz - Routing?
Moderator: Securepoint
Hallo,
eine normale Route + Regel reichen.
Route auf UTM1:
Ziel: 192.168.15.0/24
GW 192.168.100.6
Regel dazu:
Quelle: internes Netz
Ziel: das Objekt mit dem 15er Netz (das Objekt muss in der Zone internal sein)
Dienst: Was benötigt wird
Wichtig bei der Regel ist, entweder die Aktion von ACCEPT auf Stateless zu setzen oder in der Regel ein HideNAT auf das interne interface der UTM1. (Ansonsten haben Sie Probleme mit Asynchronen Routing).
Gruß
Kenneth
eine normale Route + Regel reichen.
Route auf UTM1:
Ziel: 192.168.15.0/24
GW 192.168.100.6
Regel dazu:
Quelle: internes Netz
Ziel: das Objekt mit dem 15er Netz (das Objekt muss in der Zone internal sein)
Dienst: Was benötigt wird
Wichtig bei der Regel ist, entweder die Aktion von ACCEPT auf Stateless zu setzen oder in der Regel ein HideNAT auf das interne interface der UTM1. (Ansonsten haben Sie Probleme mit Asynchronen Routing).
Gruß
Kenneth
Danke für die Antwort!
Da ja die UTM2 die Regeln beinhalten soll (sonst wäre es ja sinnlos eine eigene zu benutzen), kann ich doch bei der UTM1 die Regel auf any stellen und eben Stateless?
Das müsste doch passen?
Die zweite UTM haben wir uns angeschafft, da einiges an kleinen Paketen über das Netzwerk geht und wir unsere große UTM nicht unnötig belasten wollen.
Da ja die UTM2 die Regeln beinhalten soll (sonst wäre es ja sinnlos eine eigene zu benutzen), kann ich doch bei der UTM1 die Regel auf any stellen und eben Stateless?
Das müsste doch passen?
Die zweite UTM haben wir uns angeschafft, da einiges an kleinen Paketen über das Netzwerk geht und wir unsere große UTM nicht unnötig belasten wollen.
Ja das passt
Der Portfilter der Securepoint verwendet SPI (Stateful Packet Inspection).
In der UTM passiert folgendes:
Client schickt Paket für das DMZ Netz an UTM1 (default GW) (TCP-SYN)
UTM1 routet das Paket an UTM2 (TCP-SYN)
UTM2 schickt es an den richtigen Empfänger (TCP-SYN) und das Paket kommt zurück (TCP-SYN/ACK)
UTM2 steht im gleichen Netz wie der Client und stellt das Paket dem Client zu (Source IP-Header) (TCP-SYN/ACK)
Client beantwortet das Paket und schickt die Antwort an UTM1 (default GW) (TCP-ACK)
Nun der Kasus Knacksus: Die SPI auf UTM1 merkt: Moment hier stimmt was nicht - das SYN habe ich gesehen, das SYN-ACK nicht - warum kommt hier jetzt ein ACK vom Client?
Steht die Regel nun normal auf ACCEPT verwirft der Portfilter das Packet (NewStateWithoutSYN)
Steht die Regel auf STATELESS - wird dieses verhalten ignoriert.
Gruß
In der UTM passiert folgendes:
Client schickt Paket für das DMZ Netz an UTM1 (default GW) (TCP-SYN)
UTM1 routet das Paket an UTM2 (TCP-SYN)
UTM2 schickt es an den richtigen Empfänger (TCP-SYN) und das Paket kommt zurück (TCP-SYN/ACK)
UTM2 steht im gleichen Netz wie der Client und stellt das Paket dem Client zu (Source IP-Header) (TCP-SYN/ACK)
Client beantwortet das Paket und schickt die Antwort an UTM1 (default GW) (TCP-ACK)
Nun der Kasus Knacksus: Die SPI auf UTM1 merkt: Moment hier stimmt was nicht - das SYN habe ich gesehen, das SYN-ACK nicht - warum kommt hier jetzt ein ACK vom Client?
Steht die Regel nun normal auf ACCEPT verwirft der Portfilter das Packet (NewStateWithoutSYN)
Steht die Regel auf STATELESS - wird dieses verhalten ignoriert.
Gruß
Danke für die ausführliche Antwort.
Ich habe jetzt alles eingerichtet, allerdings funktioniert es noch nicht.
Wenn ich von einem Client in der DMZ der sich hinter der UTM2 befindet einen Ping auf einen Client der sich im "Hausnetz" befindet absetze, dann hängt sich die UTM2 auf. Ich erreiche das Webinterface erst wieder, wenn ich die UMT2 neu starte.
Ich habe das ganze aber ein wenig umgebaut. Das Hausnetz ist für die UTM2 das "externe Netz" und die DMZ ist das "interne Netz" Irgendwo ist noch der Wurm drinn. Ich vermute ich benötig auf der UTM2 noch eine Route. Die Regeln stehen im mom auf "any"
Ich habe jetzt alles eingerichtet, allerdings funktioniert es noch nicht.
Wenn ich von einem Client in der DMZ der sich hinter der UTM2 befindet einen Ping auf einen Client der sich im "Hausnetz" befindet absetze, dann hängt sich die UTM2 auf. Ich erreiche das Webinterface erst wieder, wenn ich die UMT2 neu starte.
Ich habe das ganze aber ein wenig umgebaut. Das Hausnetz ist für die UTM2 das "externe Netz" und die DMZ ist das "interne Netz" Irgendwo ist noch der Wurm drinn. Ich vermute ich benötig auf der UTM2 noch eine Route. Die Regeln stehen im mom auf "any"
STATELESS funktioniert nicht, da macht der Client nicht mit weil die Antwort von ner anderen MAC (UTM2) kommt, er selbst das Paket an die UTM1 geschickt hat.
Es geht als nur über ein anderes Subnetz + Interface dazwischen oder mit dem HideNat.
Das gleiche kann bei Side To Side Verbindungen über verschiedene Gateways passieren.
Sollte noch jemand eine coole Idee zum stateless haben, bitte gerne her damit
Danke!
Es geht als nur über ein anderes Subnetz + Interface dazwischen oder mit dem HideNat.
Das gleiche kann bei Side To Side Verbindungen über verschiedene Gateways passieren.
Sollte noch jemand eine coole Idee zum stateless haben, bitte gerne her damit
Danke!
Ich hole das ganze hier nochmal hoch, evtl. hängt mein aktuelles Problem zusammen.
Die Konstellation ist minimal anders. Das Hausnetz ist für die UTM2 quasi das externe Netz und hängt an eth0. Das Interne Netz ist dann die DMZ die abgeschottet werden soll. Ich habe alle Zonen und Netzwerkobjekte neu angelegt.
Ich habe jetzt bei den Clients im Hausnetz eine Route eingetragen. Dann brauch ich die UTM1 nicht mit einbeziehen. Durch GPO lässt sich die Route leicht verteilen.
Allerdings habe ich ein Problem mit der Administration. Ich möchte vom Hausnetz über eth0 auf die Administration zugreifen. Ich habe unter Serverinstellungen -> Administration die IP des Hausnetz 192.168.100.0/24 eingetragen.
Jetzt habe ich das Problem, dass es nur manchmal funktioniert. Ab und zu bekomme ich Timeouts oder die Firewall meldet "Fehlende Antwort vom Backend".
Ich bin auch in die DMZ also an eth1. Hier funktioniert die Administration auch wenn ich hier ab und zu auch "Fehlende Antwort vom Backend" erhalte.
Was kann hier faul sein?
Ich weiß das ist ein bisschen ein Blick in die Glaskugel, aber vielleicht hatte jemand bereits das gleiche Problem.
Die Konstellation ist minimal anders. Das Hausnetz ist für die UTM2 quasi das externe Netz und hängt an eth0. Das Interne Netz ist dann die DMZ die abgeschottet werden soll. Ich habe alle Zonen und Netzwerkobjekte neu angelegt.
Ich habe jetzt bei den Clients im Hausnetz eine Route eingetragen. Dann brauch ich die UTM1 nicht mit einbeziehen. Durch GPO lässt sich die Route leicht verteilen.
Allerdings habe ich ein Problem mit der Administration. Ich möchte vom Hausnetz über eth0 auf die Administration zugreifen. Ich habe unter Serverinstellungen -> Administration die IP des Hausnetz 192.168.100.0/24 eingetragen.
Jetzt habe ich das Problem, dass es nur manchmal funktioniert. Ab und zu bekomme ich Timeouts oder die Firewall meldet "Fehlende Antwort vom Backend".
Ich bin auch in die DMZ also an eth1. Hier funktioniert die Administration auch wenn ich hier ab und zu auch "Fehlende Antwort vom Backend" erhalte.
Was kann hier faul sein?
Ich weiß das ist ein bisschen ein Blick in die Glaskugel, aber vielleicht hatte jemand bereits das gleiche Problem.