Hallo,
wir möchten bei uns im Unternehmen eine Securepoint RC100 einsetzen. Die Grundkonfiguration haben wir schon durchgeführt. Jetzt gibt es aber noch ein paar Fragen, in denen auch das Wiki nicht weiterhilft.
Folgendes wurde konfiguriert:
Securepoint als Exposed Host an FritzBox
eth1: Kabelmodem mit statischer IP Adresse
eth2: internes LAN: 192.168.10.0/24
wlan0: 192.168.11.0/24
DHCP in eth2 und wlan0
Die Standardregeln im Portfilter wurden für eth2 und wlan0 angelegt. Aus beiden Netzen kann gesurft werden und vom internen LAN kann auch auf die Geräte im WLAN zugegriffen werden. Was allerdings nicht funktioniert ist der Zugriff vom WLAN auf das interne LAN. Weder Ping noch http oder sonst was. Und das obwohl ja bereits die Standardregel "wlan0 -> internal Network any Accept" automatisch angelegt wurde.
Bereits erfolglos probiert habe ich:
1. Unter Netzwerkkonfiguration -> Routing eine Route angelegt: Quelle: 192.168.11.0/24; Gateway: 192.168.11.100; Ziel: 192.168.10.0/24.
2. In der Portfilterregel unter "Rule Routing" das Gateway der Securepoint eingetragen: 192.168.11.100
3. alte Portfilterregel gelöscht und neue erstellt. Auch mit verschiedenen Diensten probiert oder unsere NAS mit einer IP als Netzwerkobjekt konfiguriert und in der Regel eingetragen.
4. Reset der Securepoint
im LOG steht dazu nichts, kein DROP oder ähnliches. Warum funktioniert die internal Network -> wlan0 Verbindung obwohl keine Route, sondern nur eine Portfilterregel angelegt wurde? Genauso bei SSL VPN.
Dann noch ein anderes Thema:
stelle ich beim eth1 Interface auf Kabelmodem mit DHCP, erhält die Securepoint eine IP Adresse von der vorgeschalteten FritzBox. Leider funktioniert das nur kurze Zeit, denn nach ein paar Stunden verwirft die Securepoint ihre erhaltene DHCP Adresse und der Zugang zum Internet vom LAN funktioniert natürlich auch nicht mehr. Es bleibt dann nur noch die Möglichkeit eine statische IP einzutragen. Ein Blick in die FritzBox verrät, dass die Securepoint von der FritzBox auch gar nicht mehr unter aktive Verbindungen aufgeführt wird, obwohl sie immer noch angeschlossen ist. Ist das vielleicht ein bekannter Fehler?
1. Muss in Konfiguration der FritzBox auf etwas speziell geachtet werden, wenn ich die Securepoint an die Fritzbox hänge? Sollte man UPnP aktivieren/deaktivieren? Portweiterleitungen neben Exposed Host etc...?
Grüße
Fragen zu Portfilterregeln und FritzBox
Moderator: Securepoint
Hallo,
wenn die Securepoint ein default Drop ausgibt stimmt etwas mit den Regeln nicht bzw. mit dem Netzwerkobjekt. Überprüfen Sie die Zonen in den Netzwerkobjekten und auf den Schnittstellen.
Das Problem mit der Fritzbox kann ich nicht beantworten wenn die Fritzbox dieses nicht mehr anzeigt. Evtl. könnte es helfen wenn Sie auf der eth Schnittstelle einmal Autonegotiation ausschalten. Nicht das die Fritzbox bei der Aushandlung was verliert und dann die Verbindung trennt.
Gruß Björn
wenn die Securepoint ein default Drop ausgibt stimmt etwas mit den Regeln nicht bzw. mit dem Netzwerkobjekt. Überprüfen Sie die Zonen in den Netzwerkobjekten und auf den Schnittstellen.
Das Problem mit der Fritzbox kann ich nicht beantworten wenn die Fritzbox dieses nicht mehr anzeigt. Evtl. könnte es helfen wenn Sie auf der eth Schnittstelle einmal Autonegotiation ausschalten. Nicht das die Fritzbox bei der Aushandlung was verliert und dann die Verbindung trennt.
Gruß Björn
Hallo Björn,
danke für die Antwort. Den Tipp mit der Autonegotiation werde ich das nächste Mal beherzigen.
Zu dem Thema mit der Portfilterregel vom WLAN ins interne LAN folgendes: Habe die Firewall nochmal zurückgesetzt und alle Regeln von Hand angelegt. Beim Ping vom WLAN ins LAN steht im LOG jetzt zumindest ein ACCEPT ICMP. In der Konsole läuft der Ping aber leider nicht durch. Beim Zugriff auf ein Netzwerkpfad vom WLAN ins LAN steht im LOG auch ein ACCEPT TCP 445. Der Zugriff auf das Gerät im LAN geht aber trotzdem nicht.
Anders herum vom LAN ins WLAN funktioniert alles bestens.
Ist der Zugriff vom WLAN ins LAN so nicht vorgesehen bei der Securepoint? Könnte die Firewall einen Defekt haben? Was kann ich noch probieren? Warum steht im LOG ACCEPT bei der Paketübergabe, wenn es tatsächlich nicht funktioniert?
danke für die Antwort. Den Tipp mit der Autonegotiation werde ich das nächste Mal beherzigen.
Zu dem Thema mit der Portfilterregel vom WLAN ins interne LAN folgendes: Habe die Firewall nochmal zurückgesetzt und alle Regeln von Hand angelegt. Beim Ping vom WLAN ins LAN steht im LOG jetzt zumindest ein ACCEPT ICMP. In der Konsole läuft der Ping aber leider nicht durch. Beim Zugriff auf ein Netzwerkpfad vom WLAN ins LAN steht im LOG auch ein ACCEPT TCP 445. Der Zugriff auf das Gerät im LAN geht aber trotzdem nicht.
Anders herum vom LAN ins WLAN funktioniert alles bestens.
Ist der Zugriff vom WLAN ins LAN so nicht vorgesehen bei der Securepoint? Könnte die Firewall einen Defekt haben? Was kann ich noch probieren? Warum steht im LOG ACCEPT bei der Paketübergabe, wenn es tatsächlich nicht funktioniert?
Hallo,
doch wenn die Regel angelegt ist muss es gehen. Denken Sie bitte daran das Sie im WLAN ein anderes Subnetz haben wie im LAN. Evtl. mal die Windowsfirewall deaktivieren. Sollte das auch nicht klappen einfach ein Ticket erstellen. Am besten gleich über das Reseller Portal.
Gruß Björn
doch wenn die Regel angelegt ist muss es gehen. Denken Sie bitte daran das Sie im WLAN ein anderes Subnetz haben wie im LAN. Evtl. mal die Windowsfirewall deaktivieren. Sollte das auch nicht klappen einfach ein Ticket erstellen. Am besten gleich über das Reseller Portal.
Gruß Björn