Ziel Routing
Moderator: Securepoint
Ziel Routing
Hallo,
Ich hab die Suchfunktion schon benutzt allerdings imho nichts passendes gefunden.
Ich habe folgendes "Problem":
Ich möchte eine Route/Regel definieren damit Clients aus dem internal network wenn sie eine bestimmte IP erreichen wollen einen bestimmten Gateway nehmen müssen.
z.B.
Quelle PC im Netz 192.168.0.x -> Ziel 10.209.16.21 = Gateway 192.168.1.254
Wie Realisiere ich das am besten auf einer RC100 G3 UTM
Ich hab die Suchfunktion schon benutzt allerdings imho nichts passendes gefunden.
Ich habe folgendes "Problem":
Ich möchte eine Route/Regel definieren damit Clients aus dem internal network wenn sie eine bestimmte IP erreichen wollen einen bestimmten Gateway nehmen müssen.
z.B.
Quelle PC im Netz 192.168.0.x -> Ziel 10.209.16.21 = Gateway 192.168.1.254
Wie Realisiere ich das am besten auf einer RC100 G3 UTM
Hallo,
Danke für die Antwort
Aber das war nicht meine Frage, ich habe mich wsl nicht richtig ausgedrückt oder zu wenig Informationen geliefert.
Netz1
Clients: 192.168.0.x
Gateway: 192.168.0.1 (die UTM)
Ziel: Internet
Netz2
Clients: 192.168.1.x (Wobei es Clients nicht wirklich gibt)
Gateway: 192.168.1.254
Ziel: 10.206.15.9
Ich muss der UTM sagen das wenn ein Client der zum Ziel: 10.206.15.9 will er den Gateway 192.168.1.254 benutzen soll. Ich kann den Gateway von Netz2 auch direkt an die UTM z.B. auf Port 3 hängen wenn das hilft. Ich muss aber eben durch das Ziel bestimmen wo der Client hin soll und das geht mit dem Source Routing soweit ich das verstanden habe nicht. Bitte um berichtigung wenn das nicht stimmt.
mfg
Danke für die Antwort
Aber das war nicht meine Frage, ich habe mich wsl nicht richtig ausgedrückt oder zu wenig Informationen geliefert.
Netz1
Clients: 192.168.0.x
Gateway: 192.168.0.1 (die UTM)
Ziel: Internet
Netz2
Clients: 192.168.1.x (Wobei es Clients nicht wirklich gibt)
Gateway: 192.168.1.254
Ziel: 10.206.15.9
Ich muss der UTM sagen das wenn ein Client der zum Ziel: 10.206.15.9 will er den Gateway 192.168.1.254 benutzen soll. Ich kann den Gateway von Netz2 auch direkt an die UTM z.B. auf Port 3 hängen wenn das hilft. Ich muss aber eben durch das Ziel bestimmen wo der Client hin soll und das geht mit dem Source Routing soweit ich das verstanden habe nicht. Bitte um berichtigung wenn das nicht stimmt.
mfg
Hallo,
kurze Verständnis Frage: Welcher Client aus welchen Netz soll wo genau hin können? (Und welche IPs hat die UTM)
Gruß
kurze Verständnis Frage: Welcher Client aus welchen Netz soll wo genau hin können? (Und welche IPs hat die UTM)
Gruß
Hallo SaschaM,
für mich klingt das sehr nach asynchronem Routing.
Der Client möchte das entfernte Netz erreichen und schickt das Paket an die UTM. Diese leitet es (wenn eine statische Route vorhanden ist) an das entsprechende Gateway weiter. Das Antwortpaket wird jedoch vom Gateway direkt an den Client zugestellt. Die UTM sieht es also nicht und lässt das nächste Paket des Clients somit nicht zu, da sie keine korrekte Kommunikation sieht (Stichwort: Stateful Packet Inspection).
Der einfachste Weg, diese Kommunikation in den Griff zu bekommen ist, das Gateway an einen anderen Port der UTM anzuschließen und dort auch ein anderes Transfernetz zu verwenden. Dann müssen alle Pakete in das entfernte Netz und zurück immer durch die UTM. (Zusätzlich wird immer noch eine statische Route benötigt)
Bei dieser Lösung bitte nicht vergessen, das dann natürlich auch entsprechende Regeln benötigt werden ;-)
Grüße
Svenja
für mich klingt das sehr nach asynchronem Routing.
Der Client möchte das entfernte Netz erreichen und schickt das Paket an die UTM. Diese leitet es (wenn eine statische Route vorhanden ist) an das entsprechende Gateway weiter. Das Antwortpaket wird jedoch vom Gateway direkt an den Client zugestellt. Die UTM sieht es also nicht und lässt das nächste Paket des Clients somit nicht zu, da sie keine korrekte Kommunikation sieht (Stichwort: Stateful Packet Inspection).
Der einfachste Weg, diese Kommunikation in den Griff zu bekommen ist, das Gateway an einen anderen Port der UTM anzuschließen und dort auch ein anderes Transfernetz zu verwenden. Dann müssen alle Pakete in das entfernte Netz und zurück immer durch die UTM. (Zusätzlich wird immer noch eine statische Route benötigt)
Bei dieser Lösung bitte nicht vergessen, das dann natürlich auch entsprechende Regeln benötigt werden ;-)
Grüße
Svenja
Ein Client aus dem Netz 192.168.0.x soll wenn er das Gerät mit der IP 10.209.16.21 als Ziel hat den Gateway 192.168.1.254 benutzen.
Die UTM hat am
Port 1 das Internet mit dem Gateway 192.168.0.150 und der externen IP 192.168.0.1
Am Port 2 das Interne Netzwerk mit der IP 192.168.0.254
Und am Port 3 den Gateway/Router mit der IP 192.168.1.254 und dem an diesem Gateway/Router Angeschlossenen Endgerät mit der IP 10.209.16.21 (wenn das möglich ist, wenn nicht würde ich diesen Gateway/Router an einen Swtich hängen der am Port 2 hängt)
Die UTM hat am
Port 1 das Internet mit dem Gateway 192.168.0.150 und der externen IP 192.168.0.1
Am Port 2 das Interne Netzwerk mit der IP 192.168.0.254
Und am Port 3 den Gateway/Router mit der IP 192.168.1.254 und dem an diesem Gateway/Router Angeschlossenen Endgerät mit der IP 10.209.16.21 (wenn das möglich ist, wenn nicht würde ich diesen Gateway/Router an einen Swtich hängen der am Port 2 hängt)
Hallo SvenjaSvenja hat geschrieben:Der einfachste Weg, diese Kommunikation in den Griff zu bekommen ist, das Gateway an einen anderen Port der UTM anzuschließen und dort auch ein anderes Transfernetz zu verwenden. Dann müssen alle Pakete in das entfernte Netz und zurück immer durch die UTM. (Zusätzlich wird immer noch eine statische Route benötigt)
Bei dieser Lösung bitte nicht vergessen, das dann natürlich auch entsprechende Regeln benötigt werden ;-)
Grüße
Svenja
Danke für deine Antwort
Wenn du von Statischer Route sprichst, meinst du dann eine Route auf der UTM oder eine Route im Routing Table der Clients (Windows Routing) ?
Wie würde ich dieses Transfernetz einrichten, mit einer dmz ?
Zuletzt geändert von SaschaM am Fr 25.05.2018, 12:10, insgesamt 1-mal geändert.
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hallo,
das Routing wäre dazu schon der richtige Punkt.
Beispiel:
Sie möchten aus dem internen Netz (192.168.0.0/24) zu der IP 10.206.15.9 - der Router, der zu diesem Netz führt, befindet sich im Netz2.
Quelle: - kann leer gelassen werden
Gateway: Die IP des Routers im Netz2 (z.B. 192.168.1.254) - (die UTM Schnittstelle hat auf dem LAN Interface, an dem der Router angeschlossen ist z.B. die 192.168.1.1)
Ziel: 10.206.15.9
Somit wäre das Routing für die Firewall klar, wenn es zur 10.206.15.9 gehen soll, geht es auf dem Interface der Firewall mit der 192.168.1.1 raus zum Router mit der 192.168.1.254.
Zusätzlich benötigen Sie noch eine Portfilterregel:
internal-network -> 10.206.15.9 (Zone: Die Zone auf der Schnittstelle der Firewall mit der IP 192.168.1.1) -> Dienst
Ggf. müssten Sie noch ein NAT hinzufügen:
HideNAT - Schnittstelle: Das Interface der Firewall mit der IP 192.168.1.1
Beste Grüße
Christian
das Routing wäre dazu schon der richtige Punkt.
Beispiel:
Sie möchten aus dem internen Netz (192.168.0.0/24) zu der IP 10.206.15.9 - der Router, der zu diesem Netz führt, befindet sich im Netz2.
Quelle: - kann leer gelassen werden
Gateway: Die IP des Routers im Netz2 (z.B. 192.168.1.254) - (die UTM Schnittstelle hat auf dem LAN Interface, an dem der Router angeschlossen ist z.B. die 192.168.1.1)
Ziel: 10.206.15.9
Somit wäre das Routing für die Firewall klar, wenn es zur 10.206.15.9 gehen soll, geht es auf dem Interface der Firewall mit der 192.168.1.1 raus zum Router mit der 192.168.1.254.
Zusätzlich benötigen Sie noch eine Portfilterregel:
internal-network -> 10.206.15.9 (Zone: Die Zone auf der Schnittstelle der Firewall mit der IP 192.168.1.1) -> Dienst
Ggf. müssten Sie noch ein NAT hinzufügen:
HideNAT - Schnittstelle: Das Interface der Firewall mit der IP 192.168.1.1
Beste Grüße
Christian
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hallo,
Bitte beachten Sie, dass Sie ein Netz nicht auf zwei Schnittstellen verwenden können.
Port 1 (extern/Internet) und Port 2 (internes Netz) dürfen sich nicht beide im 192.168.0.0/24 Netz befinden.
Beste Grüße
Christian
Bitte beachten Sie, dass Sie ein Netz nicht auf zwei Schnittstellen verwenden können.
Port 1 (extern/Internet) und Port 2 (internes Netz) dürfen sich nicht beide im 192.168.0.0/24 Netz befinden.
Beste Grüße
Christian
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Super, dann wünsche ich ein schönes Wochenende!