Guten Tag,
in unserem Büro haben wir folgende Konstellation:
Fritzbox (192.168.178.1) -> UTM (192.168.0.1) -> Netzwerk mit WTS
Diverse Geräte sollen nun über das Fritzbox-Wlan auf das WTS zugreifen. Was muss ich wo einstellen, damit die Verbindungen der Rechner im Wlan durchgelassen werden?
Vielen Dank für die Hilfe!
Fritzbox: Von Wlan aufs interne Netz zugreifen
Moderator: Securepoint
Hallo xkky,
zunächst einmal muss in der Fritzbox eine Route eingetragen werden, damit diese weiß, wo sich das WTS Netz befindet (also auf die IP der UTM im Fritzbox-Netz).
Dann solltest du ein Netzwerkobjekt erstellen, dass das Fritzbox-Netz abbildet (z.B. Name: fritz-net -> Typ: Netzwerk (Adresse) -> Adresse: 192.168.178.0/24 -> Zone: external).
Ggf. auch noch ein Netzwerkobjekt für den WTS, wenn noch nicht vorhanden.
Zuletzt brauchst du eine Portfilterregel, die den Zugriff aus dem Fritzbox-Netz auf den WTS mit den benötigten Diensten erlaubt.
ACHTUNG: Bitte nicht statt dem Netzwerkobjekt fritz-net das Netzwerkobjekt internet verwenden. Dann haben ALLE IP-Adressen, die irgendwie in das Fritzbox Netz gelangen auch Zugriff auf deinen WTS!
Antwortet der WTS aus dem WLAN dann nicht, könnte das an den Sicherheitsrichtlinien liegen. Windows antwortet nicht immer gerne auf "unbekannte" Netzwerke ;-)
Grüße
Svenja
zunächst einmal muss in der Fritzbox eine Route eingetragen werden, damit diese weiß, wo sich das WTS Netz befindet (also auf die IP der UTM im Fritzbox-Netz).
Dann solltest du ein Netzwerkobjekt erstellen, dass das Fritzbox-Netz abbildet (z.B. Name: fritz-net -> Typ: Netzwerk (Adresse) -> Adresse: 192.168.178.0/24 -> Zone: external).
Ggf. auch noch ein Netzwerkobjekt für den WTS, wenn noch nicht vorhanden.
Zuletzt brauchst du eine Portfilterregel, die den Zugriff aus dem Fritzbox-Netz auf den WTS mit den benötigten Diensten erlaubt.
ACHTUNG: Bitte nicht statt dem Netzwerkobjekt fritz-net das Netzwerkobjekt internet verwenden. Dann haben ALLE IP-Adressen, die irgendwie in das Fritzbox Netz gelangen auch Zugriff auf deinen WTS!
Antwortet der WTS aus dem WLAN dann nicht, könnte das an den Sicherheitsrichtlinien liegen. Windows antwortet nicht immer gerne auf "unbekannte" Netzwerke ;-)
Grüße
Svenja
Guten Tag,
vielen Dank für die ausführliche Antwort!
Ich habe nun auf der Fritzbox folgende Route erstellt:
Netzwerk: 192.168.0.0 (Netz der UTM am eth1)
Subnet: 255.255.255.0
Gateway: 192.168.178.20 (Adresse der UTM)
Ich habe das Netzwerkobjekt fritz-netz erstellt, mit der Adresse 192.168.178.0 und der Zone external.
Als Portregel fritz-netz als Quelle, als Ziel internal-network (eth0; zone: internal) habe ich auch gesetzt.
Wenn ich nun bspw. 192.168.0.3 von einem im wlan befindlichen Rechner anpinge, gibt es einen Timeout. Im Log der UTM steht folgendes: DROP: (DEFAULT DROP)192.168.178.22 -> eth0 -> eth1 -> 192.168.0.3 ICMP TYPE=8 CODE=0
Es kommt also was an, wird nur nicht durchgelassen. Wieso? Traceroute zeigt, dass es über die Fritzbox zur UTM geht und dort hängen bleibt.
Was ist falsch eingestellt?
vielen Dank für die ausführliche Antwort!
Ich habe nun auf der Fritzbox folgende Route erstellt:
Netzwerk: 192.168.0.0 (Netz der UTM am eth1)
Subnet: 255.255.255.0
Gateway: 192.168.178.20 (Adresse der UTM)
Ich habe das Netzwerkobjekt fritz-netz erstellt, mit der Adresse 192.168.178.0 und der Zone external.
Als Portregel fritz-netz als Quelle, als Ziel internal-network (eth0; zone: internal) habe ich auch gesetzt.
Wenn ich nun bspw. 192.168.0.3 von einem im wlan befindlichen Rechner anpinge, gibt es einen Timeout. Im Log der UTM steht folgendes: DROP: (DEFAULT DROP)192.168.178.22 -> eth0 -> eth1 -> 192.168.0.3 ICMP TYPE=8 CODE=0
Es kommt also was an, wird nur nicht durchgelassen. Wieso? Traceroute zeigt, dass es über die Fritzbox zur UTM geht und dort hängen bleibt.
Was ist falsch eingestellt?
Hallo xkky,
ist die 192.168.0.3 ein Gerät im internen Netzwerk? Oder ist das die Schnittstelle der UTM im internen Netz? Letzteres kann mit deiner Regel nicht funktionieren.
Bei einem Default Drop stimmt die Regel nicht mit der gewollten Kommunikation überein.
Ist icmp-echo-req als Dienst freigegeben? Stimmen Quelle und Ziel?
Grüße
Svenja
ist die 192.168.0.3 ein Gerät im internen Netzwerk? Oder ist das die Schnittstelle der UTM im internen Netz? Letzteres kann mit deiner Regel nicht funktionieren.
Bei einem Default Drop stimmt die Regel nicht mit der gewollten Kommunikation überein.
Ist icmp-echo-req als Dienst freigegeben? Stimmen Quelle und Ziel?
Grüße
Svenja
Verrückt!
jetzt geht es! Geändert habe ich nichts. die Konfiguration ist wie Post oben beschrieben. Ich kann pingen und habe Zugriff per RDP. Ich werde nun noch die Regel abändern, sodass nur MSRDP erlaubt wird.
Vielen Dank für die Hilfestellungen!
jetzt geht es! Geändert habe ich nichts. die Konfiguration ist wie Post oben beschrieben. Ich kann pingen und habe Zugriff per RDP. Ich werde nun noch die Regel abändern, sodass nur MSRDP erlaubt wird.
Vielen Dank für die Hilfestellungen!
Hallo zusammen,
ich muss dieses Thema leider noch einmal aufwärmen. Das oben besprochene klappt alles wunderbar. Nun aber folgendes Szenario:
Eine Niederlassung soll auf das Hauptbüro zugreifen. Dazu ist in der Niederlassung ein BlackDwarf, der die VPN-Verbindung herstellt. Funktioniert.
Vor dem Dwarf ist eine Fritzbox. Laptops, die mit der FB und dem Plan verbunden sind, sollen per VPN nun aber auch eine Verbindung zum Hauptbüro herstellen können.
Dazu habe ich die Route in der FB angelegt. Im Dwarf ein Neztobjekt "Fritz-netz" und folgende Regel angelegt:
Fritz-netz -> internal-network -> any.
Wenn ein Gerät im WLAN nun auf einen WTS im Hauptbüro zugreifen möchte, kommt folgender Eintrag im Log:
192.163.103.73:49770 -> eth0 ->tun0 -> 192.168.0.1:3389 TCP SYN
Ersteres ist die IP des Laptops im WLAN, letztere die des WTS.
Der Dwarf blockiert also die Verbindung zum WTS. Warum? Ich habe auch schon probiert, die Regel so zu ändern, dass Zugriff auf ssl-vpn möglich ist - dann passiert aber gar nichts.
Danke nochmals für die Hilfe!
ich muss dieses Thema leider noch einmal aufwärmen. Das oben besprochene klappt alles wunderbar. Nun aber folgendes Szenario:
Eine Niederlassung soll auf das Hauptbüro zugreifen. Dazu ist in der Niederlassung ein BlackDwarf, der die VPN-Verbindung herstellt. Funktioniert.
Vor dem Dwarf ist eine Fritzbox. Laptops, die mit der FB und dem Plan verbunden sind, sollen per VPN nun aber auch eine Verbindung zum Hauptbüro herstellen können.
Dazu habe ich die Route in der FB angelegt. Im Dwarf ein Neztobjekt "Fritz-netz" und folgende Regel angelegt:
Fritz-netz -> internal-network -> any.
Wenn ein Gerät im WLAN nun auf einen WTS im Hauptbüro zugreifen möchte, kommt folgender Eintrag im Log:
192.163.103.73:49770 -> eth0 ->tun0 -> 192.168.0.1:3389 TCP SYN
Ersteres ist die IP des Laptops im WLAN, letztere die des WTS.
Der Dwarf blockiert also die Verbindung zum WTS. Warum? Ich habe auch schon probiert, die Regel so zu ändern, dass Zugriff auf ssl-vpn möglich ist - dann passiert aber gar nichts.
Danke nochmals für die Hilfe!