Zonenkonzept - Internet über vorgelagertes Gateway

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Zonenkonzept - Internet über vorgelagertes Gateway

Beitrag von MopedHans »

Hallo,

ich habe bei uns folgende Änderungen im Netzwerk vorgenommen:

von...

Internet --- (Zone Extern).[UTM11].(Zone RZ) ----
                                                      |.(Zone Office) ---

nach:

Internet --- [Gateway XY] --- (Zone Office).[UTM11].(Zone RZ) ---

Daraufhin habe ich über eine Stunde versucht herauszufinden, warum die Zone RZ kein Zugriff auf das Internet hat. Erst als ich das Netzwerkobjekt "Internet", von der nun nicht mehr genutzten Zone "Extern" in die Zone "Office" gesetzt hatte, funktionierte es.

Aber dies scheint mir zum einen unlogisch, da die Zone Office ja nicht das Netz 0.0.0.0/0 darstellt, sondern nur den Weg dahin. Wie löst man dies also korrekt (ohne NAT)?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

schauen Sie sich mal die Schnittstellen an und welche Zonen dort vorhanden sind.


Gruß Björn

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Sorry, ich verstehe nicht ganz, wie die Antwort zur Problemlösung beiträgt, bzw. worauf Sie hinaus wollen. Aber ich mach auch keine Hehl daraus, dass ich mit diesem Zonenkonzept nie wirklich warm geworden bin. Sei's drum.

Hier die aktuellen Einstellungen: https://ibb.co/Yt80TBx

Was vorher noch existierte, war eine PPPoE Schnittstelle zur Anbindung an ein VDSL Modem, mit entsprechender Zone Extern. Die habe ich aber bereits gelöscht. Die Zone Modem "gammelt" noch rum und wird später für was anderes verwendet. Die VPN Schnittstelle wird demnächst auch entfernt.

Gruß

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

per default beziehen sich Internet und external-interface auf die Zonen external bzw. firewall-external. Beide Objekte haben per default 0.0.0.0/0 als Adresse stehen. Diese Zonen sollten dann natürlich auch auf Ihrer Internetschnittstlle liegen. In Ihrem Screenshot ist leider nicht erkennbar worauf sich diese Beiden Objekte beziehen. 

Gehen wir weiter von den default Einstellungen aus. Per default gibt es die Regel: internal-network => Internet => ANY => Hidenat => external-interface.
Wenn wir nun die Zone firewall-external von eth0 entfernen würden greift kann die Regel nicht mehr greifen. Daher bekommen sie ein default drop. Wenn Sie dies nun anpassen auf eine Zone die auf dieser Schnittstelle liegt geht es wieder.

In Ihrem Screenshot vermute ich einmal das diese Zone "external" fehlt. Sie haben die Zone firewall-ba-ext aber ich vermute starkt das Ihnen das gegenstück dazu fehlte.


Gruß Björn

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Hallo,

die ganzen "External-xy" Zonen existieren weiterhin in der UTM, sind aber keiner Schnittstelle/Adresse mehr zugeordnet. Wie eingangs erwähnt, lagen diese Zonen vorher auf der PPPoE Schnittstelle. Da das Netzwerkobjekt "Internet" auch in dieser Zone lag, funktionierte es entsprechend.

Nun ist das Internet eben nur indirekt über die Zone "Office" erreichbar oder wie aktuell in eine weitere geschaffene Zone "firewall-ba-ext" auf derselben Schnittstelle. Die Namen sind ja irrelevant und dienen doch nur zur menschlich lesbaren Strukturierung.

Wie ich es dreh und wende, ich sage in dem Moment doch, dass auf der Schnittstelle mit der zugewiesenen Zone "Office" nicht nur Traffic aus dem entsprechenden zugewiesenen internen Adressbereich eintreffen darf, sondern auch jeglicher Traffic 0.0.0.0/0. Nun findet aber über diese Zone kein eingehender Traffic aus dem Internet statt. Selbst wenn, dann wäre es auf dem vorgelagerten Gateway genattet und träfe auf der Schnittstelle bei der UTM als interner Traffic ein.

Und nun? Nun habe ich den IP-Spoofing Schutz an der UTM Schnittstelle der Zone "Office" ausgehebelt. Muss es aber machen, weil sonst kein ausgehender Traffic ins Internet aus der Zone "RZ" möglich ist.

Oder sehe ich das falsch?

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Hallo,

ich bin weiterhin an der korrekten Lösung für den eingangs erläuterten Aufbau interessiert.

Gruß
MH

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

Was genau ist denn jetzt das Problem?
So wie ich das rauslese hat die Zone "RZ" kein Internet , welches sich hinter der Zone "Office" befindet, korrekt?

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Nein, nicht korrekt.

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

Ihnen geht es scheinbar um die Unterscheidung des Traffic zwischen Office und Internet , da dies an der gleichen Schnittstelle anliegt und das Gateway zum Internet ein Router im Office ist?

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Exakt das ist mein Problem.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

wenn ich es richtig sehe müssen Sie das Netzwerk "office" genau so anlegen wie es auf der eth Schnittstelle vorhanden ist. Das internet bezieht sich weiterhin auf 0.0.0.0/0 wobei office nur noch auf das davorgelagerte Netz sich bezieht. Damit können Sie es trennen. Es ist äußerst ungewöhnlich das ein Router die Pakete Nattet wenn auf dem Router eine Weiterleitung drin ist. Sollte es eine Firewall davor sein schalten Sie einfach das Natting aus und schon haben Sie ihre Trennung. 

Wenn es dem Thema nicht entsprechen sollte wäre es ganz Hilfreich sich mal das ganze über ein Support-Ticket anzusehen.


Gruß Björn

Antworten