UTM hinter FritzBox 6591

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Anchiko
Beiträge: 1
Registriert: So 15.08.2021, 01:27

UTM hinter FritzBox 6591

Beitrag von Anchiko »

Hallo,

ich versuche die UTM hinter einer FirtzBox 6591 (FB) zu betrieben. Ich habe sehr viel hier und in anderen Foren gelesen, aber ich komme einfach nicht weiter (kein Internetzugriff).

Ich habe mich an die Anleitung (.../UTM/FAQ/Umstellung_PPPoE_Ethernet) gehalten:
eth0
Typ: Ethernet
IP-Adressen: 192.168.200.253/24
Zonen: Extern, Firewall-Extern, usw. (wie vorher wan0)
unter eth0 Einstellungen: Route-Hint IPv4: 192.168.200.254 (= IP-Adresse der FB)
Default-Route: Quelle: leer, Gateway: 192.168.200.254, Ziel: 0.0.0.0/0

 In der FB habe ich unter
- Internet/Zugangsart/Portkonfiguration
  den LAN-Anschluss, an dem die UTM angeschlossen ist, ausgewählt, dass dieser eine Public IP Adresse benutzen soll
- Internet/Freigaben/Portfreigaben
  die IP-Adesse der UTM (192.168.200.253) als "Exposed Host" freigegeben.

Trotzdem komme ich aus dem internen Netz (anderer IP-Bereich) nicht ins Internet. Z.B. sehe ich im Log der UTM, dass der DNS-Server beim Versuch einer Abfrage auf Port 53 (UDP) gedropt wird, obwohl in den Portfiltern dies zugelassen ist (Quelle: DNS-Server, Ziel: Internet (0.0.0.0/24), Dienst: domain-udp).

Was mache ich falsch? Was übersehe ich?

Vielen Dank im Voraus!

desos
Beiträge: 3
Registriert: So 03.03.2019, 17:23

Beitrag von desos »

Moin, die Quelle für die DNS-Abrage ist der Client, daher sollte dieser auch als Quelle in der Regel stehen und nicht der DNS-Server. Ich vermute bei dem Log-Eintrag der gedropt wird steht auch als Quell-IP der Client als Quelle drin, der die DNS-Anfrage stellt. Ansonsten gerne mal den Eintrag aus dem Logfile bei dem gedropt wird hier ins Forum stellen.

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Vielleicht sollten Sie zunächst prüfen, ob die Firewall selbst ins Internet kommt:

- Im Menü Netzwerk -> Netzwerkwerkzeuge auswählen
- unter Ping zunächst www.google.de pingen
- wenn das nicht geht, 8.8.8.8 probieren.

Damit aus dem internen Netz der Firewall der Internetzugang funktioniert, braucht man zwei Regeln:

- für das entsprechende Protokoll (http, https, smtp, imap usw....) vom internen Netzwerk ins Internet (mit HideNAT)
- für Namensauflösung vom internen Netz ins Internet (wenn ein DNS im Internet verwendet wird) oder auf das interne Interface (wenn die FW als DNS-Server benutzt werden soll).

Und nur der Vollständigkeit halber noch mal: die Quelle ist immer derjenige, der die Verbindung aufbaut, das Ziel derjenige, der angesprochen wird. Es ist nicht nötig, den "Rückweg" freizugeben, das macht das Connection Tracking der Firewall automatisch.

Antworten