Hallo zusammen,
wir haben seit Kurzem eine zweite IP von KabelBW, die wir über das Bridging der Fritz-Box direkt an eth3 unserer FW angeschlossen haben.
Wenn wir DHCP auf diesem Interface aktivieren, bekommen wir die korrekte externe IP2 (217.8.x.y), allerdings kommt da eine /26er Maske mit.
Außerdem haben wir zusätzlich unsere bisherige Konfiguration, nämlich Port 1 der Fritz-Box (192.168.0.2) (nicht gebridget) an eth0 (192.168.0.1).
Die Fritz-Box selbst hält die externe IP1 (217.8.x.z). Merke: Das "x" in IP1 und IP2 ist gleich und beide liegen auch innerhalb des gleichen Subnets (geht ja von x.0 - x.63).
Wir haben also folgende Konfiguration:
eth0 external, vpn-ipsec, vpn-... 192.168.0.1/24
eth1 internal, firewall-internal 172.16.0.1/23
eth3 dmz2, firewall-dmz2 217.8.x.y/26
eth5 dmz4, firewall-dmz4 10.0.1.1/24
und eine Default Route über GW 192.168.0.2 (Fritz-Box) auf 0.0.0.0/0.
Wir würden jetzt gerne Folgendes erreichen:
1. In DMZ4 steht ein Rechner 10.0.1.10. Dieser soll ausschließlich über DMZ2 (217.8.x.y) ins Internet kommen und auch von dort auf Port 443 erreichbar sein.
2. Alle anderen Netze sollen weiterhin die bisherige Route verwenden.
3. Außerdem sollen alle Rechner aus Internal (eth1) direkt auf o.g. Rechner in DMZ4, Port 443 kommen.
Momentan haben wir das Problem, dass wir zwar mit entsprechender Regel im Paketfilter aus Internal auf DMZ4 kommen, allerdings kann 10.0.1.10 selbst nicht ins Internet pingen - das sieht nach einem Routingproblem aus.
Wir haben deshalb die Source-Route
10.0.1.10 32 217.8.63.49 0.0.0.0 0 1
erstellt und im Paket filter das Netz DMZ4 vollständig (vorerst) für Internet freigegeben.
Außerdem wurde ein Hide-NAT für DMZ4 hinter eth3 erstellt.
Leider funktioniert das alles bisher nicht - können Sie uns da einen Tip geben?
Danke im Voraus,
FCT
Multipath Routing mit KabelBW
Moderator: Securepoint
Hallo,
wenn es nur der Rechner aus dem Netz 10.0.1.0/24 ist brauchen Sie nicht viel konfigurieren. Ich gehe davon aus das die benötigten Zonen schon vorhanden sind.
1. In DMZ4 steht ein Rechner 10.0.1.10. Dieser soll ausschließlich über DMZ2 (217.8.x.y) ins Internet kommen und auch von dort auf Port 443 erreichbar sein.
Für den Zugriff auf das Internet müssen Sie zwei Objekte einmal anlegen. Einmal für die neue Leitung und einmal den einzelnen Rechner. Ein Routing und zwei Regelwerke.
Objekt für die neue Leitung:
Name: Internet2
Typ: Netzwerk (adresse)
Adresse: 0.0.0.0/0
Zone: external vom eth3
Objekt für den Rechner:
Typ: Netzwerk (adresse)
Adresse: 10.0.1.10/32
Zone: internal vom eth5
Routing:
Quellnetzwerk: 10.0.1.10/32
Gatewayschnittstelle: eth3
Zielnetzwerk: 0.0.0.0/0
Quelle: der Rechner 10.0.1.10
Ziel: Internet2
Dienst: zb. any
NAT: HN
Netzwerkobjekt: external-interface von eth3
Quelle: Internet2
Ziel: 10.0.1.10
Dienst: 443
NAT: DNAT
Netzwerkobjek:external-interface von eth3
Dienst: 443
2. Alle anderen Netze sollen weiterhin die bisherige Route verwenden.
Dies belassen wir so wie es ist.
3. Außerdem sollen alle Rechner aus Internal (eth1) direkt auf o.g. Rechner in DMZ4, Port 443 kommen.
Quelle: Internal Network (172.16.0.1/23)
Ziel: 10.0.1.10
Dienst: 443
Nat: HN
Netzwerkobjekt: internal Interface (eth3)
Gruß Björn
wenn es nur der Rechner aus dem Netz 10.0.1.0/24 ist brauchen Sie nicht viel konfigurieren. Ich gehe davon aus das die benötigten Zonen schon vorhanden sind.
1. In DMZ4 steht ein Rechner 10.0.1.10. Dieser soll ausschließlich über DMZ2 (217.8.x.y) ins Internet kommen und auch von dort auf Port 443 erreichbar sein.
Für den Zugriff auf das Internet müssen Sie zwei Objekte einmal anlegen. Einmal für die neue Leitung und einmal den einzelnen Rechner. Ein Routing und zwei Regelwerke.
Objekt für die neue Leitung:
Name: Internet2
Typ: Netzwerk (adresse)
Adresse: 0.0.0.0/0
Zone: external vom eth3
Objekt für den Rechner:
Typ: Netzwerk (adresse)
Adresse: 10.0.1.10/32
Zone: internal vom eth5
Routing:
Quellnetzwerk: 10.0.1.10/32
Gatewayschnittstelle: eth3
Zielnetzwerk: 0.0.0.0/0
Quelle: der Rechner 10.0.1.10
Ziel: Internet2
Dienst: zb. any
NAT: HN
Netzwerkobjekt: external-interface von eth3
Quelle: Internet2
Ziel: 10.0.1.10
Dienst: 443
NAT: DNAT
Netzwerkobjek:external-interface von eth3
Dienst: 443
2. Alle anderen Netze sollen weiterhin die bisherige Route verwenden.
Dies belassen wir so wie es ist.
3. Außerdem sollen alle Rechner aus Internal (eth1) direkt auf o.g. Rechner in DMZ4, Port 443 kommen.
Quelle: Internal Network (172.16.0.1/23)
Ziel: 10.0.1.10
Dienst: 443
Nat: HN
Netzwerkobjekt: internal Interface (eth3)
Gruß Björn
Hallo Björn,
das sieht ziemlich genau nach dem aus, was wir bisher schon probiert hatten. Hier die Config, wie ich sie jetzt nach dieser Anleitung durchgeführt habe:
Name: Internet2
IP: 0.0.0.0
Netmask: 0.0.0.0/0
Zone:dmz2
Hier die neue Routing-Regel:
10.0.1.10/32 -> 217.8.x.y -> 0.0.0.0/0
10.0.1.10 -> Internet2 mit any
Danach habe ich im Menüpunkt Hide-NAT ein neues NAT erstellt, mit folgenden Daten:
10.0.1.0 (das Netz, da ist der .10er sowieso allein drin) -> eth3 -> Internet2
Internet 2 -> 10.0.1.10 mit any (testweise).
Was wir jetzt beobachten können:
Aus dem internen Netz (eth1, Zone internal) aufgerufen, kommt man über http auf die 217.8.x.y auf dem Web-Portal der Firewall raus (also wahrscheinlich auf einer der Interface-IPs).
Von 10.0.1.10 aus kommt man nirgends hin, weder kann man 10.0.1.1 pingen (trotz aktiver Ping-Einstellung für eth5), nocht kann man das externe 217.8.x.y pingen, noch kann man irgendwo ins Internet pingen. Als Rückmeldung kommt "Antwort von 10.0.1.1: Zielhost nicht erreichbar", also sieht eth5 keine Route ins Internet (trotz konfiguriertem Routing, s.o.).
Nutzen wir aus dem internen Netz einen HTTP-Proxy, so dass die zugreifende IP von außerhalb unseres Netzes auf die 217.8.x.y zugreift, so gibt es keinen Fehler oder Timeout-Abbruch im Browser, die Seite hört lediglich einfach nie auf zu laden.
Dieses Verhalten hatten wir bisher schon einige Male, und wir haben alle möglichen (und unmöglichen) Konfigurationen getestet.
Ich hoffe Ihnen hilft diese Rückmeldung irgendwie weiter.
Viele Grüße vom Bodensee und Danke im Voraus!
das sieht ziemlich genau nach dem aus, was wir bisher schon probiert hatten. Hier die Config, wie ich sie jetzt nach dieser Anleitung durchgeführt habe:
"external vom eth3" soll hier wahrscheinlich die Zone "dmz2" sein. "external" an sich hängt ja schon an eth0. Also haben wir jetzt:Objekt für die neue Leitung:
Name: Internet2
Typ: Netzwerk (adresse)
Adresse: 0.0.0.0/0
Zone: external vom eth3
Name: Internet2
IP: 0.0.0.0
Netmask: 0.0.0.0/0
Zone:dmz2
Die "internal vom eth5"... Nun, ich kann nicht zwischen "internal" und "external" uneterscheiden, eth5 hält per default die beiden Zonen "dmz4" und "firewall-dmz4". Aussuchen im Network Objects Fenster kann ich sowieso nur die "dmz4", also habe ich diese gewählt.Objekt für den Rechner:
Typ: Netzwerk (adresse)
Adresse: 10.0.1.10/32
Zone: internal vom eth5
Beim Routing habe ich keine Möglichkeit eine Schnittstelle zu wählen. Routing ist ja auch Schicht 3 (IP). Als Gateway habe ich daher die IP von eth3 und nicht eth3 als Inerface eingetragen. eth3 hat übrigens per DHCP die 217.8.x.y/26 bekommen.Routing:
Quellnetzwerk: 10.0.1.10/32
Gatewayschnittstelle: eth3
Zielnetzwerk: 0.0.0.0/0
Hier die neue Routing-Regel:
10.0.1.10/32 -> 217.8.x.y -> 0.0.0.0/0
Ich nehme an, dass es sich hierbei um das erste "Regelwerk" im Portfilter handelt. Dort kann allerdings kein NAT konfiguriert werden, sondern nur ein "Rule routing". Und auch ein "Netzwerkobjekt" ist nirgends zu finden. Ich habe also die Regel so angelegt:Quelle: der Rechner 10.0.1.10
Ziel: Internet2
Dienst: zb. any
NAT: HN
Netzwerkobjekt: external-interface von eth3
10.0.1.10 -> Internet2 mit any
Danach habe ich im Menüpunkt Hide-NAT ein neues NAT erstellt, mit folgenden Daten:
10.0.1.0 (das Netz, da ist der .10er sowieso allein drin) -> eth3 -> Internet2
Was bedeutet "DNAT"? Regel so angelegt:Quelle: Internet2
Ziel: 10.0.1.10
Dienst: 443
NAT: DNAT
Netzwerkobjek:external-interface von eth3
Dienst: 443
Internet 2 -> 10.0.1.10 mit any (testweise).
Was wir jetzt beobachten können:
Aus dem internen Netz (eth1, Zone internal) aufgerufen, kommt man über http auf die 217.8.x.y auf dem Web-Portal der Firewall raus (also wahrscheinlich auf einer der Interface-IPs).
Von 10.0.1.10 aus kommt man nirgends hin, weder kann man 10.0.1.1 pingen (trotz aktiver Ping-Einstellung für eth5), nocht kann man das externe 217.8.x.y pingen, noch kann man irgendwo ins Internet pingen. Als Rückmeldung kommt "Antwort von 10.0.1.1: Zielhost nicht erreichbar", also sieht eth5 keine Route ins Internet (trotz konfiguriertem Routing, s.o.).
Nutzen wir aus dem internen Netz einen HTTP-Proxy, so dass die zugreifende IP von außerhalb unseres Netzes auf die 217.8.x.y zugreift, so gibt es keinen Fehler oder Timeout-Abbruch im Browser, die Seite hört lediglich einfach nie auf zu laden.
Dieses Verhalten hatten wir bisher schon einige Male, und wir haben alle möglichen (und unmöglichen) Konfigurationen getestet.
Ich hoffe Ihnen hilft diese Rückmeldung irgendwie weiter.
Viele Grüße vom Bodensee und Danke im Voraus!