Nach Update kein DSL

vt_admin · Beitrag von **vt_admin** » Sa 03.01.2009, 18:49

Hallo,

erstmal ein Frohes Neues Jahr....

Ich habe ein Problem, welches ich bis Montag morgen 9 Uhr gelöst haben muss

Also, ich habe die Cigar Box RC1, hatte dort bis gestern die 2006er soft drauf. Nun wollte ich einen Citrix server ans laufen bringen nur hat die Firewall alle Anfragen geblockt. IUch habe den Support angerufen und der sagte, die Software habe kein Support mehr und ich soll doch mal ein Update machen und mich dann wieder melden..
Gesagt, getan... Update gemacht, Config konvertiert wieder eingespielt... und siehe da.. ich habe keine Internetverbundung mehr. Die FW hatte sich immer selber eingewählt. nun hab ich gedacht probierst das ganze mal hinter einem Router, geht aber auch nicht. DSL ist getestet und funktioniert.
Ich weiss nicht mehr weiter.. Die DSL Daten habe ich 10000000 mal neu eingegeben. Dachte ok, evtl bei der konvertierung der alten Config ein Problem und habe mal eine Grundkonifguration mit dem Wizzard gestartet. Während der Installation, prüft er ja einmal das Internet, da sagte er es ist ok. (war hinter einem Router). Jedoch nach dem Wizzard, ging wieder nichts.

Jemand ne Idee???
Mein boss bringt mich am Montag morgen um

Petasch · Beitrag von **Petasch** » Sa 03.01.2009, 22:23

hmm ist doch kein problem ...
nimm am besten einfach eine neue install ... und dann machst du am besten auch die konfiguration gleich komplett mit dem manager, nich mit dem wizard... also neue install und dich verbinden. als erstes stellst du die interne ip der fw ein, dann unter netzwerk noch das interne-interface und das interne netz anpassen. dann unter dsl ein dsl provider hinzufügen, und unter netzwerk tust du dann ein pppoe interface hinzufügen, in der maske wählst du einfach die physiche schnittstelle, wo das modem dran hängt, beispielsweise eth0, und wählst den dsl provider aus. dann unter eine hide nat einen neuen eintrag erstellen. dann im portfilter kannst ja testweise erst mal internal>internet>any machen und schon sollte erstmal internet laufen. den rest bekommst dann auch hin, im download bereich gibts auch massen howtos wie das alles funktioniert.

vt_admin · Beitrag von **vt_admin** » Sa 03.01.2009, 22:53

Hi,

danke für die Antwort. Also Factory default hatte ich scon gemacht aber halt mi dem wizzard dann die Config erstellt. Macht der Wizzard das nicht ordentlich?

Werde mich auf jeden Fall mal gleich hinsetzen und das mal versuchen.
Thx!

Petasch · Beitrag von **Petasch** » So 04.01.2009, 11:08

da du mit dem wizard sonso nur eine "grundkonfiguration" hinbekommst, bin ich eigentlich nicht wirklich für das teil ... da ist mir das arbeiten mit dem manager deutlich lieber ... kannst ja nochmal schreiben wenn du mit dem manager nicht weiter kommst, ... ist eigentlich nicht sonderlich schwer...

vt_admin · Beitrag von **vt_admin** » So 04.01.2009, 20:00

Hi,

also hat bis jetzt noch nicht geklappt, habe alle configs gelöscht, und eine komplett neue gemacht... habe dann die config ausgedruckt und mit der von der 2006er version verglichen, stimmt alles. nun bekommt ppp0 bekommt nun auch eine IP Adresse, also funkt das mit dem einwählen schonmal, aber er blockt es:

hier mal ein kleiner auszuck aus der config
Network Nodes
any external 0.0.0.0/0
Server internal 192.168.1.251/32
Intern internal 192.168.1.0/24
fw_external firewall-external 0.0.0.0/0
internes-Interface firewall-internal 192.168.1.1/32
PPTP-Pool vpn-ppp 192.168.1.0/24

Network Groups
Name Nodes
Internet any
fw_external
Intern Intern
Server Server
PPTP-Interface fw_external
PPTPNet_Locale Intern
PPTPNet_Remote PPTP-Pool
Internes Interface internes-Interface
FW_Extern fw_external
PPTP Pool PPTP-Pool

Rules
Id From To Services Action Log QoS Active Time
10 Server Internet dns ACCEPT NONE 1
11 Intern Internet default-internet ACCEPT NONE 1
12 Intern Internet dns ACCEPT NONE 1
13 Intern Internet mail ACCEPT NONE 1
14 Intern Internet ping ACCEPT NONE 1
16 FW_Extern Internet default-internet ACCEPT NONE 1
18 Internet PPTP-Interface pptp ACCEPT NONE 1
19 PPTP-Interface Internet pptp ACCEPT NONE 1
20 PPTPNet_Locale PPTPNet_Remote Auto_PPTP ACCEPT NONE 1
21 PPTPNet_Remote PPTPNet_Locale Auto_PPTP ACCEPT NONE 1

Die Zeit rennt

Beitrag von **EricUKaiser** » So 04.01.2009, 20:29

Hi,

habe mir gerade das Topic durchgelesen - also ich vermute folgendes:
Standardmäßig arbeitet die 2007er in einigen Bereichen komplett anders als die 2006er - es gibt jetzt Proxies für HTTP und POP3 - diese sind standardmäßig an und auf transparent geschaltet. (Jedenfalls bei den meisten Basisinstallationen.)

Also ich sehe hier zwei Möglichkeiten:
1. Du fügst eine Regel wie folgt hinzu: Intern -> Firewall-Intern -> Proxy (Da gibt es eine vordefinierte Dienstegruppe).
2. Da dein Regelwerk ansicht OK aussieht kannst Du natürlich die transparenten Proxies auch ausschalten.

Ich hätte da noch eine andere Idee - hast Du überprüft welches Interface welches ist? Hintergrund: In der Version 2006 ist ggf. die Reihenfolge der Interfacezuweisung (ETH0-ETHn) unterschiedlich.

Alles findest Du in unseren Howtos beschrieben usw.
http://www.securepoint.de/home/index.ph ... port-forum

Spannend könnte auch folgendes Dokument sein - das wird Dich mit einer nackigen Firewall zu einem funktionierenden Grundgerüst bringen - schnell und zuverlässig:
http://www.securepoint.de/dokumente/How ... ger_R3.pdf

Mein Tipp: Deine Regeln zustätzlich unten hinzu fügen und die Basisregeln nicht verändern.
Wenn das dann für Montag morgen funktioniert erst ein wenig intensiever mit der 2007er beschäftigen bevor Du die Regeln "aufräumst".

Hoffe das hilft.

Werde hier später nochmals reinschauen und kann ggf. noch Hinweise geben.

Schöne Grüße und Viel Erfolg
Eric

Beitrag von **EricUKaiser** » So 04.01.2009, 20:32

BTW fällt mir in Deinem Regelwerk noch auf:
Die folgenden Regeln
16 FW_Extern Internet default-internet ACCEPT NONE 1
19 PPTP-Interface Internet pptp ACCEPT NONE 1

kannst Du löschen.

Regel 16 wird ab der Verision 2007 impliziet erlaubt (da merkt man das Du noch ein 2006er bist :-)))
Bei Regel 19 ist das genauso - mit der 2006er hat man das noch gebraucht (Error 619 :-))

Gruß
Eric

vt_admin · Beitrag von **vt_admin** » So 04.01.2009, 21:30

Hi,

also..
habe nun folgendes versucht, ohne erfolg:

Proxies ausgeschalten
Die Proxie Regel eingefügt.
Ports geprüft, die stimmen!

Wenn ich verusche über mein Laptop auf die ppp0 angezeigt IP zu pingen, dann kommt auch ein drop bei der firewal.. also sie ist online, und funktioniert, nur lässt nichts raus

Bei Dyndns kommt im log connection error

Werde nun mal kurz heim gehen und mir was zu essen genehmigen.. danach setz ich mich nochmal ran und machen es nach dem how to...

das komische ist, vor dem update hat alles funktioniert

Danke euch schonmal!

vt_admin · Beitrag von **vt_admin** » So 04.01.2009, 21:53

Hi,

hab nun auch das Tutorial durchgearbeitet (ist ja klein )
aber leider wieder ohne erfolg

Muss ich irgendwas beachten, ich habe habe nen Windows 2008 enterprise server , der als DNS hier läuft. muss man bei der 2007 da irgendwas spezieles beachten?

Beitrag von **EricUKaiser** » So 04.01.2009, 21:55

Hi,

ich kann mir nicht wirklich vorstellen, dass das neumachen der Firewall notwendig ist - aber ggf. ist es der beste weg.

Das die Firewall nach dem Update mit der Übernahme der Regeln nicht funktioniert - ist aus oben beschriebenen Gründen logisch.

Viel Erfolg weiterhin.

Gruß
Eric

P.S.: Bin noch ein weile online.

Beitrag von **EricUKaiser** » So 04.01.2009, 22:03

Hi,

Du must mir mal ein wenig helfen und definieren was "ohne Erfolg" bedeutet. Fangen wir doch mal mit dem an was funktioniert.

Also Du kommst lokal auf die Firewall - die Firewall ist online und bekommt eine externe IP-Adresse.

Hast Du ggf. nur ein DNS Auflösungsproblem und der Rest funktioniert?

Oder hast Du ggf. das Hide-NAT nicht wirklich richtig aktiviert. Das muss von Hand aktiviert werden und zwar richtig. Wichtig wäre auch alle Regeln auf Loging zu stellen und mal im Log zu schauen was raus geht und was gedroped wird usw.

Bitte schaue Dir bezüglich Hide-NAT im Handbuch:
http://www.securepoint.de/dokumente/Han ... 7nx_R3.pdf
Den Abschnitt 7.3 Hide NAT (Seite 76) an und vergleiche das mit Deiner Konfiguration.

Viel Erfolg
Eric

Petasch · Beitrag von **Petasch** » So 04.01.2009, 22:55

was mir noch einfallen würde abgesehen von den dingen die mein vorredner schrieb.... und zwar unter netzwerkobjekte mal schauen ob dein internes netz auch wirklich der ip bereich deines internen netzes ist ... stimmt das nicht, kannst du zzwar die fw konfigurieren, aber internet geht nicht...

außerdem kannst ja mal testen ob pings extern gehen aber mit ip, nicht mit name. so kannst du schauen ob´s vieleicht wir "EricUKaiser" schon schrieb, vieleicht nur an nen dns problem liegt...

vt_admin · Beitrag von **vt_admin** » So 04.01.2009, 23:09

Hi,

aich bin gerade Zuhause. der hunger war schon arg groß.

Also das HideNAT habe ich denke ich richtig gemacht.. werde es aber gleich nochmal übeprüfen. Logging werde ich mal anschalten... wenn ich manuell das log anschalte, dann kommt immer wieder Drop bei jedem Versuch raus oder rein zu kommen

Fahre jetzt wieder ins Büro und werde HideNAT und DNS prüfen...

Bis gleich...

vt_admin · Beitrag von **vt_admin** » Mo 05.01.2009, 00:01

Hi,

also nun mal zu meinen Daten

Server 192.168.1.251

Hide NAT
NAT Object Inter
NAT Relationship ppp0
Destination fw-external

Intern:
IP: 192.168.1.0
Maske 24
Zoner Internal

Denke sollte so stimmen, odeR?

vt_admin · Beitrag von **vt_admin** » Mo 05.01.2009, 00:07

Wenn ich die HideNAT rauslösche, dann kann ich unter Netzwerktools nur noch IPs pingen. mach ich die Hidenat wieder rein, dann geht auch die adresse. also sollte der DNS ja ordentlich laufen, oder?

Beitrag von **EricUKaiser** » Mo 05.01.2009, 09:00

Moin,

also das Hide-Nat sieht nicht richtig aus - Destination muss Internet (bzw. Any) sein.

Gruß
Eric

P.S.: in Kürze erreichst Du ja auch wieder unseren Support ;-)