Nabend Liebes Support Forum,
ich habe ein bestehendes LAN das ich leider nur bedingt ändern kann.
Internet -> Router Netgear 614v2(muss bleiben)->2 XP Rechner
->SecurePoint2007NX-> Server
->XP Laptop
->Vista PC
So soll es später seien, an dem Netgear Router kann ich leider zum jetztigen Zeitpunkt noch nichts ändern.
Der Netgear befindet sich auf der 192.168.0.1 und stellt die Internet Connection her, die 2 XP Rechner auf der 192.168.0.4 +0.5.
Die Securepoint hegt mit dem eth0 auf der 192.168.0.252, mit eth1 auf der 192.168.175.1.
Welche IPs der Server, der XP Laptop und der Vista PC im 175er Netz bekommen ist mir Wurst.
Nun endlich mein Problem:
Die Securepoint kann über den SSM Hostnamen per DNS auflösen und Internet-domains anpingen.
Sollte ich das gleiche aber von dem XP Laptop versuchen bekomme ich immer eine Zeitüberschreitung. Die bekomme ich sogar wenn ich auf den Netgear Router pinge oder connecten will.
Hier nun meine SecurePoint Konfig im Detail.
Netzwerk Einstellungen:
eth0 & eth 1 wie oben beschrieben,
routing Quelle=leer;router=192.168.0.1;Ziel=0.0.0.0/0
Primärer DNS =192.168.0.1
Aktuelle Portfilter Liste:
192.168.175.0 -> internet -> any -> accept
192.168.175.0 -> fw-Internal -> any -> accept
Hide NAT:
NAT Object=LAN
Relationship =eth0
Ziel =any
Und nun noch Die Routing List aus dem SSM:
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.252
192.168.175.0/24 dev eth1 proto kernel scope link src 192.168.175.1
default via 192.168.0.1 dev eth0
So das waren glaube ich alle Infos die von nutzen seien könnten.
Hoffe Ihr könnt mir dabei helfen,
Mit freundlichen Grüßen
Dallas
Problem mit 2 Internen LANs
Moderator: Securepoint
Problem mit 2 Internen LANs
Some people want it to happen, some wish it would happen, others make it happen.
Hallo,
eigentlich sollte das kein Problem sein.
Was ist denn fuer das NAT-Objekt "LAN" hinterlegt?
Da die Appliance "eine Ahnung" hat, wie Pakete ins Inet geroutet werden sollen (Netgear), muss da irgendwo der Casius Kaktus liegen, dass kein NAT stattfindet bzw. die Pakete nicht durchkommen.
Da selbst der Netgear schon nicht per PING zu erreichen ist, berstaerkt das meine Vermutung.
Ich gehe davon aus, dass die die beiden Rechner (192.168.0.4 + 0.5) sich bei den Tests im 192.168.175.0/24 Netz getummelt haben und als Gateway die 192.168.175.1 hatten, gelle?
Ein Blick ins Realtime-Log und evtl. ein kleiner Dump helfen auch schnell weiter.
Gruss
M.Goeres
eigentlich sollte das kein Problem sein.
Was ist denn fuer das NAT-Objekt "LAN" hinterlegt?
Da die Appliance "eine Ahnung" hat, wie Pakete ins Inet geroutet werden sollen (Netgear), muss da irgendwo der Casius Kaktus liegen, dass kein NAT stattfindet bzw. die Pakete nicht durchkommen.
Da selbst der Netgear schon nicht per PING zu erreichen ist, berstaerkt das meine Vermutung.
Ich gehe davon aus, dass die die beiden Rechner (192.168.0.4 + 0.5) sich bei den Tests im 192.168.175.0/24 Netz getummelt haben und als Gateway die 192.168.175.1 hatten, gelle?
Ein Blick ins Realtime-Log und evtl. ein kleiner Dump helfen auch schnell weiter.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Nabend,
also das NAT-Objekt ist das LAN also 192.168.175.0
Die Rechner 0.4 +0.5 sind von dem Test ausgeschlossen und befinden sich direkt am Netgear Router. sind also unabhängig von der SecurePoint und dem 175.er Netz
Im 175er Netz tummeln sich das eth1 der xp laptop der vista pc und der 2003 server
in der reihenfolge auftseigend von 175.1 -175.4;
Leider war das Realtime-Log nicht aussage kräftig da dort die Portfilter und die aktuelle aktion nicht angezeigt wurden obwolh die Short geloggt werden sollten.
Was muss ich denn ändern damit die Appliance weiß wohin geroutet wird?
Grüße
Dallas
also das NAT-Objekt ist das LAN also 192.168.175.0
Die Rechner 0.4 +0.5 sind von dem Test ausgeschlossen und befinden sich direkt am Netgear Router. sind also unabhängig von der SecurePoint und dem 175.er Netz
Im 175er Netz tummeln sich das eth1 der xp laptop der vista pc und der 2003 server
in der reihenfolge auftseigend von 175.1 -175.4;
Leider war das Realtime-Log nicht aussage kräftig da dort die Portfilter und die aktuelle aktion nicht angezeigt wurden obwolh die Short geloggt werden sollten.
Was muss ich denn ändern damit die Appliance weiß wohin geroutet wird?
Grüße
Dallas
Some people want it to happen, some wish it would happen, others make it happen.
Mhhhhh....also wenn die Appliance via SSM-Diagnose den Router und das Internet ueber den Netgear erreichen kann, sollte die Routing-Table OK sein.
Zur Diagnose, wo es klemmt, wuerde ich mal nen Trace von einem PC aus dem 175er Netz machen, um ein Gefuehl zu bekommen, wo es nicht weiter geht.
Das dann auf eine externe IP (z.B. Provider-Nameserver oder so) und auf einen ueber DNS aufgeloesten Namen.
Wenn das nicht fruchtet oder besser gesagt auch an der Firewall "pappen bleibt", stehe ich mit der Ferndiagnose aber auch langsam auf dem Schlauch und der Support sollte mal direkt per Telefon auf die Appliance schauen, da es zu einem schnelleren Ergebnis fuehren wird, als Wuenschelruten lauf im Konfig-Nebel.
Gruss
M.Goeres
Zur Diagnose, wo es klemmt, wuerde ich mal nen Trace von einem PC aus dem 175er Netz machen, um ein Gefuehl zu bekommen, wo es nicht weiter geht.
Das dann auf eine externe IP (z.B. Provider-Nameserver oder so) und auf einen ueber DNS aufgeloesten Namen.
Wenn das nicht fruchtet oder besser gesagt auch an der Firewall "pappen bleibt", stehe ich mit der Ferndiagnose aber auch langsam auf dem Schlauch und der Support sollte mal direkt per Telefon auf die Appliance schauen, da es zu einem schnelleren Ergebnis fuehren wird, als Wuenschelruten lauf im Konfig-Nebel.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Hallo,
ggf. hilft auch ein tcpdump direkt auf der FW weiter. Dazu müssen Sie sich via ssh als root anmelden. Wie man den root Benutzer anlegt wird unter
http://www.securepoint.de/support/topic.php?id=54
beschrieben.
MfG,
Heiner Ohm
ggf. hilft auch ein tcpdump direkt auf der FW weiter. Dazu müssen Sie sich via ssh als root anmelden. Wie man den root Benutzer anlegt wird unter
http://www.securepoint.de/support/topic.php?id=54
beschrieben.
MfG,
Heiner Ohm
Nabend alle miteinander,
ich habe nun nach ewig langem hin und her die Lösung gefunden, wenn auch eher zufällig nebenbei. ;-P
Und zwar funktioniert alles einwandfrei sobald ich den eth1 als transparenten Proxy laufen lasse.
Nehm ich den transparenten Proxy raus hat zwar die Firewall internet aber alle anderen nicht mehr.
Ich habe keine Ahnung ob das so geplant ist ,dafür habe ich noch zu wenig erfahrung davon ,aber ich bin froh das es nun läuft.
Nochmals danke für eure Bemühungen
Dallas
ich habe nun nach ewig langem hin und her die Lösung gefunden, wenn auch eher zufällig nebenbei. ;-P
Und zwar funktioniert alles einwandfrei sobald ich den eth1 als transparenten Proxy laufen lasse.
Nehm ich den transparenten Proxy raus hat zwar die Firewall internet aber alle anderen nicht mehr.
Ich habe keine Ahnung ob das so geplant ist ,dafür habe ich noch zu wenig erfahrung davon ,aber ich bin froh das es nun läuft.
Nochmals danke für eure Bemühungen
Dallas
Some people want it to happen, some wish it would happen, others make it happen.
Noe ist nicht im Plan,
denn das bedeuetet nur, das alle Anfragen, die an der Appliance auf Port 80 einlaufen, in den Proxy gereicht werden.
Da ist noch was anderes faul.
Gruss
M.Goeres
denn das bedeuetet nur, das alle Anfragen, die an der Appliance auf Port 80 einlaufen, in den Proxy gereicht werden.
Da ist noch was anderes faul.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -