administration von extern (wan) klappt nicht

Moderator: Securepoint

Gesperrt
menace
Beiträge: 7
Registriert: Mo 04.10.2010, 12:45

administration von extern (wan) klappt nicht

Beitrag von menace »

hallo zusammen,

ich würde gerne eine piranha am standort A von extern, WAN-Schnittstelle, administrieren.
ich habe hierzu die entsprechende WAN-IP des standort B in die piranha und "administration" eingetragen. zudem wurde die regel internet --> external interface --> administration --> allow all angelegt.

wen ich nun vom standort B versuche auf die WAN-IP von A zuzugreifen (egal ob per SSH oder per https und port 11115) bekomm ich jedesmal einen timeout.

habe ich noch irgendwo etwas vergessen?!

menace
Beiträge: 7
Registriert: Mo 04.10.2010, 12:45

Beitrag von menace »

Problem hat sich erledigt, der router bei B hatte ein problem :lol:

administration per WAN klappt nun

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Wir möchten aber grundsätzlich DRINGENDST davon abraten, die externe Administration für das gesamte Internet freizugeben, wie es Ihre Firewallregel tut. Sie werden schneller das halbe russische und chinesische Internet beim Versuch den SSH zu hacken auf der Firewall haben, als Sie "Sicherheitslücke" sagen können.

Falls Sie keine feste IP haben, von der Sie administrieren können, benutzen Sie bitte ein VPN oder authentifizieren sich über SPUVA. Wenn Sie Administration fürs Internet freigeben, sterben kleine Kätzchen :evil: :evil: :evil: :evil:
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)

menace
Beiträge: 7
Registriert: Mo 04.10.2010, 12:45

Beitrag von menace »

vielen dank für den hinweis.

die firewalls laufen aktuell noch nicht im produktiven betrieb.
sie werden voraussichtlich von standorten mit fester wan ip administriert werden.
ich denke wir werden dann die fw-regel entsprechend ändern und nur unsere wan-ip`s auf das external-interface zulassen.

ich verstehe allerdings nur noch nicht, wieso man diese administrations-ip`s trotzdem noch in den einstellungen der securepoint freigeben muss?!

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Muss man nicht. Das Eintragen der Administrations-IP unter Netzwerk -> Servereigenschaften erzeugt nur eine Firewall-Regel:

"Admin-IP" -> "jedes Interface" -> 22/tcp + 11115tcp -> ACCEPT

PETZ-it
Beiträge: 8
Registriert: Di 06.04.2010, 14:32

Beitrag von PETZ-it »

kann man bei der 10.4 eigentlich auch einen DDNS Eintrag als externen Admin hinterlegen?
Wird die (momentane) IP dann im Moment des Zugriffs "reingelassen"?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Nein. die IP wird im Moment des Regelupdates aufgelöst. Das wird meist funktionieren, da das Regelupdate auch zwischendurch immer wieder gemacht wird

PETZ-it
Beiträge: 8
Registriert: Di 06.04.2010, 14:32

Beitrag von PETZ-it »

???? also kein NEIN sondern eher ein JEIN? ;-)
Es geht mir bei dieser Frage vorallem um die Überwachungsfunktion des SOC ...

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

kann man bei der 10.4 eigentlich auch einen DDNS Eintrag als externen Admin hinterlegen?
Ja
Wird die (momentane) IP dann im Moment des Zugriffs "reingelassen"?
Nein. die IP wird im Moment des Regelupdates aufgelöst.

PETZ-it
Beiträge: 8
Registriert: Di 06.04.2010, 14:32

Beitrag von PETZ-it »

Ok, danke!

Gesperrt