lan->firewall->proxy->dslmodem

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mindph
Beiträge: 7
Registriert: Di 15.01.2013, 14:33

lan->firewall->proxy->dslmodem

Beitrag von mindph »

Hallo

Für unser Büro würde ich gern eine securepoint in das Netzwerk einbauen aber irgendwie funktioniert das nicht.

Mein Netzwerk ist mit einer soho-firewall geschützt und vor diese soll nun eine Securepoint Appliances als Proxy kommen. Ich habe verschiedene Netzwerk-Konfigurationen ausprobiert ohne Erfolg.

Das Problem: Ich kann vom LAN aus auf die Securepoint zugreifen, WebGUI und SSH funktionieren. Ich kann von der Securepoint per SSH aus das Modem und das Internet, auch mit DNS-Auflösung anpingen aber nicht aus dem LAN.

Mein Aufbau:
Modem
- DSL
- Intern IP 192.168.1.1
Securepoint
- Externes Interface: 192.168.1.2 default gateway 192.168.1.1
- Internes Interface: 192.168.175.1
Soho-Firewall
- Interface zur Securepoint: 192.168.175.254 (dhcp) default gateway 192.168.175.1
- Interface zum LAN: 192.168.3.1

Ich habe zuerst versucht, mir selber mein Netzwerk einzurichten, indem ich alle IPs statisch vergeben habe:

Modem->Securepoint 192.168.1.1-.1.2
Securepoint->SOHO-FW: 192.168.2.1-.2.2
FW->LAN: 192.168.3.1-xxx (dhcp)

Da das nicht funktioniert hat, habe ich einen PC direkt an die Securepoint gehangen, Werkseinstellungen zurück gesetzt und neu konfiguriert, diesmal ohne statische IPs sondern dhcp vom PC zur Securepoint, nur zum Modem blieb es bei 192.168.1.1 Damit kam ich ins Internet, also habe ich den Proxy konfiguriert, bei der SOHO-FW das Interface auch auf DHCP gesetzt und statt des PCs die FW mit verbunden (siehe oben), es geht trotzdem nicht. Selbstverständlich funktioniert das Netzwerk ohne den Proxy und nur mit FW problemlos...

Aus dem LAN kann ich alles pingen bis auf das Modem und Hosts im Internet. Was ist da los? Ich bin relativ neu mit Networking und bräuchte mal einen Tipp. Danke

Freundliche Grüße
mindph

Pascalk
Beiträge: 26
Registriert: Mi 04.08.2010, 08:50

Beitrag von Pascalk »

Interessant wäre zu wissen ob Ihre Pakete überhaupt an der Seucrepoint ankommen, wenn Sie hinter der SOHO-FW das Internet ansprechen möchen.

Dazu würde ich Ihnen empfehlen einen Pingtest zu machen. Erstellen Sie sich einen 2. Administrator auf der Securepoint der den Namen "root" hat. Danach downloaden Sie sich das SSH-Programm Putty (falls Sie noch kein SSH Tool haben).
Verbinden Sie sich mit Putty zur Firewall und melden Sie sich als root an.
Dann führen Sie den Befehl "tcpdump -i any proto 1 -nnp" aus.

Pingen Sie nun hinter der Soho-FW bitte den Google DNS Server 8.8.8.8 an.

Sehen Sie nun Pakete an der Firewall ankommen?
Sehen Sie 2 mal ein request Paket?

mindph
Beiträge: 7
Registriert: Di 15.01.2013, 14:33

Beitrag von mindph »

Also, ich konnte mich ja mit Putty per SSH auf die Securepoint Appliance einloggen und von dort aus das Modem anpingen, auf die WebGUI der Securepoint komme ich ja auch, also bis dahin geht das Netzwerk. Die Firewall leitet ja problemlos ins Internet weiter, wenn die Securepoint nicht dazwischen hängt.
Danke für den Tipp mit tcpdump vielleicht macht die FW ja auch noch irgend einen Mist, da ich das Netzwerk aber erst mal abgebaut habe, damit wir weiter arbeiten können, kann ich das nicht gleich ausprobieren. Ich antworte sobald ich es getan habe.

mindph
Beiträge: 7
Registriert: Di 15.01.2013, 14:33

Beitrag von mindph »

Habe das Problem gelöst: Das DNS-Forwarding funktionierte nicht richtig. Ping auf 8.8.8.8 ging, google.de nicht.

Allerdings gibt es immer noch weitere Probleme. So hängt zwischen dem Modem und der Securepoint ein Drucker, der nicht erreichbar ist. Während das Modem an 192.168.1.1 angeschlossen ist und die Securepoint an 192.168.1.2 ist der Drucker an 192.168.1.3

Nun kann ich aus dem internen Netz 192.168.3.x komischerweise 192.168.1.2 und 192.168.1.3 anpingen, aber die 192.168.1.1 nicht. Dafür kann ich aber auf die Webkonfiguration auf 192.168.1.1 zugreifen, aber der Drucker antwortet nicht, weder auf seiner Konfiguration auf h**ps://192.168.1.3 noch auf dem Druckerport 9100.

Bevor die Securepoint dazwischen geschalten war, ging das alles und ich sehe bei der Konfiguration echt nicht, wo das Problem liegen könnte...

philipp1984
Beiträge: 26
Registriert: Fr 18.09.2009, 08:37
Wohnort: Celle
Kontaktdaten:

Beitrag von philipp1984 »

Hallo mindph,

ich helfe etwas:

Du solltest dich etwas mit NAT beschäftigen.
Die Webseite deines Modems bekommst du, da der HTTP Proxy die Anfragen von der 1.2 (securepoint (external) interface) stellt und die Pakete auch dorthin zurück geschickt werden.
Wenn du ein Ping ausführst läuft das ganze via normalem Routing. Also folgende Möglichkeiten für Dich:

1. Du könntest am Modem eine Rückroute in das 3er Netz setzen. Ich denke aber nicht, dass es die Möglichkeit gibt.
2. Du richtest an der Firewall das Hide-NAT in Richtung 1er Netz (Internet) ein.
Danach sollte das funktionieren.

Genauso verhält sich das auch mit deinem Drucker.

LG
Philipp
Zuletzt geändert von philipp1984 am Fr 18.01.2013, 16:15, insgesamt 1-mal geändert.

mindph
Beiträge: 7
Registriert: Di 15.01.2013, 14:33

Beitrag von mindph »

Hallo

Danke für die Antwort, leider konnte ich mit dem Tipp auch nichts einrichten.
Ich habe ein Hide-NAT eingerichtet:

Quelle: Internal Interface Hinter: eth1 Ziel: Internet Hide-NAT: Include
Ich habe es auch mit Internal Network und External Network (in allen Kombinationen) versucht, ich kriege trotzdem keine Antwort vom Drucker über 192.168.1.12:9100

Wie gesagt, ohne Securepoint, allein mit der soho-Firewall funktioniert es weiterhin problemlos, ich sehe nur bei den Einstellungen der Securepoint nicht durch...

dirkg
Securepoint
Beiträge: 26
Registriert: Mo 18.06.2012, 10:12

Beitrag von dirkg »

Hallo,

Wurde dieses Hide-NAT auf der Securepoint oder auf der SoHo-Firewall eingetragen?
Wie lautet die IP Adresse die auf dem Netzwerkobjekt Internal Network hinterlegt ist, die für dieses Hide-NAT verwendet wird?

Wenn dieses Hide-Nat in der Securepoint eingetragen wurde und nicht in der Soho-Firewall, kommen Pakete aus dem 3er Netzwerk bei der Securepoint an. Um Regeln zu erstellen braucht die Securepoint demnach ein Netzwerkobjekt, dass dem 3er Bereich hinter der SoHo-Firewall entspricht.

mindph
Beiträge: 7
Registriert: Di 15.01.2013, 14:33

Beitrag von mindph »

> Wurde dieses Hide-NAT auf der Securepoint oder auf der SoHo-Firewall eingetragen?

Securepoint

> Wie lautet die IP Adresse die auf dem Netzwerkobjekt Internal Network hinterlegt ist, die für dieses Hide-NAT verwendet wird?

Internal Network 192.168.3.0 24 internal

> Wenn dieses Hide-Nat in der Securepoint eingetragen wurde und nicht in der Soho-Firewall, kommen Pakete aus dem 3er Netzwerk bei der Securepoint an. Um Regeln zu erstellen braucht die Securepoint demnach ein Netzwerkobjekt, dass dem 3er Bereich hinter der SoHo-Firewall entspricht.

Hat es eigentlich, oder?

Ich habe die 2. Firewall mal raus gelassen und nur die Securepoint eingebaut:

Code: Alles auswählen

dslmodem 1.1 -> 1.2 securepoint 3.1 -> 3.0/24 LAN
   (((wlan)))-> 1.12 drucker
Ping geht ja auch durch:

(Aus dem internen Netz)> ping 192.168.1.12

Ping wird ausgeführt für 192.168.1.12 mit 32 Bytes Daten:
Antwort von 192.168.1.12: Bytes=32 Zeit=3ms TTL=254

Aber auf den Ports antwortet niemand, weder 9100 noch 80.

Leider hat der Drucker nur wlan-Anschluss, sonst würde ich ihn einfach ins interne Netz hängen und hätte all die Probleme nicht. Wenn das nicht geht, muss ich wohl einen Druckerserver anschließen und den Drucker über USB ansteuern, wollte aber vermeiden noch eine extra Box aufzubauen und Kabel zu ziehen.
Zuletzt geändert von mindph am Di 22.01.2013, 11:45, insgesamt 1-mal geändert.

dirkg
Securepoint
Beiträge: 26
Registriert: Mo 18.06.2012, 10:12

Beitrag von dirkg »

Ich muss noch einmal fragen:

Bei dem Modem scheint sich um einen WLAN Router zu handeln. Ist das Webinterface dieses Routers aus dem internen Netzwerk per Browser über die IP Adresse erreichbar?
Welche Dienste sind für den Internetzugang freigegeben?

mindph
Beiträge: 7
Registriert: Di 15.01.2013, 14:33

Beitrag von mindph »

Ja, wie schon gesagt, da komme ich drauf. Aber wie philipp1984 meinte, liegt das wohl am Proxy.

Dienste sind gar nicht freigegeben.
Zuletzt geändert von mindph am Mi 23.01.2013, 18:39, insgesamt 1-mal geändert.

dirkg
Securepoint
Beiträge: 26
Registriert: Mo 18.06.2012, 10:12

Beitrag von dirkg »

Standardmäßig gibt es eine Portfilterregel:
Internal Network -> Internet -> any
Diese sorgt dafür, dass alle Dienste (any) die von innen (Internal Network) initiiert werden ins Internet (0.0.0.0/0 (also egal welche Ziel-Adresse)) gelangen können.

Weiterhin gibt es standardmäßig eine Hide-NAT Regel:
Internal Network -> eth0 -> Internet -> Include
Diese maskiert die IP aus dem Internen Netzwerk mit der die auf eth0 eingetragen wurde wenn das Ziel das Internet ist, also hinter eth0 liegt.

Wenn diese beiden Regeln vorhanden sind, sollte die Verbindung auch mit Port 9100 funktionieren.

In der Version 10 stehen standardmäßig noch Ausnahme-Regeln (Exclude) im Hide-NAT für die Privaten Netzwerke (Private-Class-A/B/C). Sollten diese nicht benötigt werden (z.B. IPSec-VPN) am besten löschen.

Eine zusätzliche Maßnahme wäre die default Route die im Drucker eingetragen ist auf 192.168.1.2 zu ändern. Ich gehe davon aus, dass der Drucker keine Verbindung zum Internet benötigt.

mindph
Beiträge: 7
Registriert: Di 15.01.2013, 14:33

Beitrag von mindph »

Also, die standardmäßigen Regeln habe ich nicht geändert, sie sind also noch dort. Darum wundert es mich ja. Zumal der Ping ja zum Drucker durch kommt, aber auf den Ports nichts. Der Drucker hat auch eine WebGUI, worüber man Tintenstand usw abfragen kann. Versuche ich auf 80 zum Drucker zu verbinden, kommt nur ein "warten auf 192.168.1.1..." und dann ein Timeout, also kriegt er eine Verbindung, aber keine Antwort. Mit der Firewall allein ging das. Ich habe auch überlegt, eine Portweiterleitung einzurichten, aber das brauchte ich früher auch nicht, außerdem ist es ja ausgehender Traffic und das Routing zum Drucker sollte das Modem regeln.

Darum brauch der auch die default-Route nach 192.168.1.1, weil das ja sein Router ist. Die Securepoint hat ja kein wlan, also muss der über das Modem gehen und dessen IP ist 192.168.1.1 wenn ich da nicht kompett etwas falsch verstanden habe, oder?

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

da Sie den Drucker anpingen können aber nicht auf Port 80 erreichen, könnte es hier zum Komplikationen mit dem HTTP Proxy kommen. Legen Sie eine Proxyausnahme-Regel vom internen Netz in Ihr 192.168.1.0/24er Netz an.
Nun sollten Sie Ihren Drucker auch via Port 80 erreichen können.

Gruß

Benutzeravatar
HenryK1ng
Beiträge: 1
Registriert: Fr 17.04.2020, 13:56

Beitrag von HenryK1ng »

Ich habe so lange nach eine rLösung meines Problems gesucht. Endlich wurde ich hier fündig. Ich habe ewig versucht meinem Drucker die IP 192.168.1.12 zu zuteilen.

Antworten