Securepoint Support Forum

Hallo,
habe eine Securepoint so eingerichtet, dass ein netz mit 192.168.56.0 (Internal Network)über eth1 und das andere netz 192.168.58.0 (Internal Network N2)über eth2 geht. eth0 ist die wan Schnittstelle die für beide verfügbar ist. Klappt soweit auch alles, also beide Netze kommen in das Internet. Nun will der Kunde dass sich beide Netze gegenseitig finden und anpingen lassen. Ich habe also 2 regeln erstellt:
1. Internal Network (Quelle) auf Internal Network N2 (Ziel) Dienste any
2. Internal Network N2 (Quelle) auf Internal Network (Ziel) Dienste any

Muss ich jetzt doch noch zusätzlich irgendwelche Routen setzen, damit sich Rechner aus den 2 verschiedenen Bereichen gegenseitig finden?

vielen Dank im Vorraus für Eure Tipps.

Unter der Voraussetzung, dass alle Clients die Firewall als Default-Gateway benutzen benötigen Sie keine zusätzlichen Routen.

Hallo Namensvetter :-),
danke schon mal für die Antwort. Also ich habe auch gedacht, dass das so reichen müsste. tut es aber nicht. ich kann nach wie vor rechner aus den verschiedenen IP-Adressbereichen nicht anpingen. Sonst noch Ideen ?
gruß Erik

Ok, Kommando zurück. Es geht alles, mein Fehler lag darin, dass ich das ganze Problem in der Firma per VM's nachgestellt habe und diese auf den gleichen Switch gegangen sind. Mit physischen Rechner die auch tatsächlich auf getrennten Switches laufen, funktioniert alles. Also danke Erik für die schnelle Bestätigung meiner Konfiguration.

Hallo nochmals. Die Konfiguration hat sich nun vor Ort geändert, da der Kunde bedenken hat. Wenn die Securepoint mal ausfallen sollte, geht das komplette Netzwerk nicht mehr.
Nun ist es so, dass der Fileserver 2 Netzwerkkarten besitzt. Auf der LAN1 ist nun 192.168.56.1 als IP-Adresse eingetragen. Als GW die Secuerepoint mit der IP 192.168.56.105 und als DNS wieder 192.168.56.1
Auf der 2. Netzwerkkarte ist die 192.168.58.1, als GW nichts und als DNS 192.168.58.1 eingetragen.
Der Routing-RAS Dienst auf dem Fileserver ist eingerichtet, so dass sich die 2 Netze auch ohne Securepoint gegenseitig im Netz finden. Klappt auch soweit alles.
Nun sollen vereinzelte Rechner auch in das Internet. Aus dem 56er IP-Adressbereich klappt das auch einwandfrei, nur aus dem 58er IP-Berecih geht es nicht. Meiner Meinung nach müsste ich da keine spezielle Einstellungen machen, da ja beide IP-Bereiche über das eth1 gehen und somit als ein Netzwerk und Zone behandelt werden sollten. Oder sehe ich da was falsch. Vielen Dank für Eure Geduld un eventuelle Tips.
gruß Erik

Sie müssen zwei Netzwerkobjekte hinzufügen:

Name: Internal_Network2
IP: 192.168.58.0/24
Zone: internal

Name: Internal_Interface2
IP: 192.168.58.1/32
Zone: firewall-internal

Dann noch zwei Firewall-Regeln:
Internal_Network2 -> Internet -> any -> ACCEPT
Internal_Network2 -> Internal_Interface2 -> proxy -> ACCEPT

Und ein HideNAT:
Internal_Network -> "externes Interface" -> Internet -> Include

Danke für die Antwort, Erik.

Vielleicht ging das in meinem wirren Post von oben unter. Die Firewall soll so konfiguriert sein, dass der LAN-Verkehr über Eth1 geht, also kein 2. Interface wie ursprünglich gedacht.
Ich habe es nun so gelöst. Für das 58er Netz folgende Regeln:

Name: Internal_Network2
IP: 192.168.58.0/24
Zone: internal

Internal_Network2 -> Internet -> any -> ACCEPT
Internal_Network2 -> Internal_Interface -> proxy -> ACCEPT
hier also alles über ein interface

Und ein HideNAT:
Internal_Network -> "externes Interface" -> Internet -> Include
ist schon in der Grundeinstellung vorhanden.

Zusätzlich noch eine Route unter Netzwerkonfiguration

Gateway Ziel Mask Gewichtung
192.168.56.1 192.168.58.0 24 1

Oder kann man das irgendwie eleganter lösen ?

Mal noch eine bisschen off-topic Frage. Welche Ports genau schleift eigentlich der Proxy der Firewall durch ? Ich sehe das zwar in der Dienstekonfiguration, werde da aber nicht schlau daraus. Schleift der auch http,https etc durch, oder gar alles ?

Hintergrund ist der, daß bestimmte Rechner nur Zugriff auf Http haben sollen. Wenn ich die über den Proxy der Firewall jage,haben die das automatisch und noch zusätzliche wie z. Bsp https. Genau das ist nicht erwünscht.

Vielen Dank im Vorraus.