Securepoint Support Forum

Hallo,

ich bin gerade dabei unsere aktuelle V10 UTM auf eine neue V11 umzustellen. Folgende Konfiguration wurde bereits umgesetzt bei zwei DSL - Leitungen:

erste Leitung eth0 (VDSL) mit Default Route: eth0 -> 0.0.0.0/0

zweite Leitung eth3 (SDSL) mit mehreren festen IP´s für NUR eingehende Verbindungen: Route hinzufügen -> feste IP (212.X.X.X) -> Gateway IP SDSL -> 0.0.0.0/0

In unsrer V10 sind im Portfilter mehrere Regeln defininiert mit dem Quell-  oder Zieleintrag "sdsl-netz".  Dieses Netzwerkobjekt "sdsl-netz" setzt sich wie folgt zusammen:

Host/Netz Eintrag -> IP Adresse 0.0.0.0 -> Netzmaske: 0.0.0.0/0 -> Zone: external-eth3

Wir hatten an der V10 immer mal Probleme das Pakete, welche an der eth3 ankamen (nur eingehende Verbindungen) über die eth0 rausgingen. Dies wurde im wesentlichen durch Rule Routing gelöst. In unserer neuen V11 möchte ich gern derlei Ungereimtheiten ausschließen. Bei dem Netzwerkobjekt "sdsl-net" irritiert mich die Netzmaske 0.0.0.0/0. Wahrscheinlich ist das richtig, da ja auch eth3 "nach draussen" geht. Ich wollte dennoch fragen ob man die Firewallkonfiguration hier eindeutiger definieren kann!? Wenn ich das richtig verstehe dient hier der Eintrag als "Platzhalter" für die Zone external-eth3?
Das Netzwerkobjekt "sdsl-netz" ist in den Regeln für Eingehende Verbindungen (VPN, Email, FTP, WEB) als Quelle und beim Emailversand von Quelle Exchange als Ziel hinterlegt. Danle!

Freundliche Grüße

Thomas Lohe

Hallo,

also wenn sich sdsl-net auf die eth3 Schnittstelle bezieht beziehen Sie sich genau auf das Netz. Beispiel sie haben die IP 212.212.212.212/29 auf eth3 liegen. Ist genau dieses /29 Netz davon betroffen. Bei 0.0.0.0/0 sind es alle IPs.
Die Securepoint speichert sich die Verbindungsinformationen im conntrack. Das bedeutet die Securepoint merkt ich bekomme eine Anfrage über eth3 rein inkl. einer vorhandenen Regel. Das bedeutet das auch die Antwortpakete über diese Leitung raus müssen. 

Wenn Sie einzelne Dienste auf eine Leitung binden wollen ist rule routing der richtige Ansatz. Wenn einzelne IP bzw. Subnetze über eine Leitung rausgehen sollen machen Sie das im Routing. Hier geben Sie einfach eine source mit an. Einzelne IP mit Maske 32 oder halt eine andere Maske die benötigt wird. Alle anderen würde über die default Routen rausgehen inkl. der Gewichtung.

Gruß Björn

Hallo,
kann ich für obige Situation anstelle des Netzwerkobjektes "sdsl-netz" (in der V10) nicht gleich im Portfilter der V11 das schon vorhandene Netzwerkobjekt "external-network-eth3" (Name: external-network-eth3, Zone: external-eth3, Schnittstelle: eth3) verwenden? Die komplette Regel soll im wesentlichen so aussehen:
Quelle:  external-network-eth3  (siehe oben)   Ziel: SDSL90 (Name: SDSL 90, Zone: firewall-external-eth3, Adresse: 212.X.X.90/32)    Dienst: smtp
-> smtp- Pakete sollen aus dem eth3 Netzwerk über die IP 212.X.X.90 versendet werden dürfen
Freundliche Grüße
Thomas Lohe

 

Hallo,

Sie können das vorhandene Netzwerk dafür abändern. Denken Sie bitte daran sich dabei nicht auf die Schnittstelle zu beziehen sondern auf 0.0.0.0/0. Im Mailrelay sollten Sie dann eine ausgehende Adresse 212.X.X.90 eintragen.

Gruß Björn