85807
Goto Top

IP Adresse zugriff auf anderes Subnetz auf Zywall 200 einstellen.

Hallo Leute.

Ich sehe vor lauter Bäumen den Baum nicht.
Wie stelle ich auf einem Zyxel Gerät die Möglichkeit einer 10.1.20.x Adresse ein, das sie ins 10.1.30.x Subnetz kommt.
ist dazu eine einfache Firewall Regel notwendig oder brauch ich eine Policy Route.....!?

Content-Key: 163446

Url: https://administrator.de/contentid/163446

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: dfritz
dfritz 28.03.2011 um 10:09:04 Uhr
Goto Top
Also wenn sich das 10.1.30 Netz im selben Haus befindet und auch am Router angeschlossen ist, dann würde ich einfach einen Routing eintrag setzen.

Allerdings muss die ZyWall sowohl eine IP im 10.1.20 als auch im 10.1.30 besitzen - sozusagen jeweils die Gatewayadresse für jedes Netz.

Gruß dfritz
Mitglied: 85807
85807 28.03.2011 um 10:18:26 Uhr
Goto Top
Ja das ist alles so wie du es schreibst.

Mir ist nur die neue 2.20er Oberfläche der Zywall etwas suspekt.

Also es reicht unter Network/Routing die Konfiguration zu setzen und es sollte dann gehen?

Ps.: Das 10.1.30.x netz ist als LAN3 Zone eingerichtet.

Sprich geht es wenn ich einstelle: Zone - LAN3 zu Interface - LAN 1 ???
Mitglied: dfritz
dfritz 28.03.2011 um 10:22:38 Uhr
Goto Top
Hi,

persönlich kenne ich die Zywall nicht. Ich vermute aber, das es so ist wie Du sagst. Natürlich sollte es auch andersrum sein, wenn Du dann vom 30er ins 20er Netz möchtest.
Hat dein "LAN1" keine Zone ? ggf. musst Du die sonst noch einrichten.

Gruß Dfritz
Mitglied: sk
sk 28.03.2011 um 15:10:03 Uhr
Goto Top
Zitat von @85807:
Wie stelle ich auf einem Zyxel Gerät die Möglichkeit einer 10.1.20.x Adresse ein, das sie ins 10.1.30.x Subnetz kommt.
ist dazu eine einfache Firewall Regel notwendig oder brauch ich eine Policy Route.....!?
...
Also es reicht unter Network/Routing die Konfiguration zu setzen und es sollte dann gehen?
Ps.: Das 10.1.30.x netz ist als LAN3 Zone eingerichtet.
Sprich geht es wenn ich einstelle: Zone - LAN3 zu Interface - LAN 1 ???

Wenn die beiden Netze direkt an der Firewall anliegen, benötigst Du auf der Firewall selbst selbstverständlich keine Policyroute - es sei denn, Du benötigst SNAT.
Die Firewall kennt die beiden Netze schließlich bereits. Außerdem haben "directly connected"-Routen per Default eine höhere Priorität als alle anderen Routen (sofern man dies nicht aktiv ändert). In den Supportnotes ist alles in epischer Breite erklärt: ftp://ftp.zyxel.com/ZYWALL_USG_200/support_note/ZYWALL%20USG%20200_2.20.pdf

Es genügt also eine Firewall-Regel, welche den gewünschten Traffic zulässt.

Gruß
sk
Mitglied: 85807
85807 29.03.2011 um 09:35:11 Uhr
Goto Top
Hey. Das klingt irgendwie sehr logisch :D

Da beide Netzte physikalisch am selben Port auf der Zywall liegen stellt sich die Frage der Regel:

From Interface: LAN1 to Interface: LAN1
Source: 10.1.30.x
Destination: 10.1.20.x

Dürfte mein Gedankenweg so richtig sein sk?

lg
Mitglied: sk
sk 30.03.2011 um 01:14:11 Uhr
Goto Top
Zitat von @85807:
From Interface: LAN1 to Interface: LAN1
Source: 10.1.30.x
Destination: 10.1.20.x

Das Firewallregelwerk basiert auf Zonen - nicht auf Interfaces! Zonen können mehrere Interfaces gleicher oder verschiedener Typen enthalten - ein Interface kann jedoch nur einer einzigen Firewallzone zugeordnet sein.
Leider hat Zyxel bei den kleineren Geräten im Anflug völliger geistiger Umnachtung die repräsentativen Ethernetinterfaces/Portgroupings gleich den Default-Zonen benannt. Auch kann man bei den kleinen Geräten die repräsentativen Ethernetinterfaces/Portgroupings nicht aus den standardmäßig zugeordneten Zonen entfernen. Hintergrund ist der, dass man die Default-Konfig und die Einstelloptionen möglichst stark an die alten ZyNOS-Geräte anlehnen wollte, um den Usern den Umstieg zu erleichtern. Damit hat man aber nur Verwirrung erzeugt.
Ab der USG300 aufwärts erschließt sich die Logik m.E. viel besser. Hier heissen die repräsentativen Ethernetinterfaces/Portgroupings einfach ge1-ge7 und können frei allen Zonen zugeordnet werden. Einem repräsentativen Ethernetinterface können ein oder mehrere physische Ethernetports zugeordnet werden. Das nennt sich Portgrouping - auf den kleinen Geräten: Portrole.


Zitat von @85807:
Da beide Netzte physikalisch am selben Port auf der Zywall liegen ... .

Wie ist das realisiert? Per "Virtual Interface" oder per VLAN-Interface? Ersteres erbt die Zonenzughörigkeit vom Parent Interface - letzteres kann frei einer Zone zugeordnet werden. Ersteres ist _keine_ Trennung auf Layer2 - letzteres sehrwohl...


Gruß
sk
Mitglied: 85807
85807 14.04.2011 um 15:59:42 Uhr
Goto Top
Also ich muss sagen es ist wie verhext.
bei fast allen PCs wo ich jetzt einen übergreifenden Zugriff per Firewall eingerichtet habe, hat es auch funktioniert.
bei einem oder zwei will es aber partout nicht klappen. Kanns mir ehrlich gesagt nicht erklären. Egal ob er fixe ip oder die vom dhcp hat. in firewall lan - lan from source: 101.20.23 to destionation: subnetz: 10.1.30.0
Kein Ping möglich.

Bei source: 10.1.20.24 funktioniert auf Anhieb.


Also zu deiner Frage:
Ist alles noch Standard "Virtual Interface" realisiert.
die VLANs auf der Zywall muss ich erst erstellen.
Wir haben hier unzählige ES-1528 Switch. So billigen Dreck aus Japan. Bin mal gespannt wie gut ich das VLAN hier umsetzten werd können.

Jeder Switch wird dan ein eigenes VLAN.

Switch 1 - VLAN 10
Switch 2 - VLAN 20
Switch 3 - VLAN 30
Switch 4 - VLAN 40

Trunking Ports eingestellt.
Dan auf Zywall die VLANs eingegeben und dan per Firewall Regel gesagt zB.

VLAN 10 und 30 darf zu VLAN 20 und 40
VLAN 30 darf aber nicht zu VLAN 10
usw.

vlg
Mitglied: sk
sk 14.04.2011 um 21:48:43 Uhr
Goto Top
Zitat von @85807:
bei fast allen PCs wo ich jetzt einen übergreifenden Zugriff per Firewall eingerichtet habe, hat es auch funktioniert.
bei einem oder zwei will es aber partout nicht klappen. Kanns mir ehrlich gesagt nicht erklären. Egal ob er fixe ip oder die
vom dhcp hat. in firewall lan - lan from source: 101.20.23 to destionation: subnetz: 10.1.30.0
Kein Ping möglich.
Bei source: 10.1.20.24 funktioniert auf Anhieb.

Vermutlich spielt Dir eine Desktopfirewall einen Streich oder es ist kein oder ein falsches Standardgateway angegeben. Ein Tracert sowie ein Blick ins Firewall-Log erleichtern die Lösungsfindung...

Gruß
sk
Mitglied: 85807
85807 15.04.2011 um 09:54:00 Uhr
Goto Top
Ja daran hatte ich auch schon gedacht.

Hab probiert:

Firewall auszuschalten.
Firewall ICMP Regeln alle aktivieren (waren sie aber bereits)
Dem Programm Zugriff über die Firewall geben und einstellen.

Ping auf die IP war aber auch danach nicht möglich.

Der Zugriff betrifft jetzt aber PCs mit IP 10.1.20.x die Zugriff auf Kameras mit IP 10.9.x.x brauchen.
Kann es sein dass es daran liegt, dass die Kameras den falschen GW eingetragen haben?
Ich werd das mal überprüfen....

Müssen die Kameras dann einen eigenen GW bekommen oder würde es reichen wenn ich die IP 10.1.20.1 eintrage?
Was ich damit meine ist, ob ich auf dem Router ein neues Virutell Interface einrichten soll oder ist es besser wenn die Kamera so eingestellt bleibt: IP: 10.9.34.25 / Subnet: 255.0.0.0 / GW: 10.1.20.1

So hab der Kamera die IP vergeben, aber so richtig will das auch nicht. From: IP 10.1.20.23 to Destination: Kamera_Subnetz: 10.9.0.0 / 255.255.0.0

Nun wenn ich LAN1:2 als Virtuelles Interface erstelle geht es.
Wenn ich es jetzt aber auch gleich mit VLAN eingerichtet haben will.
Hab mal eine eigene Zone LAN8 gemacht, dann ein VLAN8. Ich müsste jetzt nur noch am switch an dem die Kameras angeschlossen sind das VLAN8 einrichten, den Trunk Port einstellen dann müsste es auch wieder funktionieren?


Geht das dann wenn zB: Router - Switch (VLAN7) - Switch (VLAN8)

Switch mit VLAN8 hängt an Switch mit VLAN7.