janosh22
Goto Top

Cisco ISA 500, öffentliche IP auf einen zweiten Firewall leiten

Hallo zusammen,

ich habe einen Cisco ISA 570 Firewall,
und einen zweiten Zyxel Firewall dahinter, welchen ich mit der externen IP erreichen möchte.


es handelt sich um einen DSL-Anschluss mit 5 nutzbaren statischen IP's

eine dieser öffentlichen IP würde ich gerne auf einen freien Port des Firewall/Router umleiten. Bsp: IP 82.250.23.23 auf Anschluss GE4,
damit der Zyxel Firewall direkt von aussen erreicht werden kann.
wenn möglich eine transparente Weiterleitung von sämtlichen Ports.

WAN-Seitig besteht bereits eine Verbindug zum Modem über PPPoE und der Cisco ist unter den öffentlichen IP's erreichbar

meine Überlegung war nun ein ein statisches Routing

Destinantion Adress: habe die Adresse des 2. FW (192.168.10.10) als Host auf dem ersten erstellt.

Next Hop IP-Adress gewählt und die externe IP als Host erstellt.


mir fehlt da irgendwie die Zuteilung auf welchen externen Anschluss (GE4) es gehen soll,
hab ich da einen grundlegenden Überlegungsfehler?

muss ausserdem noch eine Regel unter DMZ erstellt werden, oder wie wäre die einfachste Lösung?

habe leider in google keine für mich verständliche Lösung gefunden.

Vielen Dank für eure Hilfe

Content-Key: 236791

Url: https://administrator.de/contentid/236791

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: janosh22
janosh22 29.04.2014 um 18:58:51 Uhr
Goto Top
die IP des zweiten Firewalls müsste WAN-Seitig nicht zwingend 192.168.10.10 sein, könnte auch als die externe Bsp: IP 82.250.23.23 konfiguriert werden, falls es so optimaler wäre
Mitglied: aqui
aqui 29.04.2014 aktualisiert um 19:20:34 Uhr
Goto Top
ich habe einen Cisco ISA 570 Firewall, und einen zweiten Zyxel Firewall dahinter, welchen ich mit der externen IP erreichen möchte.
Von WO bitte aus gesehen ?? Internet oder lokales LAN ??
Die Lösung ist aber kinderleicht, denn du machst einfach einen statischen IP NAT 1:1 Eintrag einer der freien öffentlichen IPs auf deine dahinterliegende Firewall WAN IP. Fertig ist der Lack ! Ein millionenfach konfiguriertes Allerweltsszeanrio im Netzwerk Business....
Eigentlich kein Problem und einen Thread wert hier.
Die generelle Frage die man hier stellen muss ist was der tiefere Sinn sein soll 2 Firewall Systeme zu kaskadieren ?!
Brauchst du zum Gürtel unbedingt noch den Hosenträger oder was soll der Sinn sein ??
Zumal du ja auch noch ein Riesenloch in die erste Firewalls bohrst ( "wenn möglich eine transparente Weiterleitung von sämtlichen Ports." ) um die quasi vollständig zu umgehen....irgendwie dann ziemlich sinnfrei solch eine Kaskade ?!
Mitglied: janosh22
janosh22 29.04.2014 aktualisiert um 20:11:17 Uhr
Goto Top
WAN -- Cisco ISA 570 -- Zyxel Firewall(Nachbar) -- Clients Nachbar
|
|_ meine Rechner

Vielen Dank für die schnelle Antwort,

habe den Static NAT Eintrag erstellt.
Zusätzlich die ACL Rule
Zone WAN-LAN(source extIP, Destinantion:erstellter interner Host)
und LAN-WAN (source erstellter interner Host, Destinantion:extIP)
erstellt, services any, Action Permit

angeschlossen ist der Zyxel am GE 7, konfiguriert als VLAN im entsprechenden IP Range

was ich noch nicht verstehe, läuft die Zuordnung auf den entsprechenden Port(GE7) automatisch?

habe nach diesen Einstellungen noch immer keinen Zugriff von aussen, kommt immer die Meldung vom Cisco, Gateway Timeout.

habe ich etwas grundlegendes vergessen?


Zweck ist oben evtl. bereits ersichtlich, ich teile den Anschluss mit einem Nachbarn, welcher seine einene Firewall möchte, da er 2-3 verschiedene VLAN's möchte.
Mitglied: aqui
aqui 30.04.2014 aktualisiert um 18:11:30 Uhr
Goto Top
läuft die Zuordnung auf den entsprechenden Port(GE7) automatisch?
Normal nicht. Es kommt darauf an WO du diesen Port eingebunden hast ?? Normal sind paralele Ports in einem kleinen Switch im Default VLAN1 wenn nix in der Konfig steht.
Hilfreich wäre sicher wenn du die Konfig mal anonymisiert hier postest...
Vielleicht hilft dir als Grundlage auch eine Cisco Beispielkonfig eines IOS Routers oder Switches:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: janosh22
janosh22 30.04.2014 aktualisiert um 21:30:54 Uhr
Goto Top
die Konfiguratuion habe ich wie folgt gemacht.

- WAN konfiguriert über PPPoE, und Remote Admin aktiviert.
die IP's sind aus dem Internet erreichbar und es kommt der Cisco Firewall Login.

- VLAN erstellt im Range des 2. FW (192.168.10.10)
VLAN ID und PVID: 146, IP Adress 192.168.10.1, 255.255.255.0, Member GE7. Mode Access, Connected, Zone: LAN
am GE7 des Cisco ist der Zyxel Firewall dran, fixe IP 192.168.10.10, 255.255.255.0 (am 2. Firewall an WAN-Port)

Internetzugriff vom den VLAN's des 2. Firewall funktioniert,

auch über den PC mit IP Adress 192.168.10.1, 255.255.255.0 auf den WAN Port des 2. Firewall
komme ich mit 192.168.10.10 auf den Zyxel Login (ACL Rules WAN to Zyxel temporär alles offen (any/any)

- Adress Objects erstellt:
Pub_IP: 82.250.23.23/255.255.255.255 Type Host ID43
2. ZyWall : 192.168.10.10/255.255.255.255 Type Host ID19


- static NAT Rule erstellt: WAN1, Public IP: Pub_IP, Private IP: 2. Zywall

- ACL Rule erstellt (um auszuschliessen Services auf "any")
from WAN to LAN , Services: any, Source Adresses: any, Destination Adress: 2.Zywall, Permit


wenn ich mit der externen IP drauf zugreiffe kommt: Verbindung fehlgeschlagen

In der Adresszeile des Browser: https://192.168.10.10/redirect.cgi?arip=82.250.23.23 (eigentlich verkehrt)?


im Log/Debug/Destination folgende Information:
type=ACL Rule;action=Permit;Proto=TCP;SrcPort=18295;DstPort=22;Len=48

der Source Port variert jeweils


ich habe testhalber auch bereits das VLAN gelöscht, eine DMZ mit IP 192.168.10.1 erstellt, die die ACL Rules auf DMZ angepasst, jedoch dasselbe Problem.
Mitglied: aqui
aqui 01.05.2014 um 07:33:51 Uhr
Goto Top
VLAN ID und PVID: 146, IP Adress 192.168.10.1, 255.255.255.0, Member GE7. Mode Access, Connected, Zone: LAN
Das ist genau richtig so wenn du zusätzlich zum "switchport mode access" auch noch ein switchport access vlan 146 am GE7 eingegeben hast, dann ist der Port Member im VLAN 146.
In der Adresszeile des Browser: https://192.168.10.10/redirect.cgi?arip=82.250.23.23 (eigentlich verkehrt)?
Ja, das ist logisch vollkommen verkehrt. Die 192.168er IP Adresse ist eine private RFC 1918 Adresse die im Internet nicht geroutet wird. Du kannst niemals solch eine IP Adresse als Ziel IP aus dem öffentlichen Internet angeben, denn die Provider filtern jeglichen Traffic mit diesen RFC 1918 IPs !

Ist ja auch unsinnig, denn deine "sichtbare" IP Adresse aus dem Internet ist ja immer die WAN IP der ISA. Diese IP musst du als Ziel IP angeben. Das NAT Sattement sorgt ja dafür das dann die IP umgesetzt wird und an die dahinterliegende Firewall weitergereicht wird.
Das 1:1NAT macht also alles für dich in puncto IP Adressumsetzung.
Du kannst auf dem Cisco noch "debug ip nat" angeben und dann mal genau sehen was mit deinen eingehenden Paketen passiert. Der Debugger ist sehr sehr hilfreich beim troubleshooten. Das Kommando "debug ?" zeugt dir weitere Debugging Optionen !
Achtung: Wenn du mit einer Telnet oder SSH Session drauf bist musst du vorher noch ein "terminal monitor" eingeben sonst siehst du den Konsol Output nicht.
Wenn du mit dem Debuggen fertig bist dann immer undebug all nicht vergessen !!
Mitglied: janosh22
janosh22 01.05.2014 aktualisiert um 17:39:11 Uhr
Goto Top
ich habe die Nat Rule mit "Static NAT" gemacht,

da hatte ich nur die Einstellungen:
WAN WAN1 gewählt
Public IP 82.250.23.23 (den dafür erstellten Host im Adresspool)
Private IP 192.168.10.10 (den dafür erstellten Host im Adresspool)


sind die verkehrt, oder muss ich dies irgendwo anders konfigurieren?

finde es komisch, dass mit dieser NAT Konfiguration trotzdem im Browser dies verkehrt rum kommt.
https://192.168.10.10/redirect.cgi?arip=82.250.23.23 (


Vielen Dank für Deine Hilfe
Mitglied: aqui
aqui 01.05.2014 aktualisiert um 18:32:38 Uhr
Goto Top
Die 82.250.23.23 musst die öffentliche Internet IP sein. 192.168.10.10 ist dann die WAN Port IP der dahinter kaskadierten Firewall.
Im Browser darf sich gar nichts ändern im URL, denn das zeigt das da irgenden aktives HTTP Device zwischen ist was nicht sein darf !
Klar denn eine 192.168.10.10er Adresse findest du im gesamten Internet nicht da nicht adressierbar ! (Siehe oben)
Die darf da nicht stehen ! Ist klar das das mit der Ziel IP in die Hose geht.