Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 2 unterschiedliche Firewalls so einstellen dass der LAN-Bereich von FW1 auf den DMZ-Bereich der FW2 zugriff hat

Mitglied: littleAdm

littleAdm (Level 1) - Jetzt verbinden

06.11.2018, aktualisiert 14:15 Uhr, 324 Aufrufe, 13 Kommentare

Hallo liebe Administratoren.

Zur Grundlage:
Es bestehen zwei Firewalls verschiedener Standorte, zwischen beiden ist eine dauerhafte VPN eingerichtet, so dass beide LAN-Bereiche aufeinander zugriff haben.
Der Lan-Bereich der FW2 hat automatisch zugriff auf den DMZ-Bereich der FW2. Nun möchte ich das Ganze so einrichten dass auch der LAN-Bereich der FW1 zugriff auf den DMZ-Bereich der FW2 bekommt.

Verwendet wird in beiden Fällen eine XNetSolution Firewall.

Habe schon verschiedene Einstellungen ausprobiert, jedoch bisher ohne Erfolg. (Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten).

Ich bedanke mich schon jetzt bei allen, die mir dienliche Hinweise geben können.

Liebe Grüße

littleAdm
Mitglied: killtec
06.11.2018 um 14:39 Uhr
HI,
kennt denn die FW 1 eine Route in das DMZ der FW 2?

Gruß
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.11.2018, aktualisiert um 14:42 Uhr
Nun möchte ich das Ganze so einrichten dass auch der LAN-Bereich der FW1 zugriff auf den DMZ-Bereich der FW2 bekommt.
Im Grunde ist das kinderleicht.
Mit den entsprechenden Firewall Regeln an den Interface Ports ist das in max. 3 Minuten erledigt !
Habe schon verschiedene Einstellungen ausprobiert
Welche denn genau ? Oder müssen wir raten
Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten
Keine guten Voraussetzungen...
Es kommt auf dein Regelwerk drauf an.
Mal grob gesagt sind es die folgenden Schritte
  • LAN Port FW1 Source IP Netz mit Destination IP Netz FW2/DMZ muss hier passieren dürfen
  • Am VPN Interface FW2 inbound, müssen Pakete mit Source IP Netz LAN/FW1 und Destination DMZ/FW2 passieren können.
  • Am VPN Interface FW1 inbound, müssen Pakete mit Source IP Netz DMZ/FW2 und Destination LAN/FW1 passieren können.
  • DMZ Port FW2 Source IP Netz mit Destination IP Netz FW1/LAN muss hier passieren dürfen.
Das wäre mal das grobe Firewall Regelwerk.
Ist aber nur die halbe Miete....
Je nach verwendetem VPN Protokoll musst du die Routing Infos zum DMZ IP Netz an FW2 auch der anderen Seite bekannt machen.
Leider ist deine Beschreibung hier recht oberflächlich da du es nicht geschafft hast das verwendet VPN Protokoll zu nennen so das uns da auch wieder nur raten bleibt.
Bei IPsec wird das z.B. in den SA Phase 2 Credentials gemacht.
Bei OpenVPN macht man das mit einem push route xyz Kommando usw.
Auch hier leider zuwenig Infos für einen zielführende Hilfe.
Die Ausgabe der Routing Tabelle beider Firewalls wäre ebenfalls hilfreich hier.
Aber die 2 oben genannten Hauptpunkte solltest du checken: Regeln und VPN Routing.
Bitte warten ..
Mitglied: littleAdm
06.11.2018 um 14:42 Uhr
Danke für deinen Beitrag,

Wahrscheinlich nicht.
Wie trage ich eine Route für die FW1 zur DMZ FW2 ein?

Gruß
littleAdm
Bitte warten ..
Mitglied: aqui
06.11.2018, aktualisiert um 14:43 Uhr
Gar nicht !
Das machst du über die VPN Credentials...
Sieh dir das bei den Einstellungen zu den beiden LAN Netzen an. Das gilt analog auch für die DMZ Netze.
Bitte warten ..
Mitglied: ChriBo
LÖSUNG 06.11.2018 um 14:49 Uhr
Hallo,
mit deinen Angaben wird dir niemand konkret helfen können, es fehlen zuviele Infos: welche Art von VPN, welche Einstellungen sind gemacht worden, welche Regeln sind erstellt worden, was hat nicht funktioniert etc.
-
deshalb ganz grob:
Was wahrscheinlich eingerichtet ist:
(IPsec) VPN: Phase 1 zwischen FW1 und FW2 ist auf beiden Firewalls eingerichtet und OK.
(IPsec) VPN: Phase 2 LAN/FW1 <-> LAN/FW2 ist auf beiden Firewalls eingerichtet und OK.
Zugriffsregeln (in beide Richtungen) LAN1 <-> LAN2 sind auf beiden Firewalls eingerichtet und OK.

das was fehlt:
(IPsec) VPN: Phase 2 LAN/FW1 <-> DMZ/FW2 muß auf beiden Firewalls eingerichtet werden
Zugriffregeln von LAN/FW1 -> DMZ/FW2 müssen erstellt werden.
DMZ/FW2 -> LAN/FW1 sollte eine explizite deny all Regel erhalten.

Thats it
Bitte warten ..
Mitglied: Vision2015
06.11.2018 um 14:50 Uhr
Moin...

Habe schon verschiedene Einstellungen ausprobiert, jedoch bisher ohne Erfolg. (Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten).
warum machst du dann den Job?

in den Eigenschaften von deinem VPN stellst du natürlich auf beiden seiten ein, welche netzwerke ereicht werden sollen!
wie @aqui schon sagte... 3 min zeitaufwand

Frank
Bitte warten ..
Mitglied: littleAdm
06.11.2018, aktualisiert um 15:12 Uhr
Alles klar, so weiß ich zumindest mal, was benötigt wird, danke:

Die Tabelle (FW1):
-* * ---.----.----.---- ipsec0
-* * 192.168.1.0/24 ipsec0
-* * 192.168.7.0/24 ipsec0
-* * 192.168.8.0/24 192.168.8.2 ovpns0
-* * 192.168.8.2 ovpns0
-* * 192.168.18.0/24 ipsec0
-* * 192.168.19.0/24 eth0
-* * ---.---.---.--- eth1
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec0
-* * * ---.---.---.--- eth1

(Öffentliche IP-Adressen bewusst raus genommen)

Die Tabelle (FW2):

-* * ---.---.---.--- eth1
-* * 192.168.7.0/24 192.168.7.2 ovpns0
-* * 192.168.7.2 ovpns0
-* * 192.168.8.0/24 ipsec3
-* * 192.168.18.0/24 eth0
-* * 192.168.19.0/24 ipsec3
-* * 192.168.100.0/24 eth2
-* * 192.168.110.0/24 eth3
-* * 192.168.188.42 ipsec3
-* * 192.168.200.0/24 ipsec3
-* * ---.---.---.---.--- ipsec3
-* * ---.---.---.--- ipsec3
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec3
-* * * ---.---.---.--- eth1

ipsec ist die VPN-Verbindung

Versteh ich es richtig: ich müsste eine SNAT-Verbindung von eth3 zu ipsec3 einrichten?

Gruß
littleAdm
Bitte warten ..
Mitglied: Spirit-of-Eli
06.11.2018 um 15:07 Uhr
Sehr gut das wir jetzt die externen Adressen kennen.
Bitte warten ..
Mitglied: littleAdm
06.11.2018 um 15:42 Uhr
@Spirit-of-Eli: Danke für den Hinweis, hatte ich an zwei Stellen übersehen...

Habe jetzt auf FW2 eingerichtet:

Im Bereich eth0 (LAN): *>SX-Gate>eth0
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen

Im Bereich eth0 (LAN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping"

Im Bereich ipsec3 (VPN): *>SX-Gate>ipsec3
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen

Im Bereich ipsec3 (VPN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1 und mit dem NAT der IP der FW2
Als Protokoll ersteinmal nur "Ping"

Das gleiche in umgedrehter Reihenfolge auf der FW1

Danach einen Ping-Befehl abgesetzt, leider ohne Erfolg.
Bitte warten ..
Mitglied: Spirit-of-Eli
LÖSUNG 06.11.2018 um 16:11 Uhr
Du brauchst kein SNAT.
Es muss, wie oben schon steht, nur Durch die Tunnel geroutet werden.

Das wurde aber alles schon erwähnt.
Bitte warten ..
Mitglied: littleAdm
06.11.2018 um 16:52 Uhr
Ich bedanke mich bei allen, die sich bemüht haben mir zu helfen und auch ein gewisses Maß an Geduld mitgebracht haben.

Warum ich das überhaupt mache wurde noch gefragt:
Ich mache eigentlich ganz andere Sachen, jedoch wurde dies im Zuge einer meiner anderen Tätigkeiten nötig, darum mache ich das. Normalerweise hab ich eher weniger mit der FW zu tun, konnte aber in diesem speziellen Fall nicht auf das Fachwissen meines Kollegen zugreifen und musste mir selbst weiter helfen.

Das Routing durch die Tunnel war der fehlende Hinweis, das hatte noch gefehlt.

Danke noch mal

gruß
littleAdm
Bitte warten ..
Mitglied: Campino86
06.11.2018, aktualisiert 07.11.2018
Hallo,

erstmal herzlichen Glückwunsch, dass es funktioniert.

Ich gebe dir nur mal als Tip, eine Firewall die in einer aktiven Umgebung steht, ist keine Spielwiese, zum einen kannst du dich natürlich komplett selbst aussperren und was noch schlimmer ist, du hast wie oben geschrieben, alle möglichen Einstellungen ausprobiert, ohne Erfolg. Dabei ist der fehelende Punkt ja wie mehrfach beschrieben, mit entsprechendem Wissen sehr logisch. Daher läufst du einfach Gefahr, dass es nun zwar läuft was du möchtest, du weisst aber vermutlich nicht, was du durch deine Spielerei noch alles verändert / freigeschalten hast.

Bsp:

Rechner von ext. Ip x.x.x.x, soll auf interenen Server y.y.y.y zugreifen können.
Du machst einfach any <----> any und es funktioniert, da alles andere was du getestet hast ja nicht ging.

Erster Gedanke super, später mal Ooooo, da noch viel mehr geht.

Daher der kleine Rat, wenn kein großes Know-How im Haus, im Security Bereich ext. Dienstleister holen, diesen machen lassen und sich dabei das ganze erklären lassen. 2 Fliegen mit 1 Klappe ( a ) das ganze funktioniert richtg, 2 der Mitarbeiter hat was gelernt und kann es das nächste mal selbst. )
Für solche Fälle, werden ja auch keine rießen Summen fällig und die sollten es jedem Unternehmer Wert sein, seine Daten und damit sein Unternehmen zu schützen.


P.s. Markiere doch bitte die Frage als gelöst und den entsprechenden Beitrag.
Bitte warten ..
Mitglied: aqui
07.11.2018, aktualisiert um 11:40 Uhr
Absolut richtig ! Die Route hätte auch nicht nötig getan wenn man die SA Credentials richtig eingetragen hätte, was vermutlich nicht passiert ist...ein Stück Unsicherheit mehr in der FW.
Jetzt mal geraten das die FW das VPN mit dem IPsec Protokoll realisiert wie vielfach üblich....
Case closed..
Bitte warten ..
Ähnliche Inhalte
Microsoft Office

Bereich mit variablen Bereich in einer anderen Tabelle

gelöst Frage von mreskeMicrosoft Office7 Kommentare

Hallo ich stehe gerade mit folgendem Problem auf dem Schlauch und hoffe, jemand hat eine Idee: Ich möchte die ...

Netzwerkmanagement

Drucken über WLAN bei unterschiedlichen IP Bereichen

Frage von 21243Netzwerkmanagement3 Kommentare

Guten Tag. Weil alle im Urlaub sind und ich somit Ruhe habe, wollte ich ein Problem lösen: Basics: Ein ...

Router & Routing

Zugriff auf NAS in anderem IP-Adress Bereich

gelöst Frage von TorstenhofRouter & Routing12 Kommentare

Hallo liebe Forumsmitglieder Ich habe folgendes Problem mit einer Netzwerkkonfiguration: Netzwerk 1: IP Adressen 192.168.0.x Arbeitsplatzrechner und NAS Zugriff ...

Windows Server

Windows Server 2012R2 DHCP Bereiche einstellen

gelöst Frage von BauntyWindows Server6 Kommentare

Hallo zusammen Ich brauche mal hilfe wie Ich 3 DHCP bereiche einrichte, der eine bereich soll alle clients bestücken ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 16 StundenWindows Server3 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 19 StundenCPU, RAM, Mainboards6 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 1 TagWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 1 TagWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell16 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...

Windows Server
Lohnt sich eine Domäne für uns?
Frage von BowsetteWindows Server12 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...

Windows Server
AD Password Reminder Mail
Frage von TeutoneWindows Server10 Kommentare

Hallo liebe Leute, ich habe vor langer Zeit einmal ein Password Reminder Mail Script erstellt, welches nun nicht mehr ...