Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst DMZ der m0n0wall keine Netwerkverbindung verfügbar

Mitglied: JoergBerlin

JoergBerlin (Level 1) - Jetzt verbinden

18.01.2013 um 14:08 Uhr, 2919 Aufrufe, 7 Kommentare

Wir haben einen Monowallrouter mit 3 Netzwerkkarten. Diese wurden von der m0n0wall erkannt und sind konfiguriert als LAN; WAN; DMZ. Alles funktioniert außer die DMZ. Ich kann vom Rechner in der DMZ keinen ping zur m0n0wall oder von der m0n0wall zum Client absetzen.

Die Konfiguration der m0n0wall:

LAN: 192.168.100.100
WAN: PPPoE
DMZ: 192.168.200.1

System: General setup

Domain: xy.intern

Die Kofiguration Client (Win7):

IP-Adress: 192.168.200.2
Subnetmaske: 255.255.255.0
Standardgateway: 192.168.200.1

Arbeitsgruppe: WORKGROUP

Der Clien ist direkt an der DMZ-Schnittstelle. Die LED´s der LAN-Karten leuchten grün.

Ich habe nach dieser Anleitung gearbeitet: http://doc.m0n0.ch/handbook/examples.html#id11643435

Der Client soll aus der DMZ über die m0n0wall ins Inernet zugreifen.

Ich kann kein Ping vom Cient (IP: 192.168.200.2) auf die m0n0wall Schnittstelle DMZ (IP: 192.168.200.1) und umgekert absetzen.
Wie beschrieben sind die Geräte direkt verbunden und der Clint hat, als er noch mit anderer Konfiguration im LAN war, funktioniert.
Kann es sein, da die m0n0wall und der Client sich nicht in der gleichen Domäne/Arbeitsgruppe befinden, zu dieser Störung kommen.
Als der Client noch im LAN war hat er funktioniert und hatte sich auch in der WORKGROUP befunden.

Ich wäre für jeden Tipp dankbar.
Mitglied: aqui
18.01.2013, aktualisiert um 15:12 Uhr
Dir ist klar das alle Ports außer dem default LAN Port keinerlei FW Regeln definiert haben ??
Das bedeutet das an diesem Port dann ALLES verboten ist !
Du scheiterst also vermutlich schlicht und einfach an nicht eingestellten Firewall Regeln ! Vergiss nie das bei einer Firewall immer alles verboten ist was nicht explizit erlaubt ist !!
Du musst also für den DMZ Port entsprechende Regeln erstellen damit diese Pakete durchkommen !
Für Ping ist das z.B. das ICMP Protokoll oder alternativ musst du eine "Scheunentor" Firewall Regel erstellen wie die am LAN Port wo du sie dir abgucken kannst !
Weitere Infos dazu findest du in diesen Tutorials hier im Forum:
https://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
und
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: JoergBerlin
21.01.2013 um 11:37 Uhr
Danke für die schnelle Antwort. Ich habe jetzt ein paar Rules erstellt und die beiden Geräte, m0n0wall und
der Client, können sich jetzt anpingen.
Auf dem win7 Clint wird jetzt auch ein Netzwerk angezeigt. Jedoch steht das Internet nicht zur Verfügung.
Wie kann ich es jetzt erreichen, dass ich aus der DMZ ins WAN komme. Alle Rechner im LAN habe Internet.
Hier eine Regelübersicht:

DMZ:
TCP DMZ net * * 80 DMZ->HTTP Outbound WAN

TCP DMZ net * * 443 DMZ->HTTPS Outbound WAN

TCP DMZ net * !LAN net * DMZ nicht ins LAN

ICMP DMZ net * DMZ net * ping erlauben

UDP DMZ net 53(DNS) * 53(dns) DNS erlauben


Im Netwerkfreigabecenter auf dem win7 Client:

Client----Netzerk---x---Internet

Fehlermeldung: DNS-Server nicht verfügbar
Muss ich noch NAT einstellen?

Grüße aus Berlin
Bitte warten ..
Mitglied: aqui
21.01.2013 um 13:22 Uhr
Nein, NAT ist immer aktiviert Richtung Internet !!
Wie bereits mehrfach darauf hingewiesen hast du nicht auf die Reihenfolge geachtet !!
Bedenke das bei den Regeln immer der erste passende regelsatz bewirkt das die restlichen nicht mehr abgearbeitet werden !
Folgendermassen solltest du die Regeln umstellen (kann man rechts über die Buttons verschieben:

Regelset DMZ Interface:

IP DMZ net * !LAN net * DMZ verbieten ins LAN (IP hier und nicht nur TCP sonst kann UDP trotzdem durch!!)

UDP DMZ net 53(DNS) * 53(dns) DNS erlauben

TCP DMZ net * * TCP 80 DMZ->HTTP Outbound WAN erlauben

TCP DMZ net * * TCP 443 DMZ->HTTPS Outbound WAN erlauben

ICMP DMZ net * DMZ net * ping erlauben (Regel ist Blödsinn hier, denn im eigenen Netz kann immer pingen oder willst du nur das FW Interface pingbar machen ?? Wenn ja reicht hier als Ziel "DMZ IP Adress" !)

Damit erlaubst du nun folgendes:
TCP 80 HTTP und TCP 443 HTTPS
Das Problem ist jetzt der "Internet OK" Prozess bei MS WAS der benutzt um zu "meinen" das das Internet da ist.
Wenn der was pingt schlägt das fehl da du kein Ping erlaubt hast, ebenso wenn er andere Protokoll als HTTP oder HTTPS benutzt, denn nur das und DNS kommt raus.

Du kannst das ganz einfach und simpel sehen wenn du in den Logs einfach mal das Firewall Log und dann beobachtest WAS hier geblockt ist ! Jedes Blocking erzeugt hier einen Eintrag !
Da siehst du sofort auf den ersten Blick WAS in der Firewall Liste am DMZ Port hängen bleibt und was du ggf. noch nach draussen lassen musst !
Eigentlich kinderleicht...
Bitte warten ..
Mitglied: JoergBerlin
21.01.2013 um 15:29 Uhr
Nach dem ich alle Rules gelöscht und wie oben neu angelegt habe, funktioniert es jetzt.
Mit der ersten Rule "DMZ ins LAN verbieten" muss unbeingt darauf geachtet werden,
dass sie so angelegt wird:

Action: Pass
Interface: DMZ
Protocol: TCP/UDP
Source: DMZ Supnet
Destination: LAN Supnet
!!!wichtig!! hier Harken setzen bei "Use this option to invert the sense of the match."

Das wars!!! Vielen Dank für die Unterstützung
Bitte warten ..
Mitglied: aqui
21.01.2013, aktualisiert um 17:56 Uhr
Action Pass ist natürlich Schwachsinn wenn du den Verkehr blocken willst !!!
Das muss natürlich Block sein aber vermutlich hast du hier nur einen Dreckfuhler gemacht.
Und was ist denn ein "Harken" im Sup(i)net ?? Bist du unter die Schrebergärtner gegangen ?? Besser also einen Haken im Subnetz das hilft dann wirklich.
Das mit invert ist Unsinn, denn das macht das "block" Statement aber so gehts vermutlich auch... Warum einfach machen wenn es kompliziert auch geht..
Bitte warten ..
Mitglied: JoergBerlin
22.01.2013 um 09:39 Uhr
Diese Rule wird von m0n0wall empfohlen, siehe hier: http://doc.m0n0.ch/handbook-single/#id11644437

Unter "13.1.4. Configuring the DMZ Interface Firewall Rules" wird sie genau beschrieben.
Mit einer Block-Rule kamm ich nicht zurecht.
Entschuldige die Schreibfehler...ich hasse Gartenarbeit
Bitte warten ..
Mitglied: aqui
22.01.2013, aktualisiert um 15:31 Uhr
Du hast natürlich Recht, keine Frage !
Es ist logischer das so konfigurieren, denn das erspart die eine zusätzlich "Pass DMZ any" Regel danach wen man Block benutzt.
Sorry, hatte ich übersehen
Nachteil allerdings mit dieser einfachen Option:
So geht alles aus der DMZ raus ins Internet. Wenn du das auch noch protokollspezifisch gefiltert haben möchtest, dann musst du wieder mit Block oder Reject arbeiten !
Bei dir vermutlich in der DMZ nicht der Fall also kann man es so lassen !
Bitte warten ..
Ähnliche Inhalte
Firewall

Ist meine im Netzplan dargestellte DMZ auch wirklich eine DMZ?

gelöst Frage von Saiteck2009Firewall17 Kommentare

Hallo, ich befasse mich momentan mit Firewalls und der DMZ. Auf diesem Netzplan ist eine DMZ. Ich bin mir ...

LAN, WAN, Wireless

M0n0wall alternative

Frage von homermgLAN, WAN, Wireless4 Kommentare

Hey Leute, ich suche eine gute M0n0wall alternative, habe vor einigerzeit gelesen das da was gibt was sogar wie ...

LAN, WAN, Wireless

Router mit PfSense oder M0n0wall

gelöst Frage von SIPSIPLAN, WAN, Wireless7 Kommentare

Hallo zusammen Ich soll eine kostengünstige Variante suchen um bei uns ein Gast WLAN einzurichten. Den tollen und sehr ...

Router & Routing

DMZ Verständnisfrage

Frage von PharITRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 21 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 23 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft15 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...