Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

QNAP-NAS und Sophos UTM in DMZ-Konstellation mit DynDNS

Mitglied: Welly92

Welly92 (Level 1) - Jetzt verbinden

08.01.2018 um 19:31 Uhr, 369 Aufrufe, 8 Kommentare

Hallo Zusammen,


ich habe eine QNAP die mittels mehreren Netzwerkadaptern im Netzwerk angeschlossen ist:

LAN 1: 192.168.2.180 (internes LAN mit Switch verbunden) Firewall IP lokal: 192.168.2.250

LAN 2: 192.168.6.181 (hängt am DMZ Port der Sophos UTM) Firewall IP DMZ: 192.168.6.250

Die QNAP hat eine Dyn DNS-Einstellung, welche auch die öffentliche IP ausgibt.

Folgende Einstellungen hab ich gemacht (siehe Bilder). Ich komme leider nicht über die DynDNS auf meine Qnap. Zur Info: Vor der Sophos hängt noch eine FritzBox 6490 Cable welche die Internetverbindung herstellt, bei dieser ist die Firewall (192.168.178.2) als Exposed Host eigestellt (VPN mit einem entfernten fritz-Netz klappt dadurch) Was mache ich falsch?

nat-einstellung - Klicke auf das Bild, um es zu vergrößern
firewall-einstellung - Klicke auf das Bild, um es zu vergrößern
dmz-schnittstelle - Klicke auf das Bild, um es zu vergrößern

Schon mal vielen Dank für eure Unterstützung!
Mitglied: Monto1
08.01.2018, aktualisiert um 20:12 Uhr
Schalte mal die Protokollierung der Firewallregeln ein und mach das Live Protokoll auf. Da solltest Du dann sehen ob die Anfrage durch kommt.
Bitte warten ..
Mitglied: ChriBo
08.01.2018 um 20:32 Uhr
Hi,
Auf welche Dienste und Ports willst du von ausserhalb auf das QNAP zugreifen ?
Welche Datenverkehrsdienst ist HTTP proxy ?

Ad hoc würde ich tippen, du willst mit Port 80 oder 443 auf das QNAP auf den Webserver zugreifen .
HTTP Proxy ist der standard SQUID port (3128).
Also mußt du in der DNAT und Regel Einstellung auch, bzw. nur Port 80 bzw. 443 verwenden.

Gruß
CH
Bitte warten ..
Mitglied: aqui
09.01.2018, aktualisiert um 10:29 Uhr
Die QNAP hat eine Dyn DNS-Einstellung, welche auch die öffentliche IP ausgibt.
Netztechnisch ist das falsch, denn es muss immer das Device sein was direkt am Internet hängt was den DynDNS Client bedient. Sprich also die Firewall.
Ist ja auch logisch, denn wenn die QNAP die IP Adresse an ihrem Port reportet 192.168.6.181 ist das eine private RFC 1918 IP Adresse die sofort verworfen wird weil diese IP Netze im Internet nicht geroutet werden.
Klassischer Konfig Fehler also.
Mal ganz abgesehen davon das man das NAS mit beiden Beinen in einem offenen und gesicherten Netz hat und damit quasi die Firewall aushebelt.
Ein recht gruseliges und naives Design das einer "DMZ" keineswegs entspricht. Muss man wohl auch sicher nicht weiter kommentieren.
Auch das sehr fragwürdig denn HTTP schützt die Daten nicht. Sowas macht nur Sinn wenn man in der DMZ einen eigenen Webserver betreibt aber NICHT um dort Daten zu bewegen die ggf. vertraulich sind.
So etwas sollte man niemals mit simplem Port Forwading machen sondern immer mit einem VPN.
Viele Baustellen also an dem Design wo so einiges schief läuft
Bitte warten ..
Mitglied: Welly92
19.01.2018 um 11:50 Uhr
Hallo aqui,

sorry für die verpätete Antwort. Ich würde ja auch gerne nur die Weboberfläche bzw. FileStation nutzen die per xxx.dyndns.de erreichbar sein soll. Hier befinden sich dann Ordner mit Fotos, Videos (keine wirklich vertraulichen Dateien, was aber nicht heißt das sie "jeder" sehen muss, Bentuzeranmeldung für jeden User natürlich einzeln). Was das Routing angeht, vermute ich den Fehler das der Standardgateway im internen LAN an Port 1 definiert ist: Qnap: 192.168.2.180 UTM: 192.168.2.250 (GW). Diesen Standard-GW kann man aber für die Qnap glaub ich nur 1x für alle Ports vergeben.

Wenn du natürlich sagst das meine Konfig so komplett sinnlos ist, werde ich sie verwerfen. Mein Ansinnen war die betreffenden Dateien auf "meinem" Server (Qnap) bereit zu stellen und nicht bei einem fremden Online-Dienst.

Viele Grüße
Bitte warten ..
Mitglied: aqui
19.01.2018 um 15:17 Uhr
Das Ansinnen ist auch absolut OK. Ist ja einer der simplen Klassiker wenn man ein eigenes NAS betreibt um die Hoheit über seine eigenen Daten zu behalten.

Nur das Design wäre ja schon etwas merkwürdig gelinde gesagt, denn mit einer DMZ hat das ja dann nichts mehr zu tun wenn alle Daten aus dem NAS "DMZ" Segment so oder so immer über den LAN 1 Port müssen.
Da reicht es ja dann wenns sich nur ganz einfach einer mit dem Wireshark da auf die Lauer legt und deine Daten ganz einfach abschnorchelt.
Anders sähe es natürlich aus wenn der LAN 1 Port nur eine Punkt zu Punkt Verbindung auf das Internet Gateway ist. Das wäre dann wieder tolerabel.

Was hilfreich wäre ist eine kurze Infrastruktur Skizze wie das denn genau aussieht mit den Firewall Ports und was wo steht.
Bitte warten ..
Mitglied: Welly92
11.02.2018 um 14:06 Uhr
Hallo aqui,

leider bin ich durch eine OP längere Zeit ausgefallen. Ich habe mal ein Netzdiagramm erstellt wie die aktuelle Konstellation aussieht, welche aber auch nicht lauffähig ist.

Viele Grüße
zeichnung qnap und firewall - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
12.02.2018, aktualisiert um 09:36 Uhr
Das ominöse Quadrat mit den LAN1-LAN4 Ports sind die 4 LAN Ports auf dem QNAP, richtig ??
Per se ist die Konfig erstmal nicht falsch.
Der Knackpunkt dürfte aber die Default Gateway Konfiguration des QNAP sein.
Dort kannst du ganz sicher nur ein einziges Default Gateway angeben und da beginnt dann das Drama wenn du es mit 2 Beinen in 2 IP Netzen hast.
Die QNAP kann Pakete die von außen kommen IMMER nur an ihre Default Gateway IP senden.
Zeigt das Gateway auf die Firewall am LAN Port .2.250 hast du deine DMZ ausgehebelt, denn trotz .6.x Absender IP des QNAP passt dann die Rückroute nicht.
Andersrum hast du sogar noch asymetrisches Routing und die DMZ Firewall Regeln blockieren den Zugang.
Leider hast du es versäumt die Gateway IP anzugeben auf die die QNAP eingestellt ist
In diesem Design darf das ausschliesslich NUR die .6.250 sein, also die Firewall IP in der DMZ !!
Nur dann würde das Design oben so passen !
Hast du das so eingestellt ??
Dann kann der Zugriff von außen nur über das DMZ Interface passieren was richtig ist und der Zugriff intern ausschliesslich nur über das interne LAN.
Du solltest hier auch aufpassen das die QNAP NICHT irgendwie routet oder sowas !!
Würde sie das tun hast du wieder einen Backdoor Router der die DMZ aushebelt. Das ist imemr die Grundgefahr solcher Designs wo DMZ Endgeräte auch noch ein Bein im gesicherten LAN haben !
Die beiden LAN Ports der QNAP dürfen auch keinesfalls irgendwie in einer Bridge arbeiten und müssen vollkommen isoliert sein IP mäßig, das sollte auch klar sein !
Bitte warten ..
Mitglied: Welly92
13.02.2018 um 16:54 Uhr
Wenn ich dich also richtig verstehe, soll ich das Standard-Gateway bei der QNAP auf die 192.168.6.250 umstellen? Aktuell zeigt dies auf die 192.168.2.250 (Firewall im LAN). Die QNAP wäre dann ja regulär im LAN noch über ihre IP 192.168.2.180 erreichbar? Gebridged ist nichts.
Bitte warten ..
Ähnliche Inhalte
Firewall
Sophos UTM DMZ und VLAN
gelöst Frage von DaPeddaFirewall2 Kommentare

Servus, ich habe eine Verständnisfrage: eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins ...

Voice over IP
SPA112 hinter Sophos UTM kein VOIP
gelöst Frage von Huibuh2010Voice over IP14 Kommentare

Hallo liebe Comunity, ich steh vor ein Problem und weiß ehrlich gesagt nicht mehr was ich probieren könnte. Mein ...

Firewall
Pfsense oder Sophos UTM Home
Frage von B4dminFirewall11 Kommentare

Hi zusammen, wie im Titel schon beschrieben, bin ich noch unschlüssig was die Software, bzw. noch mehr was die ...

LAN, WAN, Wireless
Sophos UTM mit Fritz Repeater
gelöst Frage von MichiGrossmannLAN, WAN, Wireless21 Kommentare

Hallo liebes Forum, seit einiger Zeit beschäftige ich mich mit dem Thema Sophos UTM usw.und habe diese nun Zuhause ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 20 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 22 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft14 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server35 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...