Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

QNAP-NAS und Sophos UTM in DMZ-Konstellation mit DynDNS

Mitglied: Welly92

Welly92 (Level 1) - Jetzt verbinden

08.01.2018 um 19:31 Uhr, 782 Aufrufe, 8 Kommentare

Hallo Zusammen,


ich habe eine QNAP die mittels mehreren Netzwerkadaptern im Netzwerk angeschlossen ist:

LAN 1: 192.168.2.180 (internes LAN mit Switch verbunden) Firewall IP lokal: 192.168.2.250

LAN 2: 192.168.6.181 (hängt am DMZ Port der Sophos UTM) Firewall IP DMZ: 192.168.6.250

Die QNAP hat eine Dyn DNS-Einstellung, welche auch die öffentliche IP ausgibt.

Folgende Einstellungen hab ich gemacht (siehe Bilder). Ich komme leider nicht über die DynDNS auf meine Qnap. Zur Info: Vor der Sophos hängt noch eine FritzBox 6490 Cable welche die Internetverbindung herstellt, bei dieser ist die Firewall (192.168.178.2) als Exposed Host eigestellt (VPN mit einem entfernten fritz-Netz klappt dadurch) Was mache ich falsch?

nat-einstellung - Klicke auf das Bild, um es zu vergrößern
firewall-einstellung - Klicke auf das Bild, um es zu vergrößern
dmz-schnittstelle - Klicke auf das Bild, um es zu vergrößern

Schon mal vielen Dank für eure Unterstützung!
Mitglied: Monto1
08.01.2018, aktualisiert um 20:12 Uhr
Schalte mal die Protokollierung der Firewallregeln ein und mach das Live Protokoll auf. Da solltest Du dann sehen ob die Anfrage durch kommt.
Bitte warten ..
Mitglied: ChriBo
08.01.2018 um 20:32 Uhr
Hi,
Auf welche Dienste und Ports willst du von ausserhalb auf das QNAP zugreifen ?
Welche Datenverkehrsdienst ist HTTP proxy ?

Ad hoc würde ich tippen, du willst mit Port 80 oder 443 auf das QNAP auf den Webserver zugreifen .
HTTP Proxy ist der standard SQUID port (3128).
Also mußt du in der DNAT und Regel Einstellung auch, bzw. nur Port 80 bzw. 443 verwenden.

Gruß
CH
Bitte warten ..
Mitglied: aqui
09.01.2018, aktualisiert um 10:29 Uhr
Die QNAP hat eine Dyn DNS-Einstellung, welche auch die öffentliche IP ausgibt.
Netztechnisch ist das falsch, denn es muss immer das Device sein was direkt am Internet hängt was den DynDNS Client bedient. Sprich also die Firewall.
Ist ja auch logisch, denn wenn die QNAP die IP Adresse an ihrem Port reportet 192.168.6.181 ist das eine private RFC 1918 IP Adresse die sofort verworfen wird weil diese IP Netze im Internet nicht geroutet werden.
Klassischer Konfig Fehler also.
Mal ganz abgesehen davon das man das NAS mit beiden Beinen in einem offenen und gesicherten Netz hat und damit quasi die Firewall aushebelt.
Ein recht gruseliges und naives Design das einer "DMZ" keineswegs entspricht. Muss man wohl auch sicher nicht weiter kommentieren.
Auch das sehr fragwürdig denn HTTP schützt die Daten nicht. Sowas macht nur Sinn wenn man in der DMZ einen eigenen Webserver betreibt aber NICHT um dort Daten zu bewegen die ggf. vertraulich sind.
So etwas sollte man niemals mit simplem Port Forwading machen sondern immer mit einem VPN.
Viele Baustellen also an dem Design wo so einiges schief läuft
Bitte warten ..
Mitglied: Welly92
19.01.2018 um 11:50 Uhr
Hallo aqui,

sorry für die verpätete Antwort. Ich würde ja auch gerne nur die Weboberfläche bzw. FileStation nutzen die per xxx.dyndns.de erreichbar sein soll. Hier befinden sich dann Ordner mit Fotos, Videos (keine wirklich vertraulichen Dateien, was aber nicht heißt das sie "jeder" sehen muss, Bentuzeranmeldung für jeden User natürlich einzeln). Was das Routing angeht, vermute ich den Fehler das der Standardgateway im internen LAN an Port 1 definiert ist: Qnap: 192.168.2.180 UTM: 192.168.2.250 (GW). Diesen Standard-GW kann man aber für die Qnap glaub ich nur 1x für alle Ports vergeben.

Wenn du natürlich sagst das meine Konfig so komplett sinnlos ist, werde ich sie verwerfen. Mein Ansinnen war die betreffenden Dateien auf "meinem" Server (Qnap) bereit zu stellen und nicht bei einem fremden Online-Dienst.

Viele Grüße
Bitte warten ..
Mitglied: aqui
19.01.2018 um 15:17 Uhr
Das Ansinnen ist auch absolut OK. Ist ja einer der simplen Klassiker wenn man ein eigenes NAS betreibt um die Hoheit über seine eigenen Daten zu behalten.

Nur das Design wäre ja schon etwas merkwürdig gelinde gesagt, denn mit einer DMZ hat das ja dann nichts mehr zu tun wenn alle Daten aus dem NAS "DMZ" Segment so oder so immer über den LAN 1 Port müssen.
Da reicht es ja dann wenns sich nur ganz einfach einer mit dem Wireshark da auf die Lauer legt und deine Daten ganz einfach abschnorchelt.
Anders sähe es natürlich aus wenn der LAN 1 Port nur eine Punkt zu Punkt Verbindung auf das Internet Gateway ist. Das wäre dann wieder tolerabel.

Was hilfreich wäre ist eine kurze Infrastruktur Skizze wie das denn genau aussieht mit den Firewall Ports und was wo steht.
Bitte warten ..
Mitglied: Welly92
11.02.2018 um 14:06 Uhr
Hallo aqui,

leider bin ich durch eine OP längere Zeit ausgefallen. Ich habe mal ein Netzdiagramm erstellt wie die aktuelle Konstellation aussieht, welche aber auch nicht lauffähig ist.

Viele Grüße
zeichnung qnap und firewall - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
12.02.2018, aktualisiert um 09:36 Uhr
Das ominöse Quadrat mit den LAN1-LAN4 Ports sind die 4 LAN Ports auf dem QNAP, richtig ??
Per se ist die Konfig erstmal nicht falsch.
Der Knackpunkt dürfte aber die Default Gateway Konfiguration des QNAP sein.
Dort kannst du ganz sicher nur ein einziges Default Gateway angeben und da beginnt dann das Drama wenn du es mit 2 Beinen in 2 IP Netzen hast.
Die QNAP kann Pakete die von außen kommen IMMER nur an ihre Default Gateway IP senden.
Zeigt das Gateway auf die Firewall am LAN Port .2.250 hast du deine DMZ ausgehebelt, denn trotz .6.x Absender IP des QNAP passt dann die Rückroute nicht.
Andersrum hast du sogar noch asymetrisches Routing und die DMZ Firewall Regeln blockieren den Zugang.
Leider hast du es versäumt die Gateway IP anzugeben auf die die QNAP eingestellt ist
In diesem Design darf das ausschliesslich NUR die .6.250 sein, also die Firewall IP in der DMZ !!
Nur dann würde das Design oben so passen !
Hast du das so eingestellt ??
Dann kann der Zugriff von außen nur über das DMZ Interface passieren was richtig ist und der Zugriff intern ausschliesslich nur über das interne LAN.
Du solltest hier auch aufpassen das die QNAP NICHT irgendwie routet oder sowas !!
Würde sie das tun hast du wieder einen Backdoor Router der die DMZ aushebelt. Das ist imemr die Grundgefahr solcher Designs wo DMZ Endgeräte auch noch ein Bein im gesicherten LAN haben !
Die beiden LAN Ports der QNAP dürfen auch keinesfalls irgendwie in einer Bridge arbeiten und müssen vollkommen isoliert sein IP mäßig, das sollte auch klar sein !
Bitte warten ..
Mitglied: Welly92
13.02.2018 um 16:54 Uhr
Wenn ich dich also richtig verstehe, soll ich das Standard-Gateway bei der QNAP auf die 192.168.6.250 umstellen? Aktuell zeigt dies auf die 192.168.2.250 (Firewall im LAN). Die QNAP wäre dann ja regulär im LAN noch über ihre IP 192.168.2.180 erreichbar? Gebridged ist nichts.
Bitte warten ..
Ähnliche Inhalte
Firewall
Sophos UTM DMZ und VLAN
gelöst Frage von DaPeddaFirewall2 Kommentare

Servus, ich habe eine Verständnisfrage: eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins ...

Voice over IP
SPA112 hinter Sophos UTM kein VOIP
gelöst Frage von Huibuh2010Voice over IP14 Kommentare

Hallo liebe Comunity, ich steh vor ein Problem und weiß ehrlich gesagt nicht mehr was ich probieren könnte. Mein ...

Firewall
Sophos UTM mit Endpoint Protection
Frage von mk139Firewall8 Kommentare

Hallo allerseits, aufgrund von Umstrukturierung bei ums brauchen wir eine neue UTM und einen neuen Virenscanner. Da bin ich ...

Netzwerke
Sophos UTM hinter FritzBox 6490
Frage von manuelwNetzwerke5 Kommentare

Hallo, ich habe von meinem lokalen Kabelnetzbetreiber mein altes Modem gegen eine FritzBox 6490 getauscht bekommen, da ich jetzt ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 2 TagenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)10 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 4 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 5 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail32 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server19 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...

Windows Server
Server verliert Dateien und Ordner
gelöst Frage von routeserverWindows Server18 Kommentare

Hallo Freunde, ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob ...

Windows Tools
User Self Service und Client Management
Frage von OrkansonWindows Tools14 Kommentare

Hallo zusammen, ich hab ein paar verschiedene Fragen: 1. Was benutzt ihr um Software im Unternehmen zu verteilen? 2. ...