Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

QNAP-NAS und Sophos UTM in DMZ-Konstellation mit DynDNS

Mitglied: Welly92

Welly92 (Level 1) - Jetzt verbinden

08.01.2018 um 19:31 Uhr, 1336 Aufrufe, 8 Kommentare

Hallo Zusammen,


ich habe eine QNAP die mittels mehreren Netzwerkadaptern im Netzwerk angeschlossen ist:

LAN 1: 192.168.2.180 (internes LAN mit Switch verbunden) Firewall IP lokal: 192.168.2.250

LAN 2: 192.168.6.181 (hängt am DMZ Port der Sophos UTM) Firewall IP DMZ: 192.168.6.250

Die QNAP hat eine Dyn DNS-Einstellung, welche auch die öffentliche IP ausgibt.

Folgende Einstellungen hab ich gemacht (siehe Bilder). Ich komme leider nicht über die DynDNS auf meine Qnap. Zur Info: Vor der Sophos hängt noch eine FritzBox 6490 Cable welche die Internetverbindung herstellt, bei dieser ist die Firewall (192.168.178.2) als Exposed Host eigestellt (VPN mit einem entfernten fritz-Netz klappt dadurch) Was mache ich falsch?

nat-einstellung - Klicke auf das Bild, um es zu vergrößern
firewall-einstellung - Klicke auf das Bild, um es zu vergrößern
dmz-schnittstelle - Klicke auf das Bild, um es zu vergrößern

Schon mal vielen Dank für eure Unterstützung!
Mitglied: Monto1
08.01.2018, aktualisiert um 20:12 Uhr
Schalte mal die Protokollierung der Firewallregeln ein und mach das Live Protokoll auf. Da solltest Du dann sehen ob die Anfrage durch kommt.
Bitte warten ..
Mitglied: ChriBo
08.01.2018 um 20:32 Uhr
Hi,
Auf welche Dienste und Ports willst du von ausserhalb auf das QNAP zugreifen ?
Welche Datenverkehrsdienst ist HTTP proxy ?

Ad hoc würde ich tippen, du willst mit Port 80 oder 443 auf das QNAP auf den Webserver zugreifen .
HTTP Proxy ist der standard SQUID port (3128).
Also mußt du in der DNAT und Regel Einstellung auch, bzw. nur Port 80 bzw. 443 verwenden.

Gruß
CH
Bitte warten ..
Mitglied: aqui
09.01.2018, aktualisiert um 10:29 Uhr
Die QNAP hat eine Dyn DNS-Einstellung, welche auch die öffentliche IP ausgibt.
Netztechnisch ist das falsch, denn es muss immer das Device sein was direkt am Internet hängt was den DynDNS Client bedient. Sprich also die Firewall.
Ist ja auch logisch, denn wenn die QNAP die IP Adresse an ihrem Port reportet 192.168.6.181 ist das eine private RFC 1918 IP Adresse die sofort verworfen wird weil diese IP Netze im Internet nicht geroutet werden.
Klassischer Konfig Fehler also.
Mal ganz abgesehen davon das man das NAS mit beiden Beinen in einem offenen und gesicherten Netz hat und damit quasi die Firewall aushebelt.
Ein recht gruseliges und naives Design das einer "DMZ" keineswegs entspricht. Muss man wohl auch sicher nicht weiter kommentieren.
Auch das sehr fragwürdig denn HTTP schützt die Daten nicht. Sowas macht nur Sinn wenn man in der DMZ einen eigenen Webserver betreibt aber NICHT um dort Daten zu bewegen die ggf. vertraulich sind.
So etwas sollte man niemals mit simplem Port Forwading machen sondern immer mit einem VPN.
Viele Baustellen also an dem Design wo so einiges schief läuft
Bitte warten ..
Mitglied: Welly92
19.01.2018 um 11:50 Uhr
Hallo aqui,

sorry für die verpätete Antwort. Ich würde ja auch gerne nur die Weboberfläche bzw. FileStation nutzen die per xxx.dyndns.de erreichbar sein soll. Hier befinden sich dann Ordner mit Fotos, Videos (keine wirklich vertraulichen Dateien, was aber nicht heißt das sie "jeder" sehen muss, Bentuzeranmeldung für jeden User natürlich einzeln). Was das Routing angeht, vermute ich den Fehler das der Standardgateway im internen LAN an Port 1 definiert ist: Qnap: 192.168.2.180 UTM: 192.168.2.250 (GW). Diesen Standard-GW kann man aber für die Qnap glaub ich nur 1x für alle Ports vergeben.

Wenn du natürlich sagst das meine Konfig so komplett sinnlos ist, werde ich sie verwerfen. Mein Ansinnen war die betreffenden Dateien auf "meinem" Server (Qnap) bereit zu stellen und nicht bei einem fremden Online-Dienst.

Viele Grüße
Bitte warten ..
Mitglied: aqui
19.01.2018 um 15:17 Uhr
Das Ansinnen ist auch absolut OK. Ist ja einer der simplen Klassiker wenn man ein eigenes NAS betreibt um die Hoheit über seine eigenen Daten zu behalten.

Nur das Design wäre ja schon etwas merkwürdig gelinde gesagt, denn mit einer DMZ hat das ja dann nichts mehr zu tun wenn alle Daten aus dem NAS "DMZ" Segment so oder so immer über den LAN 1 Port müssen.
Da reicht es ja dann wenns sich nur ganz einfach einer mit dem Wireshark da auf die Lauer legt und deine Daten ganz einfach abschnorchelt.
Anders sähe es natürlich aus wenn der LAN 1 Port nur eine Punkt zu Punkt Verbindung auf das Internet Gateway ist. Das wäre dann wieder tolerabel.

Was hilfreich wäre ist eine kurze Infrastruktur Skizze wie das denn genau aussieht mit den Firewall Ports und was wo steht.
Bitte warten ..
Mitglied: Welly92
11.02.2018 um 14:06 Uhr
Hallo aqui,

leider bin ich durch eine OP längere Zeit ausgefallen. Ich habe mal ein Netzdiagramm erstellt wie die aktuelle Konstellation aussieht, welche aber auch nicht lauffähig ist.

Viele Grüße
zeichnung qnap und firewall - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
12.02.2018, aktualisiert um 09:36 Uhr
Das ominöse Quadrat mit den LAN1-LAN4 Ports sind die 4 LAN Ports auf dem QNAP, richtig ??
Per se ist die Konfig erstmal nicht falsch.
Der Knackpunkt dürfte aber die Default Gateway Konfiguration des QNAP sein.
Dort kannst du ganz sicher nur ein einziges Default Gateway angeben und da beginnt dann das Drama wenn du es mit 2 Beinen in 2 IP Netzen hast.
Die QNAP kann Pakete die von außen kommen IMMER nur an ihre Default Gateway IP senden.
Zeigt das Gateway auf die Firewall am LAN Port .2.250 hast du deine DMZ ausgehebelt, denn trotz .6.x Absender IP des QNAP passt dann die Rückroute nicht.
Andersrum hast du sogar noch asymetrisches Routing und die DMZ Firewall Regeln blockieren den Zugang.
Leider hast du es versäumt die Gateway IP anzugeben auf die die QNAP eingestellt ist
In diesem Design darf das ausschliesslich NUR die .6.250 sein, also die Firewall IP in der DMZ !!
Nur dann würde das Design oben so passen !
Hast du das so eingestellt ??
Dann kann der Zugriff von außen nur über das DMZ Interface passieren was richtig ist und der Zugriff intern ausschliesslich nur über das interne LAN.
Du solltest hier auch aufpassen das die QNAP NICHT irgendwie routet oder sowas !!
Würde sie das tun hast du wieder einen Backdoor Router der die DMZ aushebelt. Das ist imemr die Grundgefahr solcher Designs wo DMZ Endgeräte auch noch ein Bein im gesicherten LAN haben !
Die beiden LAN Ports der QNAP dürfen auch keinesfalls irgendwie in einer Bridge arbeiten und müssen vollkommen isoliert sein IP mäßig, das sollte auch klar sein !
Bitte warten ..
Mitglied: Welly92
13.02.2018 um 16:54 Uhr
Wenn ich dich also richtig verstehe, soll ich das Standard-Gateway bei der QNAP auf die 192.168.6.250 umstellen? Aktuell zeigt dies auf die 192.168.2.250 (Firewall im LAN). Die QNAP wäre dann ja regulär im LAN noch über ihre IP 192.168.2.180 erreichbar? Gebridged ist nichts.
Bitte warten ..
Ähnliche Inhalte
Firewall
Sophos UTM DMZ und VLAN
gelöst Frage von DaPeddaFirewall2 Kommentare

Servus, ich habe eine Verständnisfrage: eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins ...

Voice over IP
SPA112 hinter Sophos UTM kein VOIP
gelöst Frage von Huibuh2010Voice over IP14 Kommentare

Hallo liebe Comunity, ich steh vor ein Problem und weiß ehrlich gesagt nicht mehr was ich probieren könnte. Mein ...

Webbrowser

Browserzertifikat in der Sophos UTM hinterlegen

gelöst Frage von Xaero1982Webbrowser8 Kommentare

Nabend Zusammen, mal ne doofe Frage: Kann man ein SSL-Zertifikat welches man für den Aufruf einer bestimmten Seite benötigt ...

Firewall

Sophos UTM mit Endpoint Protection

Frage von mk139Firewall8 Kommentare

Hallo allerseits, aufgrund von Umstrukturierung bei ums brauchen wir eine neue UTM und einen neuen Virenscanner. Da bin ich ...

Neue Wissensbeiträge
Windows 10

Blackscreen nach dem Update von 1809 auf 1809 wenn der Rechner aus dem Standby gestartet wird

Tipp von FSX2010 vor 22 StundenWindows 104 Kommentare

Habt ihr den Samsung Treiber "Samsung_NVM_Express_Driver_3.0" installiert sollte dieser für 1809 deinstalliert werden da dieser nicht kompatibel ist. Der ...

Utilities
Teamviewer 14 Verbindungsprobleme mit Proxy
Tipp von PeterleB vor 2 TagenUtilities

Nach dem Umstieg von Version 13 auf 14 wollte sich TV nicht mehr mit dem Netz verbinden, ignorierte offenbar ...

Administrator.de Feedback
Unsere Datenbank wurde umgestellt
Information von Frank vor 2 TagenAdministrator.de Feedback5 Kommentare

Hallo User, ich habe in der Nacht unsere Datenbank umgestellt. D.h. neue Version (MySQL 8) und andere Örtlichkeit. Sollte ...

Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 4 TagenSonstige Systeme8 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Heiß diskutierte Inhalte
Router & Routing
Dediziertes ISP -Routing
gelöst Frage von niLuxxRouter & Routing13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei ...

Monitoring
WMI Problem bei PRTG
Frage von justInsaneMonitoring12 Kommentare

Hallo zusammen, ich bin zur Zeit dabei, das PRTG Monitoring Tool auszutesten. Ich habe das ganze nun grob konfiguriert ...

Samba
Linux Server und Windows Linux Client
gelöst Frage von 137898Samba12 Kommentare

Hallo, ich bräuchte dringend bei der Aufgabe etwas Hilfe. Die Firma XYZ besteht auf zwei Abteilungen Logistik und Technik ...

Webbrowser
Proxy-Zugangsdaten in Firefox hinterlegen
Frage von SebastianGSWebbrowser10 Kommentare

Hallo zusammen, kennt jemand von Euch aktuell eine Möglichkeit die Proxy-Zugangsdaten im Firefox (Vers. 63.0.3 - 64-Bit) zu hinterlegen, ...