8
Watchguard Firewall, VDSL-Router IP-Problem
Hallo zusammen
Ich hab vom ISP folgende externe IP's:
Static IP: 193.72.17.126
Additional IP's: 195.49.11.8 / 29
Router bekommt 193.72.17.126, klar. Firewall soll 195.49.11.10 bekommen damit ereichbar von Extern, auch klar
Nun sollten die Zwei noch kommunizieren, aber beim Watchguard kann ich die IP vom Router nicht ins Default-Gateway eingeben, weil sie nicht im selben Subnet sind.
Wie löse ichs jetzt, dass die Firewall mit dem Router kommuniziert und umgekehrt?
Vielen Dank schon mal!
Gruss
Felix
Ich hab vom ISP folgende externe IP's:
Static IP: 193.72.17.126
Additional IP's: 195.49.11.8 / 29
Router bekommt 193.72.17.126, klar. Firewall soll 195.49.11.10 bekommen damit ereichbar von Extern, auch klar
Nun sollten die Zwei noch kommunizieren, aber beim Watchguard kann ich die IP vom Router nicht ins Default-Gateway eingeben, weil sie nicht im selben Subnet sind.
Wie löse ichs jetzt, dass die Firewall mit dem Router kommuniziert und umgekehrt?
Vielen Dank schon mal!
Gruss
Felix
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 70232
Url: https://administrator.de/contentid/70232
Printed on: April 24, 2024 at 16:04 o'clock
8 Comments
Latest comment
Also erstmal um welche Watchguard handelt es sich. Eine Additional IP ist eigentlich dafür gedacht nen zweiten Zugang zum Internet zu bekommen.
Wenn ich rechtig verstehe, dann steht der Routerals erste "Mauer" zwischen Internet und internes Netz und die Firewall nochmals hinter dem Router um den Verkehr zu filtern.
Wenn du es so hast, dann musst du die Interfaces der Firewall entsprechend deiner internen Netze konfigurieren und (ist glaub ich Modellabhängig) kann die Firewall auch PPPoE sprich Routerfunktion ins Internet.
Bei der Konstellation Router und Firewall müsstest du noch ein separates Netz zwischen Router und Firewall konfigurierenund den Router als DG für die Firewall und die Firewall als DG für den Router und auf der Firewall musst du ein routing eintragen.
Hört sich jetzt schlimmer an als es ist, aber an deiner Stelle würde ich auf den Router verzichten, weil das kann die Watchguard allemal
Wenn ich rechtig verstehe, dann steht der Routerals erste "Mauer" zwischen Internet und internes Netz und die Firewall nochmals hinter dem Router um den Verkehr zu filtern.
Wenn du es so hast, dann musst du die Interfaces der Firewall entsprechend deiner internen Netze konfigurieren und (ist glaub ich Modellabhängig) kann die Firewall auch PPPoE sprich Routerfunktion ins Internet.
Bei der Konstellation Router und Firewall müsstest du noch ein separates Netz zwischen Router und Firewall konfigurierenund den Router als DG für die Firewall und die Firewall als DG für den Router und auf der Firewall musst du ein routing eintragen.
Hört sich jetzt schlimmer an als es ist, aber an deiner Stelle würde ich auf den Router verzichten, weil das kann die Watchguard allemal
Eigentlich ein klassisches Szenario und einfach zu lösen !! So sollte es aussehen:
Im öffentlichen Segment hättest du dann noch 4 IP Adressen frei (.11 bis .14) für evtl. öffentliche Server die du betreiben willst (VPN, Mail, Web etc.)
Im öffentlichen Segment hättest du dann noch 4 IP Adressen frei (.11 bis .14) für evtl. öffentliche Server die du betreiben willst (VPN, Mail, Web etc.)
@ aqui
vom Prinzip richtig deine Darstellung, nur verwendet er dann seine additional IP im DMZ-Bereich. Sinnvoller wäre es beide IP's auf der Watchguard einzutragen und es dementsprechend zu konfigurieren, da die Watchguard u.a. auch BGP kann
vom Prinzip richtig deine Darstellung, nur verwendet er dann seine additional IP im DMZ-Bereich. Sinnvoller wäre es beide IP's auf der Watchguard einzutragen und es dementsprechend zu konfigurieren, da die Watchguard u.a. auch BGP kann
Du meinst es dann so, richtig ?? :
Ist auch denkbar wenn er denn ein passives VDSL Modem hat und die Watchguard PPPoE spricht oder wie auch immer er sich beim Provider authentifizieren muss.
Vermutlich ist aber der Router schon vorhanden...??!!
Ist auch denkbar wenn er denn ein passives VDSL Modem hat und die Watchguard PPPoE spricht oder wie auch immer er sich beim Provider authentifizieren muss.
Vermutlich ist aber der Router schon vorhanden...??!!
Naja, du bist noch etwas weiter abgerückt 
. Er braucht eigentlich keinen Router, Watchguard hat Routing usw. alles inklusive und du kannst mehrere IP's auf den WAN-Port konfigurieren. Eine DMZ muss nicht sein, wenn er keinen Zugriff vom Web her braucht.
. Er braucht eigentlich keinen Router, Watchguard hat Routing usw. alles inklusive und du kannst mehrere IP's auf den WAN-Port konfigurieren. Eine DMZ muss nicht sein, wenn er keinen Zugriff vom Web her braucht.
Dann wäre es aber auch Blödsinn das der Provider ihm ein öffentliches IP Segment gegeben hat, denn das bräuchte er ja dafür dann nicht, es würde die IP des Carriers genügen..
Ok, besser der felixhuber äußert sich mal dazu bevor wir noch 10 weitere mögliche Designs durchspielen hier
Ok, besser der felixhuber äußert sich mal dazu bevor wir noch 10 weitere mögliche Designs durchspielen hier
Ahm, also erst mal vielen Dank für die prompten Antworten!
War n paar Tage nicht online und habe drum die Diskussion nicht mitverfolgt. So wie es Aqui in seinem ersten Post geschrieben hat, ist es, wie ich es nun verwende. Die zusätzlichen IP's sind für VPN und Web.
Die Frage habe ich gestellt, weil ich mir schon gedacht habe, dass ich das so konfigurieren muss, aber es hat einfach nicht gegeht, ich konnte einfach nie auf die zusätzlichen IP's zugreifen. Im Nachhinein hat sich aber herausgestellt, dass mein Provider irgendwas falsch geroutet hatte...
Jetzt läuft aber alles bestens.
Vielen Dank an alle!
War n paar Tage nicht online und habe drum die Diskussion nicht mitverfolgt. So wie es Aqui in seinem ersten Post geschrieben hat, ist es, wie ich es nun verwende. Die zusätzlichen IP's sind für VPN und Web.
Die Frage habe ich gestellt, weil ich mir schon gedacht habe, dass ich das so konfigurieren muss, aber es hat einfach nicht gegeht, ich konnte einfach nie auf die zusätzlichen IP's zugreifen. Im Nachhinein hat sich aber herausgestellt, dass mein Provider irgendwas falsch geroutet hatte...
Jetzt läuft aber alles bestens.
Vielen Dank an alle!
