3
Watchguard, NAT und VOIP
Hallo und Guten Morgen,
nachdem ich mich die halbe Nacht durch Support Dokumente von Watchguard gelesen habe, sehe ich nur noch Fragezeichen
Mir geht es um das doch recht komplexe Thema NAT.
Ich möchte mal erläutern was meine nächtliche Lektüre mir an Verständnis gebracht hat und würde mich freuen wenn mir dies entweder jemand bestätigen kann und meine doch noch vorhandenen Fragen beantworten kann oder mich komplett korrigiert
Es gibt bei Watchguard 3 verschiede NAT Arten, die ich einstellen kann.
- - Dynamic NAT auchgenannt dNAT, PAT, NAPT oder IP masquerading.
- - Static NAT auchgenannt sNAT
- - Und 1:1 NAT was eine leichte abwandlung zum Static NAT ist.
Dynamic NAT ist für meine Adresszuweisung von einer internen IP Adresse auf meine externe IP Adresse zuständig. Beispiel: eine interne IP 192.168.2.100 sendet ein paket. Hierbei ist ebenfalls ein Port angehängt (z.B. 3306). Die Firewall empfängt das ganze wandelt die interne IP in meine externe IP. Ebenso ändert die Firewall meinen internen Port (3306) auf einen nicht benutzten Port (z.B: 6000) und speichert sich diese Mapping information. Beim Response an meine externe IP Adresse auf Port 6000 weiß die Firewall durch das Mapping meine interne IP Adresse und schickt mir das Paket eieder an die 192.168.2.100 mit Port 3306.
Static NAT beindet eine öffentlichen Port an eine private IP. Beispielsweise soll meine Öffentlich IP Adresse auf Port 80 alle Pakete an meinen interne Ip Adresse 192.168.2.100 (Webserver) weiterleiten. Somit handelt es sich hier um Port Forwarding.
1:1 NAT ist fast das gleiche wie static NAT, jedoch wird hier eine feste externe IP an eine interne IP weitergeleitet. Beispiel für eine Domain, welche per DNS an eine freie öffentliche IP Adresse gebunden ist. Diese sendet dann alles an meine interne IP Adresse (Bsp: 192.168.2.50) Egal welcher Port.
Ich hoffe das ich das nun verstanden habe.
Aber, was ist dann zum Beispiel. Port Umleitung? Sprich wo kann ich das einstellen? Ich möchte das alle Anfragen an meine öffentliche IP Adresse mit Port 9000 an meine interne IP Adresse 192.168.2.55 an Port 80 weitergeleitet werden?
Ebenso ist nun noch meine Frage bzgl. der Firewall Policys. Hier kann ich ja zum beispielsagen, dass der Port 80 TCP von extern nach intern zugelassen werden soll. (External to Trusted) hier hätte ich noch keine interne IP angegeben, an wen die Pakete gehen. Das heißt doch das hier ein Broadcast gesendet wird und der Server, der auf Port 80 lauscht würde die Pakete ansehen. Ich kann ja aber auch bei den Policys als „To“ eine interne IPv4 Adresse angeben. Das heißt ja dann dass alle externen anfragen auf Port 80 fest an die IP Adresse z.B. 192.168.2.40 gehen würde. Ist das nicht aber schon ein Static NAT? Wo ist der Unterschied?
Nun kommt das Thema VOIP ins Spiel. Was immer noch mein Problem ist.
Mein SIP Client hat die IP 192.168.2.30. meine Watchguard hat die 192.168.2.1.
HTTP(80), HTTPS(443) und DNS(53) sind aktuell sowieso von meinem Trusted Netzwerk nach External freigegeben. Alle anderen Ports sind gesperrt. Von Außen nach innen ist gar kein Port offen.
Nun soll ich laut Telekom folgende UDP Ports für den Verkehr von innen nach außen freigeben:
5060, 30000-31000, 40000-41000, 3478, 3479
Und die folgenden UDP Pots von außen nach innen:
5070, 5080, 30000-31000, 40000-41000
Dies würde ich ja erstmal als Firewall Policy eintragen. Also zwei Stück einmal von External to Trusted und einmal von Trusted to External.
Muss ich dann noch irgendeine NAT eintragen? Dass Pakete von diesen Ports direkt an mein SIP Client gehen (192.168.2.30)? Wenn ich es richtig verstanden habe wäre dass dann ein Static NAT. Aber ich könnte wie oben geschrieben ja auch bei den Policys einfach bei den eingehenden Paketen unter „To“ die Ip Adresse von meinen SIP Client eintragen. Wo ist der Unterschied?
Der Text war zwar etwas länger aber ich wollte meine Problematik so gut es geht beschreiben.
Ich hoffe Ihr könnt mir helfen, dass meine Frau wieder telefonieren kann
Meine letzte Frage handelt im allgemeinen zur Watchgaurd T10:
Wenn ich eine neue Firewall Policy oder eine NAT Regel einstelle muss ich danach meine Firewall rebooten? Wenn ja, gibt es eine Möglichkeit dies zu tun, ohne es auf die Harte Weise zu machen und die Netzschalter umzulegen?
Bei den Policys kann ich zum einen eine Proxy Policy einstellen und zum anderen Customs Poilys. Bei beiden kann ich ja mehrere Port szusammen fassen. Gibt es eine Regel wann ich wa snutzen sollte? Gerade in dem VOIP Beispiel habe ich mehrere Ports zum freigeben. Sollte ich daraus eine Custom Policy machen oder eine Proxy Polcy?
nachdem ich mich die halbe Nacht durch Support Dokumente von Watchguard gelesen habe, sehe ich nur noch Fragezeichen
Mir geht es um das doch recht komplexe Thema NAT.
Ich möchte mal erläutern was meine nächtliche Lektüre mir an Verständnis gebracht hat und würde mich freuen wenn mir dies entweder jemand bestätigen kann und meine doch noch vorhandenen Fragen beantworten kann oder mich komplett korrigiert
Es gibt bei Watchguard 3 verschiede NAT Arten, die ich einstellen kann.
- - Dynamic NAT auchgenannt dNAT, PAT, NAPT oder IP masquerading.
- - Static NAT auchgenannt sNAT
- - Und 1:1 NAT was eine leichte abwandlung zum Static NAT ist.
Dynamic NAT ist für meine Adresszuweisung von einer internen IP Adresse auf meine externe IP Adresse zuständig. Beispiel: eine interne IP 192.168.2.100 sendet ein paket. Hierbei ist ebenfalls ein Port angehängt (z.B. 3306). Die Firewall empfängt das ganze wandelt die interne IP in meine externe IP. Ebenso ändert die Firewall meinen internen Port (3306) auf einen nicht benutzten Port (z.B: 6000) und speichert sich diese Mapping information. Beim Response an meine externe IP Adresse auf Port 6000 weiß die Firewall durch das Mapping meine interne IP Adresse und schickt mir das Paket eieder an die 192.168.2.100 mit Port 3306.
Static NAT beindet eine öffentlichen Port an eine private IP. Beispielsweise soll meine Öffentlich IP Adresse auf Port 80 alle Pakete an meinen interne Ip Adresse 192.168.2.100 (Webserver) weiterleiten. Somit handelt es sich hier um Port Forwarding.
1:1 NAT ist fast das gleiche wie static NAT, jedoch wird hier eine feste externe IP an eine interne IP weitergeleitet. Beispiel für eine Domain, welche per DNS an eine freie öffentliche IP Adresse gebunden ist. Diese sendet dann alles an meine interne IP Adresse (Bsp: 192.168.2.50) Egal welcher Port.
Ich hoffe das ich das nun verstanden habe.
Aber, was ist dann zum Beispiel. Port Umleitung? Sprich wo kann ich das einstellen? Ich möchte das alle Anfragen an meine öffentliche IP Adresse mit Port 9000 an meine interne IP Adresse 192.168.2.55 an Port 80 weitergeleitet werden?
Ebenso ist nun noch meine Frage bzgl. der Firewall Policys. Hier kann ich ja zum beispielsagen, dass der Port 80 TCP von extern nach intern zugelassen werden soll. (External to Trusted) hier hätte ich noch keine interne IP angegeben, an wen die Pakete gehen. Das heißt doch das hier ein Broadcast gesendet wird und der Server, der auf Port 80 lauscht würde die Pakete ansehen. Ich kann ja aber auch bei den Policys als „To“ eine interne IPv4 Adresse angeben. Das heißt ja dann dass alle externen anfragen auf Port 80 fest an die IP Adresse z.B. 192.168.2.40 gehen würde. Ist das nicht aber schon ein Static NAT? Wo ist der Unterschied?
Nun kommt das Thema VOIP ins Spiel. Was immer noch mein Problem ist.
Mein SIP Client hat die IP 192.168.2.30. meine Watchguard hat die 192.168.2.1.
HTTP(80), HTTPS(443) und DNS(53) sind aktuell sowieso von meinem Trusted Netzwerk nach External freigegeben. Alle anderen Ports sind gesperrt. Von Außen nach innen ist gar kein Port offen.
Nun soll ich laut Telekom folgende UDP Ports für den Verkehr von innen nach außen freigeben:
5060, 30000-31000, 40000-41000, 3478, 3479
Und die folgenden UDP Pots von außen nach innen:
5070, 5080, 30000-31000, 40000-41000
Dies würde ich ja erstmal als Firewall Policy eintragen. Also zwei Stück einmal von External to Trusted und einmal von Trusted to External.
Muss ich dann noch irgendeine NAT eintragen? Dass Pakete von diesen Ports direkt an mein SIP Client gehen (192.168.2.30)? Wenn ich es richtig verstanden habe wäre dass dann ein Static NAT. Aber ich könnte wie oben geschrieben ja auch bei den Policys einfach bei den eingehenden Paketen unter „To“ die Ip Adresse von meinen SIP Client eintragen. Wo ist der Unterschied?
Der Text war zwar etwas länger aber ich wollte meine Problematik so gut es geht beschreiben.
Ich hoffe Ihr könnt mir helfen, dass meine Frau wieder telefonieren kann
Meine letzte Frage handelt im allgemeinen zur Watchgaurd T10:
Wenn ich eine neue Firewall Policy oder eine NAT Regel einstelle muss ich danach meine Firewall rebooten? Wenn ja, gibt es eine Möglichkeit dies zu tun, ohne es auf die Harte Weise zu machen und die Netzschalter umzulegen?
Bei den Policys kann ich zum einen eine Proxy Policy einstellen und zum anderen Customs Poilys. Bei beiden kann ich ja mehrere Port szusammen fassen. Gibt es eine Regel wann ich wa snutzen sollte? Gerade in dem VOIP Beispiel habe ich mehrere Ports zum freigeben. Sollte ich daraus eine Custom Policy machen oder eine Proxy Polcy?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 255496
Url: https://administrator.de/contentid/255496
Printed on: April 19, 2024 at 18:04 o'clock
3 Comments
Latest comment
Ein paar grundlegende Fehler sind da schon drin beim Thema NAT....
Diese IPs dürfen also niemals nach außen auftauchen. Folglich ist so ein Forwarding immer auch mit einem Adress Translation und Port Forwarding ggf. mit Port Translation verbunden ! Static NAT... Logisch...
Deshalb musst du bei "normalem" SIP auch die Scheunentor Regeln beachten die du oben selber angegeben hast bzw. die Telekom dir vorgibt !
Die siehst anhand der großen Port Ranges schon wie unsinnig das ganze ist und das damit eine FW quasi konterkariert wird wenn du einen solch weiten Bereich für Angreifer öffnest. Jeder Portscann Angriff findet das in Sekunden raus und damit wird eine FW so zur Farce !
Gute FW und dazu gehört deine Watchguard nutzen für sowas STUN. http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
Du solltest bei deiner VoIP Konfig in Verbindung mit einer FW immer STUN verwenden, denn das befreit dich von solchen sinnfreien "Scheunentor" Lösungen auf einer Firewall ! Du gibst dann lediglich den STUN Port frei und gut ist.
Bessere FW haben eine sog. ALG (Application Layer Gateway) Funktion die automatisch VoIP Pakets erkennt und die FW dann dynmaisch customized. Das musst du aber im Handbuch nachlesen ob deine FW sowas kann.
Dein Weg sollte also auf alle Fälle in Richtung STUN gehen, das vereinfacht die Konfig sehr und sichert die FW bzw. das Netzwerk ab ohne die FW über ACLs fast ganz zu öffnen.
Dynamic NAT ist für meine Adresszuweisung von einer internen IP Adresse auf meine externe IP Adresse zuständig
Richtig wäre hier etwas spezifischer zu sein, denn es betrifft einzig nur die Absender IP die per NAT geändert wird nicht die Ziel IP !Hierbei ist ebenfalls ein Port angehängt (z.B. 3306).
Auch das ist falsch. Der Zielport bleibt natürlich unverändert, denn wie sollte das Zielsystem denn auch sonst den Dienst erkennen der angefragt ist. Masquerading NAT macht kein Porttranslation !Ich möchte das alle Anfragen an meine öffentliche IP Adresse mit Port 9000 an meine interne IP Adresse 192.168.2.55 an Port 80 weitergeleitet werden?
Das ist statisches Port Forwarding mit Port Translation !Firewall Policys. Hier kann ich ja zum beispielsagen, dass der Port 80 TCP von extern nach intern zugelassen werden soll. (External to Trusted)
Nicht wirklich, oder nur halb. Es besagt erstmal das externer Traffic auf die externe IP zugreifen darf. Das es nach intern geroutet werden darf ist so oder so Unsinn, denn intern wirst du vermutlich private RFC 1918 IP Adressen nutzen die im Internet gar nicht geroutet werden !Diese IPs dürfen also niemals nach außen auftauchen. Folglich ist so ein Forwarding immer auch mit einem Adress Translation und Port Forwarding ggf. mit Port Translation verbunden ! Static NAT... Logisch...
Nun kommt das Thema VOIP ins Spiel.
Das ist in der Tat etwas knifflig. SIP nutzt sog. Random Ports bei der Antwort und das macht die Steuerung über FW so knifflig, da die ACK Pakete auf einem Zufallsport kommen die die Firewall in der Regel blockiert.Deshalb musst du bei "normalem" SIP auch die Scheunentor Regeln beachten die du oben selber angegeben hast bzw. die Telekom dir vorgibt !
Die siehst anhand der großen Port Ranges schon wie unsinnig das ganze ist und das damit eine FW quasi konterkariert wird wenn du einen solch weiten Bereich für Angreifer öffnest. Jeder Portscann Angriff findet das in Sekunden raus und damit wird eine FW so zur Farce !
Gute FW und dazu gehört deine Watchguard nutzen für sowas STUN. http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
Du solltest bei deiner VoIP Konfig in Verbindung mit einer FW immer STUN verwenden, denn das befreit dich von solchen sinnfreien "Scheunentor" Lösungen auf einer Firewall ! Du gibst dann lediglich den STUN Port frei und gut ist.
Bessere FW haben eine sog. ALG (Application Layer Gateway) Funktion die automatisch VoIP Pakets erkennt und die FW dann dynmaisch customized. Das musst du aber im Handbuch nachlesen ob deine FW sowas kann.
Dein Weg sollte also auf alle Fälle in Richtung STUN gehen, das vereinfacht die Konfig sehr und sichert die FW bzw. das Netzwerk ab ohne die FW über ACLs fast ganz zu öffnen.
Hallo,
Danke dir für deine Antwort.
STUN ist ein guter Hinweis. Da muss ich mich mal einlesen. Hast du vieleicht einen Tipp für mich?
Bzgl. den Policys nochmal. Ich glaube das habe ich noch nicht verstanden
Ich mache eine Policy für Port 80, 403 und 53 und sage jeweils FROM: Any Trusted- TO: Any External.
Damit sage ich doch, dass jeder Rechner in meinem Trusted Netzwerk raus auf diese Ports darf, oder? Salopp gesagt: Die haben Internet
Aber wie ist das nun nochmal von extern nach intern?
Ich kann dann eine Policy für z.B: Port UDP 5070 machen. Hier steht From: "Any External" To: ???
Jetzt kann ich doch bei To z.B: Any Internal auswählen. Was passiert dann? Nichts? Da die FW nicht weiß woher er intern das Paket schicken soll?
Wenn ich eine IPv4 Adresse intrage (ist ja auch Möglich) was ist dann. Dann sagt die FW das Paket darf an die interne IP Adresse, aber schickt er dass danna uch da hin oder müsste ichhier noch etwas einrichten?
und wenn ich bei To: "eine sNAT" eintrage. Auch das ist Möglich. Aber das ist doch das selbse wie im 2. Beispiel. Dennd ie sNAT Regel sagt External->interner IP Adresse.
Wo ist also der Unterschied zwischen 2 und 3?
und gelten auch meine sNAT Einträge in der FIrewall, wenn ich diese keiner Policy zuweise? Ich meine so ein sNAT Eintrag sagt nur: From->To (z.B. From Any External to 192.168.2.50.
meine letzte Frage handelt nochmal von dem Policys. Dort gibt es bei jeder Policy den Reiter 1:1 NAT verwenden und der ist immer standardmäßig angehakt. Was heißt das für mich?
Ich danke rechtherzlich
Danke dir für deine Antwort.
STUN ist ein guter Hinweis. Da muss ich mich mal einlesen. Hast du vieleicht einen Tipp für mich?
Bzgl. den Policys nochmal. Ich glaube das habe ich noch nicht verstanden
Ich mache eine Policy für Port 80, 403 und 53 und sage jeweils FROM: Any Trusted- TO: Any External.
Damit sage ich doch, dass jeder Rechner in meinem Trusted Netzwerk raus auf diese Ports darf, oder? Salopp gesagt: Die haben Internet
Aber wie ist das nun nochmal von extern nach intern?
Ich kann dann eine Policy für z.B: Port UDP 5070 machen. Hier steht From: "Any External" To: ???
Jetzt kann ich doch bei To z.B: Any Internal auswählen. Was passiert dann? Nichts? Da die FW nicht weiß woher er intern das Paket schicken soll?
Wenn ich eine IPv4 Adresse intrage (ist ja auch Möglich) was ist dann. Dann sagt die FW das Paket darf an die interne IP Adresse, aber schickt er dass danna uch da hin oder müsste ichhier noch etwas einrichten?
und wenn ich bei To: "eine sNAT" eintrage. Auch das ist Möglich. Aber das ist doch das selbse wie im 2. Beispiel. Dennd ie sNAT Regel sagt External->interner IP Adresse.
Wo ist also der Unterschied zwischen 2 und 3?
und gelten auch meine sNAT Einträge in der FIrewall, wenn ich diese keiner Policy zuweise? Ich meine so ein sNAT Eintrag sagt nur: From->To (z.B. From Any External to 192.168.2.50.
meine letzte Frage handelt nochmal von dem Policys. Dort gibt es bei jeder Policy den Reiter 1:1 NAT verwenden und der ist immer standardmäßig angehakt. Was heißt das für mich?
Ich danke rechtherzlich
Hast du vieleicht einen Tipp für mich?
Siehe zitiertes Wiki URL oben... ansonsten wie immer: Dr. Google. Ist ein Klassiker bei VoIP.Ich mache eine Policy für Port 80, 403 und 53 und sage jeweils FROM: Any Trusted- TO: Any External.
Die kann ja dann nur von innen nach außen gelten ?! Also das du von innen alles nach draußen durchlässt was TCP 80, 403 und 53 ist ??Wobei 403 ja auch ein exotischer Port ist ? Was soll das sein ??
Solche Regel wäre sinnfrei, denn du könntest dann von innen nur surfen und DNS und TCP 403 ? Alles andere wäre geblockt, denn "Trusted" ist ja nur dein internes Netz. Wäre eine recht unübliche Regel ?!
Salopp gesagt: Die haben Internet
Na ja wenn für dich das "Internet" nur aus TCP 80, 53, und dem ominösen 403 besteht hast du recht, zeigt aber einen etwas beschränkten Internet Horizont....Ich kann dann eine Policy für z.B: Port UDP 5070 machen. Hier steht From: "Any External" To: ???
To WAN IP Address z.B. ??!! Wäre ja das naheliegenste, denn das ist ja die gemeinsame Ziel IP aller Zugriffe von außen auf die FW !Jetzt kann ich doch bei To z.B: Any Internal auswählen. Was passiert dann? Nichts? Da die FW nicht weiß woher er intern das Paket schicken soll?
Hört sich an als ob du hier generell einen Denkfehler bzw. Verständnisfehler von FW Regeln hast !! Es geht hier nicht um weiterschicken, sondern WAS die Firewall wohin durchlässt. Es sind also Filterregel und keine Forwarding Regel.Wenn ich eine IPv4 Adresse intrage (ist ja auch Möglich) was ist dann. Dann sagt die FW das Paket darf an die interne IP Adresse
Nein, das ist ja Unsinn ! Die interne IP darf niemals erreichbar sein von außen. Erstmal musst du logischerweise den Zugriff auf die externe WAN IP Adresse zulassen für die spezifischen Ports. Normal ist die geblockt wie es sich für eine FW ja auch gehört.Damit erreichen Pakete von außen dann überhaupt erstmal diese IP. Dann lässt du zusätzlich auf diese IP noch eine Port Forwarding sprich NAT Regel los um diese Pakete mit den spezifischen Ports auf interne IP Adressen forzuwarden. Es ist also immer ein zweistufiger Prozess !
Dort gibt es bei jeder Policy den Reiter 1:1 NAT verwenden und der ist immer standardmäßig angehakt. Was heißt das für mich?
Das bedeutet es ist genau eine feste inbound IP auf eine feste outbound IP und umgekehrt gemappt.In deinem Szeario mit Masquerading wäre das Unsinn und kann technisch gar nicht funktionieren, denn du hast ja keine multiplen IPs die das ermöglichen würden.
Du hast eine einzige Provider IP mit der du Port NAT sprich Masquerading machst. 1:1 NAT wäre da physisch in Ermangelung von IPs ja gar nicht möglich !
