Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ISA 500, öffentliche IP auf einen zweiten Firewall leiten

Frage Netzwerke Router & Routing

Mitglied: janosh22

janosh22 (Level 1) - Jetzt verbinden

29.04.2014, aktualisiert 18:54 Uhr, 2013 Aufrufe, 8 Kommentare, 1 Danke

Hallo zusammen,

ich habe einen Cisco ISA 570 Firewall,
und einen zweiten Zyxel Firewall dahinter, welchen ich mit der externen IP erreichen möchte.


es handelt sich um einen DSL-Anschluss mit 5 nutzbaren statischen IP's

eine dieser öffentlichen IP würde ich gerne auf einen freien Port des Firewall/Router umleiten. Bsp: IP 82.250.23.23 auf Anschluss GE4,
damit der Zyxel Firewall direkt von aussen erreicht werden kann.
wenn möglich eine transparente Weiterleitung von sämtlichen Ports.

WAN-Seitig besteht bereits eine Verbindug zum Modem über PPPoE und der Cisco ist unter den öffentlichen IP's erreichbar

meine Überlegung war nun ein ein statisches Routing

Destinantion Adress: habe die Adresse des 2. FW (192.168.10.10) als Host auf dem ersten erstellt.

Next Hop IP-Adress gewählt und die externe IP als Host erstellt.


mir fehlt da irgendwie die Zuteilung auf welchen externen Anschluss (GE4) es gehen soll,
hab ich da einen grundlegenden Überlegungsfehler?

muss ausserdem noch eine Regel unter DMZ erstellt werden, oder wie wäre die einfachste Lösung?

habe leider in google keine für mich verständliche Lösung gefunden.

Vielen Dank für eure Hilfe
Mitglied: janosh22
29.04.2014 um 18:58 Uhr
die IP des zweiten Firewalls müsste WAN-Seitig nicht zwingend 192.168.10.10 sein, könnte auch als die externe Bsp: IP 82.250.23.23 konfiguriert werden, falls es so optimaler wäre
Bitte warten ..
Mitglied: aqui
29.04.2014, aktualisiert um 19:20 Uhr
ich habe einen Cisco ISA 570 Firewall, und einen zweiten Zyxel Firewall dahinter, welchen ich mit der externen IP erreichen möchte.
Von WO bitte aus gesehen ?? Internet oder lokales LAN ??
Die Lösung ist aber kinderleicht, denn du machst einfach einen statischen IP NAT 1:1 Eintrag einer der freien öffentlichen IPs auf deine dahinterliegende Firewall WAN IP. Fertig ist der Lack ! Ein millionenfach konfiguriertes Allerweltsszeanrio im Netzwerk Business....
Eigentlich kein Problem und einen Thread wert hier.
Die generelle Frage die man hier stellen muss ist was der tiefere Sinn sein soll 2 Firewall Systeme zu kaskadieren ?!
Brauchst du zum Gürtel unbedingt noch den Hosenträger oder was soll der Sinn sein ??
Zumal du ja auch noch ein Riesenloch in die erste Firewalls bohrst ( "wenn möglich eine transparente Weiterleitung von sämtlichen Ports." ) um die quasi vollständig zu umgehen....irgendwie dann ziemlich sinnfrei solch eine Kaskade ?!
Bitte warten ..
Mitglied: janosh22
29.04.2014, aktualisiert um 20:11 Uhr
WAN -- Cisco ISA 570 -- Zyxel Firewall(Nachbar) -- Clients Nachbar
|
|_ meine Rechner

Vielen Dank für die schnelle Antwort,

habe den Static NAT Eintrag erstellt.
Zusätzlich die ACL Rule
Zone WAN-LAN(source extIP, Destinantion:erstellter interner Host)
und LAN-WAN (source erstellter interner Host, Destinantion:extIP)
erstellt, services any, Action Permit

angeschlossen ist der Zyxel am GE 7, konfiguriert als VLAN im entsprechenden IP Range

was ich noch nicht verstehe, läuft die Zuordnung auf den entsprechenden Port(GE7) automatisch?

habe nach diesen Einstellungen noch immer keinen Zugriff von aussen, kommt immer die Meldung vom Cisco, Gateway Timeout.

habe ich etwas grundlegendes vergessen?


Zweck ist oben evtl. bereits ersichtlich, ich teile den Anschluss mit einem Nachbarn, welcher seine einene Firewall möchte, da er 2-3 verschiedene VLAN's möchte.
Bitte warten ..
Mitglied: aqui
30.04.2014, aktualisiert um 18:11 Uhr
läuft die Zuordnung auf den entsprechenden Port(GE7) automatisch?
Normal nicht. Es kommt darauf an WO du diesen Port eingebunden hast ?? Normal sind paralele Ports in einem kleinen Switch im Default VLAN1 wenn nix in der Konfig steht.
Hilfreich wäre sicher wenn du die Konfig mal anonymisiert hier postest...
Vielleicht hilft dir als Grundlage auch eine Cisco Beispielkonfig eines IOS Routers oder Switches:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
bzw.
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: janosh22
30.04.2014, aktualisiert um 21:30 Uhr
die Konfiguratuion habe ich wie folgt gemacht.

- WAN konfiguriert über PPPoE, und Remote Admin aktiviert.
die IP's sind aus dem Internet erreichbar und es kommt der Cisco Firewall Login.

- VLAN erstellt im Range des 2. FW (192.168.10.10)
VLAN ID und PVID: 146, IP Adress 192.168.10.1, 255.255.255.0, Member GE7. Mode Access, Connected, Zone: LAN
am GE7 des Cisco ist der Zyxel Firewall dran, fixe IP 192.168.10.10, 255.255.255.0 (am 2. Firewall an WAN-Port)

Internetzugriff vom den VLAN's des 2. Firewall funktioniert,

auch über den PC mit IP Adress 192.168.10.1, 255.255.255.0 auf den WAN Port des 2. Firewall
komme ich mit 192.168.10.10 auf den Zyxel Login (ACL Rules WAN to Zyxel temporär alles offen (any/any)

- Adress Objects erstellt:
Pub_IP: 82.250.23.23/255.255.255.255 Type Host ID43
2. ZyWall : 192.168.10.10/255.255.255.255 Type Host ID19


- static NAT Rule erstellt: WAN1, Public IP: Pub_IP, Private IP: 2. Zywall

- ACL Rule erstellt (um auszuschliessen Services auf "any")
from WAN to LAN , Services: any, Source Adresses: any, Destination Adress: 2.Zywall, Permit


wenn ich mit der externen IP drauf zugreiffe kommt: Verbindung fehlgeschlagen

In der Adresszeile des Browser: https://192.168.10.10/redirect.cgi?arip=82.250.23.23 (eigentlich verkehrt)?


im Log/Debug/Destination folgende Information:
type=ACL Rule;action=Permit;Proto=TCP;SrcPort=18295;DstPort=22;Len=48

der Source Port variert jeweils


ich habe testhalber auch bereits das VLAN gelöscht, eine DMZ mit IP 192.168.10.1 erstellt, die die ACL Rules auf DMZ angepasst, jedoch dasselbe Problem.
Bitte warten ..
Mitglied: aqui
01.05.2014 um 07:33 Uhr
VLAN ID und PVID: 146, IP Adress 192.168.10.1, 255.255.255.0, Member GE7. Mode Access, Connected, Zone: LAN
Das ist genau richtig so wenn du zusätzlich zum "switchport mode access" auch noch ein switchport access vlan 146 am GE7 eingegeben hast, dann ist der Port Member im VLAN 146.
In der Adresszeile des Browser: https://192.168.10.10/redirect.cgi?arip=82.250.23.23 (eigentlich verkehrt)?
Ja, das ist logisch vollkommen verkehrt. Die 192.168er IP Adresse ist eine private RFC 1918 Adresse die im Internet nicht geroutet wird. Du kannst niemals solch eine IP Adresse als Ziel IP aus dem öffentlichen Internet angeben, denn die Provider filtern jeglichen Traffic mit diesen RFC 1918 IPs !

Ist ja auch unsinnig, denn deine "sichtbare" IP Adresse aus dem Internet ist ja immer die WAN IP der ISA. Diese IP musst du als Ziel IP angeben. Das NAT Sattement sorgt ja dafür das dann die IP umgesetzt wird und an die dahinterliegende Firewall weitergereicht wird.
Das 1:1NAT macht also alles für dich in puncto IP Adressumsetzung.
Du kannst auf dem Cisco noch "debug ip nat" angeben und dann mal genau sehen was mit deinen eingehenden Paketen passiert. Der Debugger ist sehr sehr hilfreich beim troubleshooten. Das Kommando "debug ?" zeugt dir weitere Debugging Optionen !
Achtung: Wenn du mit einer Telnet oder SSH Session drauf bist musst du vorher noch ein "terminal monitor" eingeben sonst siehst du den Konsol Output nicht.
Wenn du mit dem Debuggen fertig bist dann immer undebug all nicht vergessen !!
Bitte warten ..
Mitglied: janosh22
01.05.2014, aktualisiert um 17:39 Uhr
ich habe die Nat Rule mit "Static NAT" gemacht,

da hatte ich nur die Einstellungen:
WAN WAN1 gewählt
Public IP 82.250.23.23 (den dafür erstellten Host im Adresspool)
Private IP 192.168.10.10 (den dafür erstellten Host im Adresspool)


sind die verkehrt, oder muss ich dies irgendwo anders konfigurieren?

finde es komisch, dass mit dieser NAT Konfiguration trotzdem im Browser dies verkehrt rum kommt.
https://192.168.10.10/redirect.cgi?arip=82.250.23.23 (


Vielen Dank für Deine Hilfe
Bitte warten ..
Mitglied: aqui
01.05.2014, aktualisiert um 18:32 Uhr
Die 82.250.23.23 musst die öffentliche Internet IP sein. 192.168.10.10 ist dann die WAN Port IP der dahinter kaskadierten Firewall.
Im Browser darf sich gar nichts ändern im URL, denn das zeigt das da irgenden aktives HTTP Device zwischen ist was nicht sein darf !
Klar denn eine 192.168.10.10er Adresse findest du im gesamten Internet nicht da nicht adressierbar ! (Siehe oben)
Die darf da nicht stehen ! Ist klar das das mit der Ziel IP in die Hose geht.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77 zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Router & Routing
gelöst CISCO C886VAJ-K9 an einem Telekom Annex J DSL 16000 RAM IP Anschluss (16)

Frage von nik-me zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...