Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DMZ der m0n0wall keine Netwerkverbindung verfügbar

Frage Netzwerke Router & Routing

Mitglied: JoergBerlin

JoergBerlin (Level 1) - Jetzt verbinden

18.01.2013 um 14:08 Uhr, 2834 Aufrufe, 7 Kommentare

Wir haben einen Monowallrouter mit 3 Netzwerkkarten. Diese wurden von der m0n0wall erkannt und sind konfiguriert als LAN; WAN; DMZ. Alles funktioniert außer die DMZ. Ich kann vom Rechner in der DMZ keinen ping zur m0n0wall oder von der m0n0wall zum Client absetzen.

Die Konfiguration der m0n0wall:

LAN: 192.168.100.100
WAN: PPPoE
DMZ: 192.168.200.1

System: General setup

Domain: xy.intern

Die Kofiguration Client (Win7):

IP-Adress: 192.168.200.2
Subnetmaske: 255.255.255.0
Standardgateway: 192.168.200.1

Arbeitsgruppe: WORKGROUP

Der Clien ist direkt an der DMZ-Schnittstelle. Die LED´s der LAN-Karten leuchten grün.

Ich habe nach dieser Anleitung gearbeitet: http://doc.m0n0.ch/handbook/examples.html#id11643435

Der Client soll aus der DMZ über die m0n0wall ins Inernet zugreifen.

Ich kann kein Ping vom Cient (IP: 192.168.200.2) auf die m0n0wall Schnittstelle DMZ (IP: 192.168.200.1) und umgekert absetzen.
Wie beschrieben sind die Geräte direkt verbunden und der Clint hat, als er noch mit anderer Konfiguration im LAN war, funktioniert.
Kann es sein, da die m0n0wall und der Client sich nicht in der gleichen Domäne/Arbeitsgruppe befinden, zu dieser Störung kommen.
Als der Client noch im LAN war hat er funktioniert und hatte sich auch in der WORKGROUP befunden.

Ich wäre für jeden Tipp dankbar.
Mitglied: aqui
18.01.2013, aktualisiert um 15:12 Uhr
Dir ist klar das alle Ports außer dem default LAN Port keinerlei FW Regeln definiert haben ??
Das bedeutet das an diesem Port dann ALLES verboten ist !
Du scheiterst also vermutlich schlicht und einfach an nicht eingestellten Firewall Regeln ! Vergiss nie das bei einer Firewall immer alles verboten ist was nicht explizit erlaubt ist !!
Du musst also für den DMZ Port entsprechende Regeln erstellen damit diese Pakete durchkommen !
Für Ping ist das z.B. das ICMP Protokoll oder alternativ musst du eine "Scheunentor" Firewall Regel erstellen wie die am LAN Port wo du sie dir abgucken kannst !
Weitere Infos dazu findest du in diesen Tutorials hier im Forum:
http://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
und
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: JoergBerlin
21.01.2013 um 11:37 Uhr
Danke für die schnelle Antwort. Ich habe jetzt ein paar Rules erstellt und die beiden Geräte, m0n0wall und
der Client, können sich jetzt anpingen.
Auf dem win7 Clint wird jetzt auch ein Netzwerk angezeigt. Jedoch steht das Internet nicht zur Verfügung.
Wie kann ich es jetzt erreichen, dass ich aus der DMZ ins WAN komme. Alle Rechner im LAN habe Internet.
Hier eine Regelübersicht:

DMZ:
TCP DMZ net * * 80 DMZ->HTTP Outbound WAN

TCP DMZ net * * 443 DMZ->HTTPS Outbound WAN

TCP DMZ net * !LAN net * DMZ nicht ins LAN

ICMP DMZ net * DMZ net * ping erlauben

UDP DMZ net 53(DNS) * 53(dns) DNS erlauben


Im Netwerkfreigabecenter auf dem win7 Client:

Client----Netzerk---x---Internet

Fehlermeldung: DNS-Server nicht verfügbar
Muss ich noch NAT einstellen?

Grüße aus Berlin
Bitte warten ..
Mitglied: aqui
21.01.2013 um 13:22 Uhr
Nein, NAT ist immer aktiviert Richtung Internet !!
Wie bereits mehrfach darauf hingewiesen hast du nicht auf die Reihenfolge geachtet !!
Bedenke das bei den Regeln immer der erste passende regelsatz bewirkt das die restlichen nicht mehr abgearbeitet werden !
Folgendermassen solltest du die Regeln umstellen (kann man rechts über die Buttons verschieben:

Regelset DMZ Interface:

IP DMZ net * !LAN net * DMZ verbieten ins LAN (IP hier und nicht nur TCP sonst kann UDP trotzdem durch!!)

UDP DMZ net 53(DNS) * 53(dns) DNS erlauben

TCP DMZ net * * TCP 80 DMZ->HTTP Outbound WAN erlauben

TCP DMZ net * * TCP 443 DMZ->HTTPS Outbound WAN erlauben

ICMP DMZ net * DMZ net * ping erlauben (Regel ist Blödsinn hier, denn im eigenen Netz kann immer pingen oder willst du nur das FW Interface pingbar machen ?? Wenn ja reicht hier als Ziel "DMZ IP Adress" !)

Damit erlaubst du nun folgendes:
TCP 80 HTTP und TCP 443 HTTPS
Das Problem ist jetzt der "Internet OK" Prozess bei MS WAS der benutzt um zu "meinen" das das Internet da ist.
Wenn der was pingt schlägt das fehl da du kein Ping erlaubt hast, ebenso wenn er andere Protokoll als HTTP oder HTTPS benutzt, denn nur das und DNS kommt raus.

Du kannst das ganz einfach und simpel sehen wenn du in den Logs einfach mal das Firewall Log und dann beobachtest WAS hier geblockt ist ! Jedes Blocking erzeugt hier einen Eintrag !
Da siehst du sofort auf den ersten Blick WAS in der Firewall Liste am DMZ Port hängen bleibt und was du ggf. noch nach draussen lassen musst !
Eigentlich kinderleicht...
Bitte warten ..
Mitglied: JoergBerlin
21.01.2013 um 15:29 Uhr
Nach dem ich alle Rules gelöscht und wie oben neu angelegt habe, funktioniert es jetzt.
Mit der ersten Rule "DMZ ins LAN verbieten" muss unbeingt darauf geachtet werden,
dass sie so angelegt wird:

Action: Pass
Interface: DMZ
Protocol: TCP/UDP
Source: DMZ Supnet
Destination: LAN Supnet
!!!wichtig!! hier Harken setzen bei "Use this option to invert the sense of the match."

Das wars!!! Vielen Dank für die Unterstützung
Bitte warten ..
Mitglied: aqui
21.01.2013, aktualisiert um 17:56 Uhr
Action Pass ist natürlich Schwachsinn wenn du den Verkehr blocken willst !!!
Das muss natürlich Block sein aber vermutlich hast du hier nur einen Dreckfuhler gemacht.
Und was ist denn ein "Harken" im Sup(i)net ?? Bist du unter die Schrebergärtner gegangen ?? Besser also einen Haken im Subnetz das hilft dann wirklich.
Das mit invert ist Unsinn, denn das macht das "block" Statement aber so gehts vermutlich auch... Warum einfach machen wenn es kompliziert auch geht..
Bitte warten ..
Mitglied: JoergBerlin
22.01.2013 um 09:39 Uhr
Diese Rule wird von m0n0wall empfohlen, siehe hier: http://doc.m0n0.ch/handbook-single/#id11644437

Unter "13.1.4. Configuring the DMZ Interface Firewall Rules" wird sie genau beschrieben.
Mit einer Block-Rule kamm ich nicht zurecht.
Entschuldige die Schreibfehler...ich hasse Gartenarbeit
Bitte warten ..
Mitglied: aqui
22.01.2013, aktualisiert um 15:31 Uhr
Du hast natürlich Recht, keine Frage !
Es ist logischer das so konfigurieren, denn das erspart die eine zusätzlich "Pass DMZ any" Regel danach wen man Block benutzt.
Sorry, hatte ich übersehen
Nachteil allerdings mit dieser einfachen Option:
So geht alles aus der DMZ raus ins Internet. Wenn du das auch noch protokollspezifisch gefiltert haben möchtest, dann musst du wieder mit Block oder Reject arbeiten !
Bei dir vermutlich in der DMZ nicht der Fall also kann man es so lassen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Windows Netzwerk
Netzlaufwerk offline verfügbar für Mac

Frage von PharIT zum Thema Windows Netzwerk ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...