7
Hilfe bei Zywall 35 Konfiguration benötigt
Hallo zusammen
Ich bräuchte ein wenig Hilfe mit meiner Zyxel Zywall 35. Diese kommt zum Einsatz für eine DMZ mit einem Ubuntu Server, ein WLAN-Netz für Gäste und das LAN.
Nun da ich bisher keine Firewall in dem Ausmass konfiguriert habe, stellen sich mir einige Fragen.
Hier ein Screenshot meiner default-Rules:
Für die DMZ habe ich die nötigen Ports für Dienste geöffnet (ein- und ausgehend). Dasselbe auch für das WLAN-Netz.
Das LAN habe ich noch nicht konfiguriert, da ich mal gelesen habe dass die Zywall dies Standardmässig gut handhabt.
Folgende Ports habe ich für das WLAN geöffnet: DNS UDP/TCP 53, HTTP TCP 80, HTTPS TCP 443, Google Play TCP/UDP 5228.
NAT habe ich nichts konfiguriert, da ich nicht genau weiss für was ich dies brauchen sollte.
Nun meine Fragen:
1. LAN Konfiguration so belassen?
2. Fällt euch noch ein sinnvoller Port für das WLAN ein?
3. Bin mir nich ganz sicher ob ich NAT Konfigurieren muss, da ich nur eine dynamische IP-Adresse meines Provider für gleich 3 Netze verwende. Falls doch dann was?
4. Sollte ich für die Dienste in der DMZ andere Ports als die Standardports benutzen und die dann mit NAT umleiten?
FYI:
WAN IP: dynamisch (1)
LAN IP: 192.168.1.0/24
WLAN IP: 192.168.2.0/24
DMZ IP: 192.168.3.0/24
IM LAN und WLAN ist dann jeweils ein Router, für DHCP etc. (Firewall ausgeschaltet)
PS: Ich weiss, hier gibt es einige Einträge für Gast-WLAN auch mit Captive Portal. Dies ist aber bei mir eine erste Version und wird evtl. noch mit einem Captive Portal erweitert.
Danke schonmal für die Hilfe, hoffe Ihr blickt bei meiner Erklärung durch.^^
Grüsse
Ich bräuchte ein wenig Hilfe mit meiner Zyxel Zywall 35. Diese kommt zum Einsatz für eine DMZ mit einem Ubuntu Server, ein WLAN-Netz für Gäste und das LAN.
Nun da ich bisher keine Firewall in dem Ausmass konfiguriert habe, stellen sich mir einige Fragen.
Hier ein Screenshot meiner default-Rules:
Das LAN habe ich noch nicht konfiguriert, da ich mal gelesen habe dass die Zywall dies Standardmässig gut handhabt.
Folgende Ports habe ich für das WLAN geöffnet: DNS UDP/TCP 53, HTTP TCP 80, HTTPS TCP 443, Google Play TCP/UDP 5228.
NAT habe ich nichts konfiguriert, da ich nicht genau weiss für was ich dies brauchen sollte.
Nun meine Fragen:
1. LAN Konfiguration so belassen?
2. Fällt euch noch ein sinnvoller Port für das WLAN ein?
3. Bin mir nich ganz sicher ob ich NAT Konfigurieren muss, da ich nur eine dynamische IP-Adresse meines Provider für gleich 3 Netze verwende. Falls doch dann was?
4. Sollte ich für die Dienste in der DMZ andere Ports als die Standardports benutzen und die dann mit NAT umleiten?
FYI:
WAN IP: dynamisch (1)
LAN IP: 192.168.1.0/24
WLAN IP: 192.168.2.0/24
DMZ IP: 192.168.3.0/24
IM LAN und WLAN ist dann jeweils ein Router, für DHCP etc. (Firewall ausgeschaltet)
PS: Ich weiss, hier gibt es einige Einträge für Gast-WLAN auch mit Captive Portal. Dies ist aber bei mir eine erste Version und wird evtl. noch mit einem Captive Portal erweitert.
Danke schonmal für die Hilfe, hoffe Ihr blickt bei meiner Erklärung durch.^^
Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 248312
Url: https://administrator.de/contentid/248312
Printed on: April 24, 2024 at 13:04 o'clock
7 Comments
Latest comment
1.) Ja, zum Starten reicht das erstmal.
2.) Es fehlen noch alle Ports zum Emailen sofern du das erlauben willst. Im Moment kannst du nur Browser Betrieb machen im WLAN (HTTP(S))
3.) NAT benötigst du nur wenn du am WAN Port in einem öffentlichen Netz bist und die internen IPs umsetzen musst, denn RFC 1918 IPs werden ja bekanntlich nicht geroutet.
Fährst du die Zywall als Kaskade mit einem NAT Router davor macht der ja schon NAT und ein doppeltes NAT wäre dann kontraproduktiv. Da kann es dann entfallen.
4.) Die Frage kann dir doch sinnvoll hier keiner benatworten, denn das hängt doch ganz davon ab was du selber für Dienste da bereitstellst !!
Da müssten wir dann unsere Kristallkugel hier bemühen wenn wir das raten sollten für dich !
Dieser Punkt ist etwas verwirrend, da technisch unklar:
Das wäre ja eigentlich Blödsinn, denn das machst du ja mit deiner Firewall ?!
Oder meintest du mit "jeweils ein Router" das entsprechende Router Interface der Firewall ??
Sieh dir hier mal die klassischen Firewall Foren Tutorials an. Sie behandeln zwar ein anderes Produkt, die Grundlagen und Filter Regeln und anderen Infos gelten aber global und generell für alle Firewalls:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Gast WLAN mit Hotspot:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Routing Regel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
2.) Es fehlen noch alle Ports zum Emailen sofern du das erlauben willst. Im Moment kannst du nur Browser Betrieb machen im WLAN (HTTP(S))
3.) NAT benötigst du nur wenn du am WAN Port in einem öffentlichen Netz bist und die internen IPs umsetzen musst, denn RFC 1918 IPs werden ja bekanntlich nicht geroutet.
Fährst du die Zywall als Kaskade mit einem NAT Router davor macht der ja schon NAT und ein doppeltes NAT wäre dann kontraproduktiv. Da kann es dann entfallen.
4.) Die Frage kann dir doch sinnvoll hier keiner benatworten, denn das hängt doch ganz davon ab was du selber für Dienste da bereitstellst !!
Da müssten wir dann unsere Kristallkugel hier bemühen wenn wir das raten sollten für dich !
Dieser Punkt ist etwas verwirrend, da technisch unklar:
IM LAN und WLAN ist dann jeweils ein Router, für DHCP etc. (Firewall ausgeschaltet)
Was genau meinst du damit ?? Du hast in den jeweiligen Segmenten nochmal zusätzlich einen separaten Hardware Router ??Das wäre ja eigentlich Blödsinn, denn das machst du ja mit deiner Firewall ?!
Oder meintest du mit "jeweils ein Router" das entsprechende Router Interface der Firewall ??
Sieh dir hier mal die klassischen Firewall Foren Tutorials an. Sie behandeln zwar ein anderes Produkt, die Grundlagen und Filter Regeln und anderen Infos gelten aber global und generell für alle Firewalls:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Gast WLAN mit Hotspot:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Routing Regel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Danke für deine ausführliche Antwort.
Ich hab das kurz mit Visio skizziert
1. okay mein LAN werd ich so belassen
2. Email habe ich übersehen, werd ich noch hinzufügen
3. Dann werde ich NAT für meine 3 Netze konfigurieren
4. Es geht mir hier nicht um spezifische Dienste sondern darum dass ich mal gelesen habe, dass es sicherer ist nicht die Standardports zu benutzen.
Mit den Routern im LAN und WLAN dachte ich mir das folgendermassen:
Im WLAN ist ein TP-Link WLAN Router, welcher noch um ein AP erweitert wird. Den Router werde ich auch in den AP Modus setzen.
Im LAN wollt ich den Router behalten, so dass dieser den Traffic in diesem Netz übernimmt. Da ich im LAN noch ein NAS im Einsatz habe und die Zywall nur 100Mbit/s durchlässt, wollte ich den Router behalte da dieser einen Datendurchsatz von 1Gbit/s hat.
Danke für die Links, werde mich da mal durchlesen...
Ich hab das kurz mit Visio skizziert
2. Email habe ich übersehen, werd ich noch hinzufügen
3. Dann werde ich NAT für meine 3 Netze konfigurieren
4. Es geht mir hier nicht um spezifische Dienste sondern darum dass ich mal gelesen habe, dass es sicherer ist nicht die Standardports zu benutzen.
Mit den Routern im LAN und WLAN dachte ich mir das folgendermassen:
Im WLAN ist ein TP-Link WLAN Router, welcher noch um ein AP erweitert wird. Den Router werde ich auch in den AP Modus setzen.
Im LAN wollt ich den Router behalten, so dass dieser den Traffic in diesem Netz übernimmt. Da ich im LAN noch ein NAS im Einsatz habe und die Zywall nur 100Mbit/s durchlässt, wollte ich den Router behalte da dieser einen Datendurchsatz von 1Gbit/s hat.
Danke für die Links, werde mich da mal durchlesen...
Bei Punkt 4 was genau meinst du mit "dass es sicherer ist nicht die Standardports zu benutzen..." ??
Du MUSST ja einige Standardports benutzen wenn du damit TCP oder UDP Ports meinst. Ansonsten funktionieren Standard Applikationen wie Mail, Browser, Filetransfer etc. nicht.
Oder meinst du damit die physischen LAN Ports der Hardware ??
Was die anderen Punkte anbetrifft:
In diesem Forums Tutorial in der Alternative 3 steht genau beschrieben wie man einen WLAN Router zu einem simplen Accesspoint "degradiert":
Kopplung von 2 Routern am DSL Port
Der Router gehört wenn überhaupt dann an den WAN Port der Firewall und nirgendwo sonst hin !!
Du willst doch gerade eine saubere und sichere Trennung deiner 3 Segmente LAN, DMZ, WLAN erreichen, oder ?
Wenn du dann zentral den gesamten externen Traffic über das LAN Segment leitest bist du hier dem kompletten Angriffssenario ausgesetzt. Das gesamte Firewall Konzept (was sonst ja richtig ist) wäre damit ad absurdum geführt und Blödsinn.
Leuchtet dir sicher selber ein, oder ?
Dieses Tutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
zeigt dir im Kapitel Internetanbindung solche sinnvollen Designs wie sie im Firewall bereich Standard sind !
Gehe also nochmal in dich und überdenke das !
Dein Argument:
Das Argument greift also nicht ?!
Oder hast du da einen Router der mindestens 2 Breitband Ports (Ethernet) mit 1 GiG hat ??
Und auch wenn ist noch lange nicht gesagt das der dann auch 1 GiG Paket Forwarding Rate macht ? Was für ein Modell ist das ??
Aber auch wenn alles passen sollte konterkarierst du dann dein ganzes Firewall Konzept. Dann hätte es auch der Router mit ein paa Accesslisten gemacht ohne den Mehraufwand Firewall !
Du MUSST ja einige Standardports benutzen wenn du damit TCP oder UDP Ports meinst. Ansonsten funktionieren Standard Applikationen wie Mail, Browser, Filetransfer etc. nicht.
Oder meinst du damit die physischen LAN Ports der Hardware ??
Was die anderen Punkte anbetrifft:
Im WLAN ist ein TP-Link WLAN Router, welcher noch um ein AP erweitert wird.
OK der arbeitet aber nicht als Router sondern nur als dummer WLAN Access Point, oder ??In diesem Forums Tutorial in der Alternative 3 steht genau beschrieben wie man einen WLAN Router zu einem simplen Accesspoint "degradiert":
Kopplung von 2 Routern am DSL Port
Im LAN wollt ich den Router behalten, so dass dieser den Traffic in diesem Netz übernimmt.
Das wäre ja völliger Blödsinn, denn damit konterkarierst du dein gesamtes Firewall Konzept !!Der Router gehört wenn überhaupt dann an den WAN Port der Firewall und nirgendwo sonst hin !!
Du willst doch gerade eine saubere und sichere Trennung deiner 3 Segmente LAN, DMZ, WLAN erreichen, oder ?
Wenn du dann zentral den gesamten externen Traffic über das LAN Segment leitest bist du hier dem kompletten Angriffssenario ausgesetzt. Das gesamte Firewall Konzept (was sonst ja richtig ist) wäre damit ad absurdum geführt und Blödsinn.
Leuchtet dir sicher selber ein, oder ?
Dieses Tutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
zeigt dir im Kapitel Internetanbindung solche sinnvollen Designs wie sie im Firewall bereich Standard sind !
Gehe also nochmal in dich und überdenke das !
Dein Argument:
Da ich im LAN noch ein NAS im Einsatz habe und die Zywall nur 100Mbit/s durchlässt, wollte ich den Router behalte da dieser einen Datendurchsatz von 1Gbit/s hat.
Ist ja auch unzutreffend, denn der Router bedinet ja den Internetzugang (geraten). Auch wenn du da im LAN 1 GiG hast kannst du ja am Router WAN/Internet Port nur max 50 Mbit loswerden sofern du VDSL hast. Bei ADSL entsprechend weniger.Das Argument greift also nicht ?!
Oder hast du da einen Router der mindestens 2 Breitband Ports (Ethernet) mit 1 GiG hat ??
Und auch wenn ist noch lange nicht gesagt das der dann auch 1 GiG Paket Forwarding Rate macht ? Was für ein Modell ist das ??
Aber auch wenn alles passen sollte konterkarierst du dann dein ganzes Firewall Konzept. Dann hätte es auch der Router mit ein paa Accesslisten gemacht ohne den Mehraufwand Firewall !
zu Punkt 4: ich meine damit nicht die physischen Ports aber das hat sich somit für mich geklärt und ich werde die Standardports der Dienste verwenden.
Den Router im WLAN werde ich ausschließlich als AccessPoint benutzen, dies weil ich den schon hatte und daher keinen neuen kaufen muss.
Zu dem Router im LAN:
Ich glaube wir sprechen nicht vom selben.... Ich wollte den nur im LAN haben, um die Geschwindigkeit innerhalb des LAN Segments zu steigern. Damit der Transfer zwischen z.B. einem PC-Client und dem NAS 1Gbit/s ist und nicht über die Zywall(100Mbit/s) läuft. Dieser Router (Zyxel NBG5615) soll nur den Datenverkehr innerhalb des LAN steuern, alles was ins WAN geht muss natürlich über die Zywall. So zu sagen nur als Gateway...
Falls dies nicht möglich ist oder unnötig, werde ich den natürlich weglassen...
FYI
-der Router aus dem LAN ist ein Zyxel NBG5615
-das WAN wird an der Zywall angeschlossen (Modem von Provider noch davor)
-Klar möchte ich meine Netze sauber trennen, was auch mein Ziel ist. Ich versuche nur eine bestmögliche Lösung dafür zu suchen und wie gesagt ist dies das erste Mal, dass ich ein Netzwerk mit Firewall und verschiedenen Netzen konfiguriere.(noch in Ausbildung)
Den Router im WLAN werde ich ausschließlich als AccessPoint benutzen, dies weil ich den schon hatte und daher keinen neuen kaufen muss.
Zu dem Router im LAN:
Ich glaube wir sprechen nicht vom selben.... Ich wollte den nur im LAN haben, um die Geschwindigkeit innerhalb des LAN Segments zu steigern. Damit der Transfer zwischen z.B. einem PC-Client und dem NAS 1Gbit/s ist und nicht über die Zywall(100Mbit/s) läuft. Dieser Router (Zyxel NBG5615) soll nur den Datenverkehr innerhalb des LAN steuern, alles was ins WAN geht muss natürlich über die Zywall. So zu sagen nur als Gateway...
Falls dies nicht möglich ist oder unnötig, werde ich den natürlich weglassen...
FYI
-der Router aus dem LAN ist ein Zyxel NBG5615
-das WAN wird an der Zywall angeschlossen (Modem von Provider noch davor)
-Klar möchte ich meine Netze sauber trennen, was auch mein Ziel ist. Ich versuche nur eine bestmögliche Lösung dafür zu suchen und wie gesagt ist dies das erste Mal, dass ich ein Netzwerk mit Firewall und verschiedenen Netzen konfiguriere.(noch in Ausbildung)
Hallo
Ich habe mein Netzwerk nun nach deinen Empfehlungen eingerichtet, die beiden Router dienen nur noch als AccessPoint.
Nun habe ich aber Schwierigkeiten mit der Zywall 35 und dem Server in meiner DMZ. Auf dem Server läuft ein TS3 Server und der DynDNS Dienst von www.No-IP.com. Die Firewall der Zywall ist folgendermassen Konfiguriert:
WAN - DMZ (Drop) und dann TS3 Server Ports geöffnet
Default port (UDP eingehend): 9987
Default filetransfer port (TCP eingehend): 30033
Default serverquery port (TCP eingehend): 10011
Default weblist port (UDP ausgehend): 2010
Default tsdns port (TCP eingehend): 41144
Default accounting port (TCP ausgehend): 2008
NAT Port Forwarding:
oben gennante (eingehende) Ports auf Server IP
Der Server erhält eine Private IP (192.168.2.10). Die Domain von No-IP löst auf die richtige IP-Adresse auf, jedoch kann ich nicht verbinden....
NAT Mapping:
WLAN und LAN: Many to One
DMZ: nichts
Siehst du vielleicht was ich falsch gemacht habe?
Ich habe mein Netzwerk nun nach deinen Empfehlungen eingerichtet, die beiden Router dienen nur noch als AccessPoint.
Nun habe ich aber Schwierigkeiten mit der Zywall 35 und dem Server in meiner DMZ. Auf dem Server läuft ein TS3 Server und der DynDNS Dienst von www.No-IP.com. Die Firewall der Zywall ist folgendermassen Konfiguriert:
WAN - DMZ (Drop) und dann TS3 Server Ports geöffnet
Default port (UDP eingehend): 9987
Default filetransfer port (TCP eingehend): 30033
Default serverquery port (TCP eingehend): 10011
Default weblist port (UDP ausgehend): 2010
Default tsdns port (TCP eingehend): 41144
Default accounting port (TCP ausgehend): 2008
NAT Port Forwarding:
oben gennante (eingehende) Ports auf Server IP
Der Server erhält eine Private IP (192.168.2.10). Die Domain von No-IP löst auf die richtige IP-Adresse auf, jedoch kann ich nicht verbinden....
NAT Mapping:
WLAN und LAN: Many to One
DMZ: nichts
Siehst du vielleicht was ich falsch gemacht habe?
Ja, deine FW Logik ist falsch !
WAN - DMZ TS3 Server Ports geöffnet und dann den Rest (Drop)
Dann funktioniert es auch !
Merke: In Einer Firewall gelten Regeln immer inbound und dann first Match wins. Also beim ersten Match wird der Rest der Regelliste NICHT mehr weiter abgearbeitet !
Deshalb scheitert deine Regel oben !
WAN - DMZ (Drop) und dann TS3 Server Ports geöffnet
Du kannst in einer FW nicht erst was verbieden was du hinterher wieder erlaubst ! Richtig ist: WAN - DMZ TS3 Server Ports geöffnet und dann den Rest (Drop)
Dann funktioniert es auch !
Merke: In Einer Firewall gelten Regeln immer inbound und dann first Match wins. Also beim ersten Match wird der Rest der Regelliste NICHT mehr weiter abgearbeitet !
Deshalb scheitert deine Regel oben !
Erstmal dank dir für die Antowrt.
Ich hab dies so konfiguriert, da mir mal bei einer Ubuntu UFW Firewall beigebracht wurd alles zu schliessen und dann ein Port nach dem anderen zu öffnen, was bei dieser Zywall wohl anders funktioniert.
Ich sehe aber nicht ganz wie ich der Firewall sagen kann, das sie den Rest verbieten soll, werds aber heute Abend auprobieren(evtl. hab ich eine Einstellung übersehen).
Edit: Hab vergessen zu erwähnen, dass ich inzwischen schon versucht habe diese Rule (WAN1-DMZ) auf Permit zu setzen, wass auch nicht geholfen hat.
Ich hab dies so konfiguriert, da mir mal bei einer Ubuntu UFW Firewall beigebracht wurd alles zu schliessen und dann ein Port nach dem anderen zu öffnen, was bei dieser Zywall wohl anders funktioniert.
Ich sehe aber nicht ganz wie ich der Firewall sagen kann, das sie den Rest verbieten soll, werds aber heute Abend auprobieren(evtl. hab ich eine Einstellung übersehen).
Edit: Hab vergessen zu erwähnen, dass ich inzwischen schon versucht habe diese Rule (WAN1-DMZ) auf Permit zu setzen, wass auch nicht geholfen hat.
