Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IP Adresse zugriff auf anderes Subnetz auf Zywall 200 einstellen.

Frage Netzwerke Router & Routing

Mitglied: stormwind81

stormwind81 (Level 2) - Jetzt verbinden

28.03.2011 um 10:04 Uhr, 6492 Aufrufe, 9 Kommentare

Hallo Leute.

Ich sehe vor lauter Bäumen den Baum nicht.
Wie stelle ich auf einem Zyxel Gerät die Möglichkeit einer 10.1.20.x Adresse ein, das sie ins 10.1.30.x Subnetz kommt.
ist dazu eine einfache Firewall Regel notwendig oder brauch ich eine Policy Route.....!?
Mitglied: dfritz
28.03.2011 um 10:09 Uhr
Also wenn sich das 10.1.30 Netz im selben Haus befindet und auch am Router angeschlossen ist, dann würde ich einfach einen Routing eintrag setzen.

Allerdings muss die ZyWall sowohl eine IP im 10.1.20 als auch im 10.1.30 besitzen - sozusagen jeweils die Gatewayadresse für jedes Netz.

Gruß dfritz
Bitte warten ..
Mitglied: stormwind81
28.03.2011 um 10:18 Uhr
Ja das ist alles so wie du es schreibst.

Mir ist nur die neue 2.20er Oberfläche der Zywall etwas suspekt.

Also es reicht unter Network/Routing die Konfiguration zu setzen und es sollte dann gehen?

Ps.: Das 10.1.30.x netz ist als LAN3 Zone eingerichtet.

Sprich geht es wenn ich einstelle: Zone - LAN3 zu Interface - LAN 1 ???
Bitte warten ..
Mitglied: dfritz
28.03.2011 um 10:22 Uhr
Hi,

persönlich kenne ich die Zywall nicht. Ich vermute aber, das es so ist wie Du sagst. Natürlich sollte es auch andersrum sein, wenn Du dann vom 30er ins 20er Netz möchtest.
Hat dein "LAN1" keine Zone ? ggf. musst Du die sonst noch einrichten.

Gruß Dfritz
Bitte warten ..
Mitglied: sk
28.03.2011 um 15:10 Uhr
Zitat von stormwind81:
Wie stelle ich auf einem Zyxel Gerät die Möglichkeit einer 10.1.20.x Adresse ein, das sie ins 10.1.30.x Subnetz kommt.
ist dazu eine einfache Firewall Regel notwendig oder brauch ich eine Policy Route.....!?
...
Also es reicht unter Network/Routing die Konfiguration zu setzen und es sollte dann gehen?
Ps.: Das 10.1.30.x netz ist als LAN3 Zone eingerichtet.
Sprich geht es wenn ich einstelle: Zone - LAN3 zu Interface - LAN 1 ???

Wenn die beiden Netze direkt an der Firewall anliegen, benötigst Du auf der Firewall selbst selbstverständlich keine Policyroute - es sei denn, Du benötigst SNAT.
Die Firewall kennt die beiden Netze schließlich bereits. Außerdem haben "directly connected"-Routen per Default eine höhere Priorität als alle anderen Routen (sofern man dies nicht aktiv ändert). In den Supportnotes ist alles in epischer Breite erklärt: ftp://ftp.zyxel.com/ZYWALL_USG_200/support_note/ZYWALL%20USG%20200_2.2 ...

Es genügt also eine Firewall-Regel, welche den gewünschten Traffic zulässt.

Gruß
sk
Bitte warten ..
Mitglied: stormwind81
29.03.2011 um 09:35 Uhr
Hey. Das klingt irgendwie sehr logisch :D

Da beide Netzte physikalisch am selben Port auf der Zywall liegen stellt sich die Frage der Regel:

From Interface: LAN1 to Interface: LAN1
Source: 10.1.30.x
Destination: 10.1.20.x

Dürfte mein Gedankenweg so richtig sein sk?

lg
Bitte warten ..
Mitglied: sk
30.03.2011 um 01:14 Uhr
Zitat von stormwind81:
From Interface: LAN1 to Interface: LAN1
Source: 10.1.30.x
Destination: 10.1.20.x

Das Firewallregelwerk basiert auf Zonen - nicht auf Interfaces! Zonen können mehrere Interfaces gleicher oder verschiedener Typen enthalten - ein Interface kann jedoch nur einer einzigen Firewallzone zugeordnet sein.
Leider hat Zyxel bei den kleineren Geräten im Anflug völliger geistiger Umnachtung die repräsentativen Ethernetinterfaces/Portgroupings gleich den Default-Zonen benannt. Auch kann man bei den kleinen Geräten die repräsentativen Ethernetinterfaces/Portgroupings nicht aus den standardmäßig zugeordneten Zonen entfernen. Hintergrund ist der, dass man die Default-Konfig und die Einstelloptionen möglichst stark an die alten ZyNOS-Geräte anlehnen wollte, um den Usern den Umstieg zu erleichtern. Damit hat man aber nur Verwirrung erzeugt.
Ab der USG300 aufwärts erschließt sich die Logik m.E. viel besser. Hier heissen die repräsentativen Ethernetinterfaces/Portgroupings einfach ge1-ge7 und können frei allen Zonen zugeordnet werden. Einem repräsentativen Ethernetinterface können ein oder mehrere physische Ethernetports zugeordnet werden. Das nennt sich Portgrouping - auf den kleinen Geräten: Portrole.


Zitat von stormwind81:
Da beide Netzte physikalisch am selben Port auf der Zywall liegen ... .

Wie ist das realisiert? Per "Virtual Interface" oder per VLAN-Interface? Ersteres erbt die Zonenzughörigkeit vom Parent Interface - letzteres kann frei einer Zone zugeordnet werden. Ersteres ist _keine_ Trennung auf Layer2 - letzteres sehrwohl...


Gruß
sk
Bitte warten ..
Mitglied: stormwind81
14.04.2011 um 15:59 Uhr
Also ich muss sagen es ist wie verhext.
bei fast allen PCs wo ich jetzt einen übergreifenden Zugriff per Firewall eingerichtet habe, hat es auch funktioniert.
bei einem oder zwei will es aber partout nicht klappen. Kanns mir ehrlich gesagt nicht erklären. Egal ob er fixe ip oder die vom dhcp hat. in firewall lan - lan from source: 101.20.23 to destionation: subnetz: 10.1.30.0
Kein Ping möglich.

Bei source: 10.1.20.24 funktioniert auf Anhieb.


Also zu deiner Frage:
Ist alles noch Standard "Virtual Interface" realisiert.
die VLANs auf der Zywall muss ich erst erstellen.
Wir haben hier unzählige ES-1528 Switch. So billigen Dreck aus Japan. Bin mal gespannt wie gut ich das VLAN hier umsetzten werd können.

Jeder Switch wird dan ein eigenes VLAN.

Switch 1 - VLAN 10
Switch 2 - VLAN 20
Switch 3 - VLAN 30
Switch 4 - VLAN 40

Trunking Ports eingestellt.
Dan auf Zywall die VLANs eingegeben und dan per Firewall Regel gesagt zB.

VLAN 10 und 30 darf zu VLAN 20 und 40
VLAN 30 darf aber nicht zu VLAN 10
usw.

vlg
Bitte warten ..
Mitglied: sk
14.04.2011 um 21:48 Uhr
Zitat von stormwind81:
bei fast allen PCs wo ich jetzt einen übergreifenden Zugriff per Firewall eingerichtet habe, hat es auch funktioniert.
bei einem oder zwei will es aber partout nicht klappen. Kanns mir ehrlich gesagt nicht erklären. Egal ob er fixe ip oder die
vom dhcp hat. in firewall lan - lan from source: 101.20.23 to destionation: subnetz: 10.1.30.0
Kein Ping möglich.
Bei source: 10.1.20.24 funktioniert auf Anhieb.

Vermutlich spielt Dir eine Desktopfirewall einen Streich oder es ist kein oder ein falsches Standardgateway angegeben. Ein Tracert sowie ein Blick ins Firewall-Log erleichtern die Lösungsfindung...

Gruß
sk
Bitte warten ..
Mitglied: stormwind81
15.04.2011 um 09:54 Uhr
Ja daran hatte ich auch schon gedacht.

Hab probiert:

Firewall auszuschalten.
Firewall ICMP Regeln alle aktivieren (waren sie aber bereits)
Dem Programm Zugriff über die Firewall geben und einstellen.

Ping auf die IP war aber auch danach nicht möglich.

Der Zugriff betrifft jetzt aber PCs mit IP 10.1.20.x die Zugriff auf Kameras mit IP 10.9.x.x brauchen.
Kann es sein dass es daran liegt, dass die Kameras den falschen GW eingetragen haben?
Ich werd das mal überprüfen....

Müssen die Kameras dann einen eigenen GW bekommen oder würde es reichen wenn ich die IP 10.1.20.1 eintrage?
Was ich damit meine ist, ob ich auf dem Router ein neues Virutell Interface einrichten soll oder ist es besser wenn die Kamera so eingestellt bleibt: IP: 10.9.34.25 / Subnet: 255.0.0.0 / GW: 10.1.20.1

So hab der Kamera die IP vergeben, aber so richtig will das auch nicht. From: IP 10.1.20.23 to Destination: Kamera_Subnetz: 10.9.0.0 / 255.255.0.0

Nun wenn ich LAN1:2 als Virtuelles Interface erstelle geht es.
Wenn ich es jetzt aber auch gleich mit VLAN eingerichtet haben will.
Hab mal eine eigene Zone LAN8 gemacht, dann ein VLAN8. Ich müsste jetzt nur noch am switch an dem die Kameras angeschlossen sind das VLAN8 einrichten, den Trunk Port einstellen dann müsste es auch wieder funktionieren?


Geht das dann wenn zB: Router - Switch (VLAN7) - Switch (VLAN8)

Switch mit VLAN8 hängt an Switch mit VLAN7.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

E-Mail
gelöst Falsche SMTP Server IP Adresse (6)

Frage von laster zum Thema E-Mail ...

Batch & Shell
Hostname bzw IP-Adresse in Excel eintragen (12)

Frage von EgonFrenz zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...