Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Watchguard netzwerk config Problem

Frage Sicherheit Firewall

Mitglied: Amathar

Amathar (Level 1) - Jetzt verbinden

23.04.2010 um 08:43 Uhr, 6624 Aufrufe, 6 Kommentare

Ich habe ein Problem mit einer Watchguard X8500e Netzwerk config.
OS-Version:11.2.1.B260006

Folgende config: Die FB steht zwischen dem Internetrouter und einer internen Firewall. Für die Verbindung zwischen wird jeweils ein /30 Netz genutzt. Ich habe eine Testclient mit dem ich den Internetrouter anpingen will.

testclient (10.5.10.118) <=> (10.0.0.1) interne fw interface1 | interne firewall interface 2 (A.B.C.13/30) <=> (A.B.C.14/30) Fireware trusted Interface eth1 | (A.B.C.17/30) Fireware external Interface eth0 <=> (A.B.C.18/30) Internetrouter internal Interface | (A.B.C.D) Internetrouter Provider Interface.

Die Fireware hat also kein Interface in 10/8 aus dem die Anfrage des Clients kommt. Statt dessen gibt es passende Routingeinträge (10/8) wird zur internen Firewall geroutet.

Ping Firewall Rule:
ping from (any-trusted, any-optinal, testpc) to any icmp type8 code 255 no NAT.
An dieser Stelle sollte also ein Ping zum Internetrouter durchgehen.

Debugging:
Ein tcpdump auf dem internen Interface der Fireware (eth1) zeigt die ping Anfrage. Ein tcpdump auf dem externen Interface (eth0) zeigt kein Paket vom testclient.
NAT habe ich für die Ping Rule erstmal ausgeschaltet.

Hat irgendwer vielleicht eine Idee, was das falsch sein kann?

Danke
Peter
Mitglied: aqui
23.04.2010 um 16:19 Uhr
ICMP Typ 8 ist ja nur die halbe Miete und fürht logischerweise nicht zum (vollen) Erfolg !!! Also der Echo requst geht durch aber du musst ja wenigstens auf dem Rückweg noch den ICMP Typ 0 erlauben (Echo Reply) sonst kommt die Antwort (Typ 0) niemals an am Absender !!

http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol


Sieht dein Testszenario so aus: ??

c9ace638ae9dc4242a0c6983e7cc7efd - Klicke auf das Bild, um es zu vergrößern

Wenn dem so ist du wirklich KEIN NAT machst auf den FWs, also sauberes, transparentes Routing, dann muss natürlich der Internet Router eine statische Route haben:
Zielnetz: 10.0.0.0, Maske: 255.0.0.0, Gateway: 172.16.1.17
..dann die externe Firewall entsprechend:
Zielnetz: 10.0.0.0, Maske: 255.0.0.0, Gateway: 172.16.1.13
Für den Rückweg verwendst du vermutlich ein default Gateway auf den FWs, oder ??
Wenn dem so ist dann dann ist nur der ICMP Typ 0 Filter der der dich zu Fall bringt !!
Bitte warten ..
Mitglied: Amathar
26.04.2010 um 08:37 Uhr
Ich glaube nicht, daß die ping firewall Regel mein Problem ist. Ich habe trotzdem mal eine any rule gebaut in der Form "from any to any port any" und die ping rule disabled.
Im Grunde sieht meine config so aus, wie in dem Bild beschrieben. Die Netze zwischen der internen und der externen Firewall sowie zwischen der externen Firewall und dem Router kommen aus einem anderen Adreßbereich, aber das sollte das Problem nicht sein.
Auf dem Router ist natürlich ein Routing entsprechend eingestellt, genauso auf der externen Firewall.

Wenn mein ping die externe Firewall verlassen würde (also es nur an dem Rückweg scheitern würde) müßte ich auf eth0 der extenen Firewall mittels tcpdump irgendwas sehen... Klappt aber nicht. Das ping Paket geht noch auf eth1 der externen Firewall rein aber das war es dann.

Auf dem eingehenden Interface:
1272263644.058961 0:15:17:d9:aa:9b 0:15:17:d9:aa:9b 0800 74: 10.5.10.118 > xx.xx.xx.18: icmp: echo request

Das muß irgendeine Kleinigkeit sein, die ich nicht finde.

Danke trotzdem schonmal.
Bitte warten ..
Mitglied: aqui
26.04.2010 um 12:01 Uhr
Mit tcpdump siehst du aber nur was wenn kein Switch dazwischen ist, das solltest du bedenken ! Im Zweifelsfalle einen Wireshark Sniffer auf einem Hub einschleifen oder einen Mirror Port am Switch setzen !
Wenn du dennoch keine Packete siehst hast du mit Sicherheit ein Konfig Problem auf der Watchguard !! Ohne Config Posting hier kann man aber leider nur raten...
Bitte warten ..
Mitglied: Amathar
26.04.2010 um 12:33 Uhr
Switch? Das eingehende Interface von der Watchguard sieht das Paket (siehe tcpdump output in letzter Mail), das ausgehende Interface der Watchguard *nicht*. Ich mache ein tcpdump auf der Watchguard einmal auf eth0 und einmal auf eth1. Das kann also kein Switch dazwischen sein, oder verstehe ich dich falsch?
Von daher wird es wahrscheinlich ein Konfig Problem sein.

Hier mal die Rules..

Action Name Service From-alias To-alias
Allowed FTP FTP Any-Trusted,Any-Optional Any-External
Allowed WatchGuard Web UI WG-Fireware-XTM-WebUI Any-Trusted Firebox
Disabled Ping Ping Any-Trusted Any
Allowed WatchGuard WG-Firebox-Mgmt Any-Trusted Firebox
Disabled Outgoing TCP-UDP Any-Trusted Any-External
Allowed my-test-Any Any Any Any

Aus meiner Sicht sollte die letzte Rule (my-test-any) greifen.

Danke !!
Bitte warten ..
Mitglied: Amathar
27.04.2010 um 13:07 Uhr
Hmm, wenn niemand mehr ne Idee hat, werde ich wohl mal kommerziellen Support einfangen müssen, ansonsten gehts hier bei uns nicht weiter.
danke trotzdem
Bitte warten ..
Mitglied: Amathar
17.05.2010 um 12:35 Uhr
Lösung:

die interne Firewall, die die Pakete vom testclient gezielt zur Watchguard umgebogen hat (source routing) hatte den falschen next hop gesetzt.
Für Openbsd Nutzer im Detail:

pass in quick on $internes_interface route-to { ($interface_to_watchguard $ip_int_interface_watchguard) } from $testrechner to any
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
Postfix Config-Problem für Kopano
gelöst Frage von jescheroLinux Netzwerk6 Kommentare

Hallo, und zwar brauche ich eure Hilfe. Ich richte gerade einen Server mit Postfix und Kopano ein, leider habe ...

Linux Netzwerk
Mint XFCE Netzwerk Config Pfade
gelöst Frage von Mr.PropperLinux Netzwerk9 Kommentare

Nutzt einer Linux Mint XFCE ? Ich suche gerade nach den Config Datein aber kann keine finden nicht mal ...

Firewall
PrinterServer über VPN-Watchguard in Netzwerk einbinden (Debian)
Frage von Dd0w3Firewall1 Kommentar

Hallo, ich habe eine etwas knifflige Aufgabe für mich. Ich möchte einen entfernten Printerserver mit Drucker dran über eine ...

Netzwerkmanagement
Running-Config oder Startup-Config bei Cisco-Geräten sichern?
gelöst Frage von M.MarzNetzwerkmanagement9 Kommentare

Hallo zusammen, ich möchte gerne die Konfigs meiner Cisco-Switche sichern. In google finde ich immer wieder die Anleitung das ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 6 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 11 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 12 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 23 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...