Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Watchguard XTM 330 in zwei unterscheidlichen Netzen betreiben

Frage Sicherheit Firewall

Mitglied: jo-schua

jo-schua (Level 1) - Jetzt verbinden

21.06.2012 um 17:05 Uhr, 5645 Aufrufe, 11 Kommentare

Hallo, ich habe eine Watchguard XTM 330 vor mir, welche ich für zwei Netze nutzen möchte.

Leider raubt das Teil mir den letzten Nerv, da ich es nicht schafffe die beiden Netze an der Firewall ans laufen zu bekommen.

Hier mal die Konfig

Wachguard (192.168.1.1) hat an ETH0 (extern) ein Modem hängen und die PPOE Daten sind eingetragen und Sie geht auch Online.

An ETH 1 (intern 1) hat folgendes Netz 192.168.1.0/24 mit Gateway
(192.168.1.1). Server und alle PC die dort dran hängen laufen wundebar.

An ETH 2 (intern 2) soll folgendes Netz mit 192.168.2.0/24.

Ich bekomme auf der Watchguard einfach die Route nicht hin das alles was
an ETH 2 hängt ebenfalls WAN Zugang bekommt und über die Watchguard läuft.

Die nächste Frage wäre, was muss als Gateway bei dem zweiten Netz eingetragen werden.

Die beiden Server haben je nur eine NIC

Ich hoffe ihr könnt mir hier weiterhelfen.

Uli
Mitglied: Onitnarat
21.06.2012 um 17:15 Uhr
Hallo,

ETH1 hat dann wohl die IP 192.168.1.1?
ETH2 hat dann wohl die IP 192.168.2.1?

Diese beiden Adressen sind dann das Gateway für das jeweilige Netz.
Kannst ja testweise eine AnyPort-Regel definieren die "any-internal -> any-external Allow" enthält. ACHTUNG! Damit erfolgt für ausgehenden Verkehr keine Filterung!
Routen brauchst Du imho nicht einstellen, das macht die WG selbst.

Gruß
Marcus
Bitte warten ..
Mitglied: aqui
21.06.2012, aktualisiert um 17:20 Uhr
Die Watchguard hat in jedem IPSegment ja eine eigene IP Adresse. Angenommen das ist die 192.168.1.1 respektive die 192.168.2.1 dann haben die jeweiligen Endgeräte in diesen IP Segmenten jeweils immer die .1.1 oder die .2.1 als Default Gateway IP.
Die Watchguard selber hat ja immer nur eine Default Route zum ISP.
Auf der Watchguard sind keinerlei weitere Routen erforderlich, wohl aber entsprechende Firewall Regeln, das ist klar.
Wie sowas aussehen kann zeigt dir dieses Tutorial mal zur Information:
http://www.administrator.de/contentid/110259
Bitte warten ..
Mitglied: jo-schua
21.06.2012, aktualisiert um 17:34 Uhr
Hallo, jetzt noch mal für mich - kann schon gar nicht mehr klar denken wegen dem Kram.

Die Watchguard hat an
ETH0 das Modem mit PPOE Daten um den WAN Zugang herzustellen.
Über den Wizard wurde für ETH 1 ein IP Bereich erstellt 192.168.1.1 (intern 1 Trusted)
D.h. heisst alles was an ETH 1 hängt würde wie folgt ausehen

IP: 192.168.1.2 (wäre auch der Server von diesem Netz)
Sub: 255.255.255.0
Gate: 192.168.1.1
DNS-1: 192.168.1.2
DNS-2: 192.168.1.1 (oder einen welcher in der Watchguard eingetragen ist)


ETH 2 ein IP Bereich 192.168.2.1 (intern 2 Trusted)

IP: 192.168.2.2 (wäre der Server von diesem Netz)
Sub: 255.255.255.0
Gate: 192.168.2.1
DNS-1: 192.168.2.2
DNS-2: 192.168.2.1 (oder einen welcher ind der Watchguard eingetregen ist)

Wäre das dann so richtig ?
Bitte warten ..
Mitglied: Onitnarat
21.06.2012 um 18:29 Uhr
Zuerst mal, bevor die nächste Verzweiflung auftaucht, mein letzter Stand war, dass eine Watchguard kein DNS kann, somit sollte man sie auf Clients nicht als DNS eintragen. Das ist je kein Speedport ;)

Dann zurück zum eigentlichen Thema:
Wenn ich das noch richtig weiß, habe in meinem aktuellen Job keine Watchguards mehr, dann steht ETH2 standardmäßig auf "Optional", richtig?
Das müsstest Du ändern in "Trusted". Damit ziehen alle Regeln mit "Any-Trusted" für beide Interfaces.
Für die "Optional"-Interfaces existieren meines Wissens im Standard keine Regeln.
Bitte warten ..
Mitglied: aqui
21.06.2012, aktualisiert um 18:42 Uhr
Hat er ja gemacht wie man oben sieht "ETH 2 ein IP Bereich 192.168.2.1 (intern 2 Trusted)"
Die IP Adressierung der Clients ist absolut sauber so.
Wie gesagt DNS ist etwas tricky.
Wenn die Watchguard kein DNS Proxy ist oder sein kann, dann musst du zwangsweise dort die DNS IP(s) deines Providers eintragen die man problemlos auf dessen Webseite findet !
Oder auf beiden Interfaces ETH1 und 2 die deines Servers 192.168.1.2 der dann wiederum aber zwingend eine Weiterleitung auf die DNS IP deines Providers haben muss.
Beim Server musst du dann sicherstellen das eine Kommunikation von DNS (TCP/UDP 53) über die Interfaces ETH1 und 2 in den FW Regeln erlaubt ist, weil dann Clients in ETH2 den Server in ETH1 fragen müssen... Das muss die FW erlauben, logisch !
Damit wäre das dann ganz wasserdicht und richtig !
Abgesehen davon kannst du auch von den Clients in ETH1 und 2 immer mit "nackten" IP Adressen im Internet arbeiten (Ping) wie z.B. 82.149.225.18 (administrator.de) oder 193.99.144.85 (heise.de)
Wenn du diese beim Pingen benutzt umgehst du so erstmal ganz sicher etwaige DNS Problematiken !!
Bitte warten ..
Mitglied: jo-schua
21.06.2012, aktualisiert um 19:52 Uhr
Auf der Watchguard sind ETH 1 und 2 als interne Trustedports konfiguriert.

An beiden 1 und 2 hängen jeweils ein Server als Doämencontroller inkl. DHCP und DNS.

Auf der Watchguard zu mindest bei der XTM 330 muss auf dem WAN Port ein DNS (max 3) angegeben werden, da diese sonst nicht ins Internet geht, ebenfalls ist es daher notwendig da sonst die Security Applikationen wie AntiVir, AntiSpam und Weblocker keine Updates laden können.

Ich werde das morgen mal so versuchen, andernfalls muss ich die beiden Server jeweils im DNS so knigurieren das diese auf die DNS des ISP verweisen.

Und dann geht es an die Firewall, das wird bestimmt auch ein Spaß, zu mal ich bis jetzt noch nicht durchgestiegen bin wie ich einen ganz simplen Port, z.b. 3391 an 3390 auf IP Adresse 192.168.2.2 weiterleiten kann. Hab schon in den der NAT mal drüber geschaut aber noch nicht den Blick wie das funktionieren soll.
Bitte warten ..
Mitglied: Onitnarat
21.06.2012 um 21:34 Uhr
Sorry, das mit dem Trusted hab ich glatt überlesen.

Wie konfigurierst Du denn die Watchguard? Webinterface oder Watchguard System Manager?

Wegen dem Portforwarding musst Du eine Regel erstellen die:

From: Any-External (oder wenn du es auf eine feste öffentliche IP einschränken willst, dann über Add Other)
To: Add NAT (hier die öffentliche IP auswählen und als Ziel den internen Host und Port eintragen)

Ich hoffe das hilft etwas, ich habe leider keinen System Manager mehr im Zugriff um zu schauen wie die Begriffe genau heißen.
Bitte warten ..
Mitglied: jo-schua
21.06.2012 um 21:47 Uhr
Ich mach das mit dem System Manager. Möchtest Du einen haben
Bitte warten ..
Mitglied: aqui
22.06.2012 um 09:29 Uhr
.. .da diese sonst nicht ins Internet geht, Diese Aussage ist technischer Unsinn, denn wenn du mit nackten Internet IP Adresssen arbeitest, dann geht sie schon ins Internet.
Sie benötigt die DNS IP lediglich um die Namensauflösung zu machen ! Mit "ins Internet gehen" hat das rein gar nichts zu tun, da irrst du also oder dir fehlt der Durchblick.
Es zeigt aber das die Watchguard dann tatsächlich wohl nicht als DNS Proxy arbeitet oder arbeiten kann. Das müsste das Handbuch klären !
Deshalb ist es dann so das du eine statische Weiterleitung in den Servern auf diese Provider DNS eintragen musst und dann die Clients in beiden Segmenten deinen jeweiligen Server als DNS eingetragen haben müssen.
Ein klassisches simples Standard DNS Szenario.
Besser also du liest wirklich nochmal die Doku wenn es schon an solchen simplen Dingen wie Port Forwarding scheitert. Besser wäre so oder so ein VPN Zugang statt Löcher in die Firewall zu bohren...aber egal, das ist eine andere Baustelle.
Bitte warten ..
Mitglied: jo-schua
22.06.2012 um 09:41 Uhr
Ich hatte ja geschrieben, das Sie DNS Server benötigt da sonst die Security Apps nicht bedient werden können.

Das mit den ISP DNS Einträgen habe ich schon erledigt und funktioniert wunderbar.

Du das ist das erste mal das ich vor einer Watchguard sitze und da heisst es wohl erstmal das System zu verstehen
Bitte warten ..
Mitglied: jo-schua
27.06.2012 um 17:22 Uhr
So in groben Zügen läuft die XTM schon mal.

Habe heute den Log Server installiert und das Logging auf ein paar Policy aktiviert.

Was mir aber bis jetzt nicht gelungen ist, auf der http-proxy Policy das so einzustellen das ich
auf dem LogServer bzw. Report sehe welche URL´s so extern besucht wurden.

Kann mir hier jemand ein paar Tips geben oder sagen was dafür gemacht werden muss.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Telekom Digitalisierungsbox mit WatchGuard Firewall (12)

Frage von demetz zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VPN-Server (Fritzbox) hinter Zyxel 5501 betreiben (7)

Frage von basti76nie zum Thema Router & Routing ...

Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

Windows Netzwerk
gelöst Alle Drucker in verschiedenen Netzen Abfragen (4)

Frage von ChrisIO zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...