Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Firewall

GELÖST

Zyxel USG60W - DHCP Problem mit Regel

Mitglied: Henere

Henere (Level 2) - Jetzt verbinden

13.01.2018 um 16:33 Uhr, 282 Aufrufe, 7 Kommentare, 1 Danke

Servus zusammen,

ich habe gestern das erste Mal eine Zyxel USG60W in Betrieb genommen. An einem Glasfaseranschluss der dt. Glasfaser.
Das Problem ist, ich muss an Wan1 oder Wan2 per DHCP eine IP von deren NT beziehen. Feste IP funktioniert nicht. Warum auch immer.
Dies ist an den Firewallregeln gescheitert. Der DHCP-Req ging raus, aber den Reply hat er geblockt.
Nun habe ich eine Regel erstellt, dass Any auf die Zyxel erlaubt ist, damit das Internet dort funktioniert.
Aber wohl fühle ich mich nicht dabei.
Wenn ich PPPOE nutze, dann hat die Box kein Problem sich dort eine IP zu holen. Auch ohne weitere Regel.
Wie löse ich das am schnellsten ?
Einzige Idee:
Als Source deren DHCP-Server freigeben - Ich traue den Brüdern von der dt. Glasfaser nicht, wenn die DHCP-Server-IP sich ändert, dann ist Internet dunkel.

Wie habt ihr das gelöst ? Oder besser, wie kann ich das lösen ?

Grüße, Henere
Mitglied: transocean
13.01.2018 um 16:49 Uhr
Moin Henere,

bei der USG 60W kannst Du doch den Einrichtungsassi laufen lassen, der die Verbindung zum WAN herstellt. Wenn Du dort DHCP auswählst, könnte es klappen.

Gruß

Uwe
Bitte warten ..
Mitglied: Henere
13.01.2018 um 16:59 Uhr
Mir wurde von meinem "Trainer" abgeraten den Assi zu benutzen. Daher habe ich darauf verzichtet.
Nun steht das Ding 220km weiter, ich komme nur per Umwege von hinten (VPN noch über alte 2MBit/s Leitung) an die Büchse dran.
Wenn ich die mit dem Assi jetzt abschiesse, habe ich ein Problem.

Das ist so ähnlich, wenn wenn man die FW 4.30 aufspielt, und als Standby noch die 4.11 läuft. Wenn man dann die Standby von 4.11 (Auslieferungszustand) auf 4.20 anhebt, dann bootet er neu mit der Standny-FW und will die 4.30er Cond lesen...... Tot ist die Büchse.....
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.01.2018, aktualisiert um 17:08 Uhr
Mir wurde von meinem "Trainer" abgeraten den Assi zu benutzen.
Hat er auch nicht ganz Unrecht, denn die konfigurieren oft automatisierten (DAU) Blödsinn den man keinesfalls haben will ! (Sicherheit !)
Der DHCP-Req ging raus, aber den Reply hat er geblockt.
Vermutlich hast du die falsche Firewall Regel am WAN Port konfiguriert !! Dort wird in Regel im Default ALLES inbound blockiert !
Die Firewall sendet am WAN Port wenn sie dort als DHCP Client definiert ist einen DHCP Request mit UDP-Quellport 68 und UDP-Zielport 67 als All Net Broadcast raus (Zieladresse 255.255.255.255, Absender IP 0.0.0.0). Dann antwortet der Provider Server mit einem DHCP Offer mit UDP-Quellport 67 und UDP-Zielport 68 entweder auch als Broadcast oder als Unicast auf die Mac Adresse.

Wenn du am WAN Port dann keine gültige Inbound Firewall Regel konfiguriert hast die any any mit UDP Zielport 68 auf das WAN Interface erlaubt bleiben die DHCP Pakete des Providers logischerweise an der Firewall hängen. Sie macht also genau das was sie soll.
Siehe auch hier:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
Mit der richtigen Firewall Regel die DHCP Offers passieren lässt sollte das sofort klappen !
Tot ist die Büchse.....
pfSense Firewall beschaffen, damit passiert sowas nicht
Bitte warten ..
Mitglied: Henere
13.01.2018 um 17:39 Uhr
Danke Dir. Die Auswahl der Hardware lag nicht an mir. Muss das nehmen was da ist.
Ich komme ja aus der Checkpoint-Welt, muss mich mit dem Zyxel ein wenig umgewöhnen.
Schön wäre es ja, wenn man ein WAN-IF auf DHCP stellt, dass er die Regel gleich mit anlegt. Aber man kann nicht alles haben.

Ich habe jetzt mal angelegt:

dhcp1 - Klicke auf das Bild, um es zu vergrößern

dhcp2 - Klicke auf das Bild, um es zu vergrößern

So sollte ich mich trauen können, die Büchse zu rebooten ?

Grüße, Henere
Bitte warten ..
Mitglied: Henere
13.01.2018 um 17:56 Uhr
Sie hat den Reboot überlebt und ist wieder erreichbar. Danke für die Hilfe, hätte ich eigentlich selbst drauf kommen können SIC!
Bitte warten ..
Mitglied: sk
14.01.2018, aktualisiert um 08:58 Uhr
Zitat von Henere:
Schön wäre es ja, wenn man ein WAN-IF auf DHCP stellt, dass er die Regel gleich mit anlegt. Aber man kann nicht alles haben.

Es wird aber keine statische Regel benötigt, denn das erledigt das Connection-Tracking! Letzteres sorgt dafür, dass Traffic zur Zywall, welcher lediglich eine Antwort auf solchen Traffic darstellt, der von der Zywall selbst initiiert wurde, dynamisch zugelassen wird. Bei UDP muss die Zywall hierfür natürlich ein paar Tricks und Annahmen anwenden, denn anders als bei TCP gibt es ja bei UDP bezogen auf diesen Layer eigentlich keinen Verbindungsstatus.

Wenn eine statische Regel in Deinem Einsatzszenario das Problem reproduzierbar behebt (was ich noch nicht glaube - mach mal die Gegenprobe), dann ist etwas faul!
Entweder hat sich in der von Dir verwendeten Firmware-Version ein Bug eingeschlichen oder es liegen hier atypische Bedingungen vor, welche dazu führen, dass die Antwort(en) des/der DHCP-Server nicht der Anfrage durch die Zywall zugeordnet werden können. Denkbar wäre etwa, dass die Antworten so verzögert kommen, dass das konfigurierte UDP-Connectiontimeout überschritten wird.

Mach also bitte mal einen Gegentest und wenn das Problem und der Lösungsweg reproduzierbar sind, dann bitte einen Trafficmitschnitt zwecks genauer Analyse (Menüpunkt Capture unter Maintenance).

Gruß
sk
Bitte warten ..
Mitglied: Henere
14.01.2018 um 14:09 Uhr
Servus, die Gegenprobe hatte ich ja. Bis zum einfügen dieser Regel hat die USG nachweislich keine IP bekommen. Erst wenn die Regel aktiv war, bekam sie auf Wan1 die IP zugewiesen.

Es ist die 4.30(AAKZ.0) 2017-11-28 06:20:56

Wenn das Problem in der FW wäre, hätte das nicht mittlerweile seit November jemandem auffallen müssen ? Bin ja wohl nicht der einzige der die USG als DHCP-Client betreibt.

Ich weiß auch nicht, was die deutsche Glasfaser da treibt, denn wenn ich die IP static eingebe, dann bekomme ich auch keine Verbindung. IP, Mask und GW kann ich ja auslesen, nach der Zuweisung.

Im Moment funktioniert es ja so. Ich kann das remote nicht nachvollziehen, denn dann komme ich nicht mehr dran. Das kann ich wenn dann nur vor Ort machen. Aber ich denke aus security-Gründen kann UDP68 auf die USG nicht wirklich Schaden anrichten. Auch wenn es von any kommt. Oder Denkfehler ?

Grüße, Henere
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Probleme mit Zyxel DHCP
Frage von KauzigRouter & Routing18 Kommentare

Liebe Community, ich muss in meiner Firma ein Netzwerk aufbauen und bin ehrlich gesagt nicht der Erfahrenste auf diesem ...

LAN, WAN, Wireless
ZyXel N4100 Problem mit Repeaterbetrieb
gelöst Frage von Fruitking3000LAN, WAN, Wireless7 Kommentare

Hallo, wir betreiben seit einiger Zeit ein Zyxel N4100 Hotspot Gateway. An den LAN Ports hängen 3 AP's. Ein ...

LAN, WAN, Wireless
Problem mit WAN Port der ZyXEL UAG4100
Frage von heldnyLAN, WAN, Wireless5 Kommentare

Hallo zusammen! Habe ein kleines Netzwerk mit der UAG4100 und einem GS1900 Switch aufgebaut. Wenn ich am WAN Port ...

LAN, WAN, Wireless
Zyxel gs1900 Vlan Konfig Problem
Frage von Vetinari666LAN, WAN, Wireless7 Kommentare

Hallo zusammen, Ich habe einen Zyxel gs1900-24Hp in Betrieb und wollte ein Zusätzliches Vlan für den Wlan Gastzugang einrichten. ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen7 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...