Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 2 unterschiedliche Firewalls so einstellen dass der LAN-Bereich von FW1 auf den DMZ-Bereich der FW2 zugriff hat

Mitglied: littleAdm

littleAdm (Level 1) - Jetzt verbinden

06.11.2018, aktualisiert 14:15 Uhr, 447 Aufrufe, 13 Kommentare

Hallo liebe Administratoren.

Zur Grundlage:
Es bestehen zwei Firewalls verschiedener Standorte, zwischen beiden ist eine dauerhafte VPN eingerichtet, so dass beide LAN-Bereiche aufeinander zugriff haben.
Der Lan-Bereich der FW2 hat automatisch zugriff auf den DMZ-Bereich der FW2. Nun möchte ich das Ganze so einrichten dass auch der LAN-Bereich der FW1 zugriff auf den DMZ-Bereich der FW2 bekommt.

Verwendet wird in beiden Fällen eine XNetSolution Firewall.

Habe schon verschiedene Einstellungen ausprobiert, jedoch bisher ohne Erfolg. (Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten).

Ich bedanke mich schon jetzt bei allen, die mir dienliche Hinweise geben können.

Liebe Grüße

littleAdm
Mitglied: killtec
06.11.2018 um 14:39 Uhr
HI,
kennt denn die FW 1 eine Route in das DMZ der FW 2?

Gruß
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.11.2018, aktualisiert um 14:42 Uhr
Nun möchte ich das Ganze so einrichten dass auch der LAN-Bereich der FW1 zugriff auf den DMZ-Bereich der FW2 bekommt.
Im Grunde ist das kinderleicht.
Mit den entsprechenden Firewall Regeln an den Interface Ports ist das in max. 3 Minuten erledigt !
Habe schon verschiedene Einstellungen ausprobiert
Welche denn genau ? Oder müssen wir raten
Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten
Keine guten Voraussetzungen...
Es kommt auf dein Regelwerk drauf an.
Mal grob gesagt sind es die folgenden Schritte
  • LAN Port FW1 Source IP Netz mit Destination IP Netz FW2/DMZ muss hier passieren dürfen
  • Am VPN Interface FW2 inbound, müssen Pakete mit Source IP Netz LAN/FW1 und Destination DMZ/FW2 passieren können.
  • Am VPN Interface FW1 inbound, müssen Pakete mit Source IP Netz DMZ/FW2 und Destination LAN/FW1 passieren können.
  • DMZ Port FW2 Source IP Netz mit Destination IP Netz FW1/LAN muss hier passieren dürfen.
Das wäre mal das grobe Firewall Regelwerk.
Ist aber nur die halbe Miete....
Je nach verwendetem VPN Protokoll musst du die Routing Infos zum DMZ IP Netz an FW2 auch der anderen Seite bekannt machen.
Leider ist deine Beschreibung hier recht oberflächlich da du es nicht geschafft hast das verwendet VPN Protokoll zu nennen so das uns da auch wieder nur raten bleibt.
Bei IPsec wird das z.B. in den SA Phase 2 Credentials gemacht.
Bei OpenVPN macht man das mit einem push route xyz Kommando usw.
Auch hier leider zuwenig Infos für einen zielführende Hilfe.
Die Ausgabe der Routing Tabelle beider Firewalls wäre ebenfalls hilfreich hier.
Aber die 2 oben genannten Hauptpunkte solltest du checken: Regeln und VPN Routing.
Bitte warten ..
Mitglied: littleAdm
06.11.2018 um 14:42 Uhr
Danke für deinen Beitrag,

Wahrscheinlich nicht.
Wie trage ich eine Route für die FW1 zur DMZ FW2 ein?

Gruß
littleAdm
Bitte warten ..
Mitglied: aqui
06.11.2018, aktualisiert um 14:43 Uhr
Gar nicht !
Das machst du über die VPN Credentials...
Sieh dir das bei den Einstellungen zu den beiden LAN Netzen an. Das gilt analog auch für die DMZ Netze.
Bitte warten ..
Mitglied: ChriBo
LÖSUNG 06.11.2018 um 14:49 Uhr
Hallo,
mit deinen Angaben wird dir niemand konkret helfen können, es fehlen zuviele Infos: welche Art von VPN, welche Einstellungen sind gemacht worden, welche Regeln sind erstellt worden, was hat nicht funktioniert etc.
-
deshalb ganz grob:
Was wahrscheinlich eingerichtet ist:
(IPsec) VPN: Phase 1 zwischen FW1 und FW2 ist auf beiden Firewalls eingerichtet und OK.
(IPsec) VPN: Phase 2 LAN/FW1 <-> LAN/FW2 ist auf beiden Firewalls eingerichtet und OK.
Zugriffsregeln (in beide Richtungen) LAN1 <-> LAN2 sind auf beiden Firewalls eingerichtet und OK.

das was fehlt:
(IPsec) VPN: Phase 2 LAN/FW1 <-> DMZ/FW2 muß auf beiden Firewalls eingerichtet werden
Zugriffregeln von LAN/FW1 -> DMZ/FW2 müssen erstellt werden.
DMZ/FW2 -> LAN/FW1 sollte eine explizite deny all Regel erhalten.

Thats it
Bitte warten ..
Mitglied: Vision2015
06.11.2018 um 14:50 Uhr
Moin...

Habe schon verschiedene Einstellungen ausprobiert, jedoch bisher ohne Erfolg. (Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten).
warum machst du dann den Job?

in den Eigenschaften von deinem VPN stellst du natürlich auf beiden seiten ein, welche netzwerke ereicht werden sollen!
wie @aqui schon sagte... 3 min zeitaufwand

Frank
Bitte warten ..
Mitglied: littleAdm
06.11.2018, aktualisiert um 15:12 Uhr
Alles klar, so weiß ich zumindest mal, was benötigt wird, danke:

Die Tabelle (FW1):
-* * ---.----.----.---- ipsec0
-* * 192.168.1.0/24 ipsec0
-* * 192.168.7.0/24 ipsec0
-* * 192.168.8.0/24 192.168.8.2 ovpns0
-* * 192.168.8.2 ovpns0
-* * 192.168.18.0/24 ipsec0
-* * 192.168.19.0/24 eth0
-* * ---.---.---.--- eth1
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec0
-* * * ---.---.---.--- eth1

(Öffentliche IP-Adressen bewusst raus genommen)

Die Tabelle (FW2):

-* * ---.---.---.--- eth1
-* * 192.168.7.0/24 192.168.7.2 ovpns0
-* * 192.168.7.2 ovpns0
-* * 192.168.8.0/24 ipsec3
-* * 192.168.18.0/24 eth0
-* * 192.168.19.0/24 ipsec3
-* * 192.168.100.0/24 eth2
-* * 192.168.110.0/24 eth3
-* * 192.168.188.42 ipsec3
-* * 192.168.200.0/24 ipsec3
-* * ---.---.---.---.--- ipsec3
-* * ---.---.---.--- ipsec3
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec3
-* * * ---.---.---.--- eth1

ipsec ist die VPN-Verbindung

Versteh ich es richtig: ich müsste eine SNAT-Verbindung von eth3 zu ipsec3 einrichten?

Gruß
littleAdm
Bitte warten ..
Mitglied: Spirit-of-Eli
06.11.2018 um 15:07 Uhr
Sehr gut das wir jetzt die externen Adressen kennen.
Bitte warten ..
Mitglied: littleAdm
06.11.2018 um 15:42 Uhr
@Spirit-of-Eli: Danke für den Hinweis, hatte ich an zwei Stellen übersehen...

Habe jetzt auf FW2 eingerichtet:

Im Bereich eth0 (LAN): *>SX-Gate>eth0
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen

Im Bereich eth0 (LAN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping"

Im Bereich ipsec3 (VPN): *>SX-Gate>ipsec3
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen

Im Bereich ipsec3 (VPN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1 und mit dem NAT der IP der FW2
Als Protokoll ersteinmal nur "Ping"

Das gleiche in umgedrehter Reihenfolge auf der FW1

Danach einen Ping-Befehl abgesetzt, leider ohne Erfolg.
Bitte warten ..
Mitglied: Spirit-of-Eli
LÖSUNG 06.11.2018 um 16:11 Uhr
Du brauchst kein SNAT.
Es muss, wie oben schon steht, nur Durch die Tunnel geroutet werden.

Das wurde aber alles schon erwähnt.
Bitte warten ..
Mitglied: littleAdm
06.11.2018 um 16:52 Uhr
Ich bedanke mich bei allen, die sich bemüht haben mir zu helfen und auch ein gewisses Maß an Geduld mitgebracht haben.

Warum ich das überhaupt mache wurde noch gefragt:
Ich mache eigentlich ganz andere Sachen, jedoch wurde dies im Zuge einer meiner anderen Tätigkeiten nötig, darum mache ich das. Normalerweise hab ich eher weniger mit der FW zu tun, konnte aber in diesem speziellen Fall nicht auf das Fachwissen meines Kollegen zugreifen und musste mir selbst weiter helfen.

Das Routing durch die Tunnel war der fehlende Hinweis, das hatte noch gefehlt.

Danke noch mal

gruß
littleAdm
Bitte warten ..
Mitglied: Campino86
06.11.2018, aktualisiert 07.11.2018
Hallo,

erstmal herzlichen Glückwunsch, dass es funktioniert.

Ich gebe dir nur mal als Tip, eine Firewall die in einer aktiven Umgebung steht, ist keine Spielwiese, zum einen kannst du dich natürlich komplett selbst aussperren und was noch schlimmer ist, du hast wie oben geschrieben, alle möglichen Einstellungen ausprobiert, ohne Erfolg. Dabei ist der fehelende Punkt ja wie mehrfach beschrieben, mit entsprechendem Wissen sehr logisch. Daher läufst du einfach Gefahr, dass es nun zwar läuft was du möchtest, du weisst aber vermutlich nicht, was du durch deine Spielerei noch alles verändert / freigeschalten hast.

Bsp:

Rechner von ext. Ip x.x.x.x, soll auf interenen Server y.y.y.y zugreifen können.
Du machst einfach any <----> any und es funktioniert, da alles andere was du getestet hast ja nicht ging.

Erster Gedanke super, später mal Ooooo, da noch viel mehr geht.

Daher der kleine Rat, wenn kein großes Know-How im Haus, im Security Bereich ext. Dienstleister holen, diesen machen lassen und sich dabei das ganze erklären lassen. 2 Fliegen mit 1 Klappe ( a ) das ganze funktioniert richtg, 2 der Mitarbeiter hat was gelernt und kann es das nächste mal selbst. )
Für solche Fälle, werden ja auch keine rießen Summen fällig und die sollten es jedem Unternehmer Wert sein, seine Daten und damit sein Unternehmen zu schützen.


P.s. Markiere doch bitte die Frage als gelöst und den entsprechenden Beitrag.
Bitte warten ..
Mitglied: aqui
07.11.2018, aktualisiert um 11:40 Uhr
Absolut richtig ! Die Route hätte auch nicht nötig getan wenn man die SA Credentials richtig eingetragen hätte, was vermutlich nicht passiert ist...ein Stück Unsicherheit mehr in der FW.
Jetzt mal geraten das die FW das VPN mit dem IPsec Protokoll realisiert wie vielfach üblich....
Case closed..
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

IP-Bereich vergrößern und DHCP-Bereich verlagern

gelöst Frage von knallsterNetzwerkgrundlagen11 Kommentare

Hallo zusammen, ich habe hier momentan ein 172.16.1.0/24-Netz, allerdings werden die Adressen langsam knapp. Meine Idee ist jetzt, auf ...

Microsoft Office

Bereich mit variablen Bereich in einer anderen Tabelle

gelöst Frage von mreskeMicrosoft Office7 Kommentare

Hallo ich stehe gerade mit folgendem Problem auf dem Schlauch und hoffe, jemand hat eine Idee: Ich möchte die ...

Firewall

Suche Hardware-Firewall im privaten Bereich von Sophos

gelöst Frage von Stefan007Firewall7 Kommentare

Hi Leute, gibt es hier jemanden, der Ahnung von SOPHOS hat und mir ggf.ein Modell empfehlen könnte für den ...

Switche und Hubs

Netzwerk-Erweiterung mit 2.IP-Bereich und IP-Bereich für VOIP mit HP2530-Stack

gelöst Frage von Quincy25Switche und Hubs2 Kommentare

Hallo Zusammen, wir haben in unserem Netzwerk folgende Konstellation: Netzwerk-Bereich-1: 10.125.149.0/24 Netzwerk-Bereich-2: 10.125.176.0/24 Netzwerk-Bereich VOIP: 10.125.177.0/24 und einen HP-Stack mit 7 Switches ...

Neue Wissensbeiträge
Humor (lol)
Und wie seid Ihr gegen Cyberattacken gewappnet?
Information von DerWoWusste vor 1 TagHumor (lol)5 Kommentare

aber wo ist der Hammer? :-)

Sicherheit
Ein weiterer Microsoft-Stirnklatscher
Information von DerWoWusste vor 2 TagenSicherheit7 Kommentare

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist. Es ...

Windows 10
Upgradepfade Windows 10 LTSC
Erfahrungsbericht von Datenreise vor 2 TagenWindows 10

Nur eine kurze Info, für diejenigen, die es interessiert, da es hierzu im Netz aus nachvollziehbaren Gründen nicht allzu ...

Administrator.de Feedback
Wartungsarbeiten heute Nacht (Update)
Information von Frank vor 2 TagenAdministrator.de Feedback10 Kommentare

Hallo User, durch Umbauarbeiten in unserem Rechenzentrum (am Backbone) kann es heute Nacht (14-15.01.2019) zu kurzen Ausfällen unserer Seite ...

Heiß diskutierte Inhalte
Microsoft
SFirm 4.0 auf Terminalserver startet für jeden angemeldeten Benutzer diverse Dienste
Frage von Frank84Microsoft25 Kommentare

Hallo zusammen, wir verwenden Sfirm 4.0 auf einem Terminalserver (der SQL Server ist auf einem separaten Server), das Problem ...

Windows 10
Windows 10 - kein Boot mehr nach Domänenaustritt
gelöst Frage von Ghost108Windows 1025 Kommentare

Hallo zusammen, habe hier eine Windows 10 Maschine, die ich gerne aus der Domäne austreten lassen möchte. Nach Austritt ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...

Internet
Google-Suchergebnisse, Schnelleinblendung, woher kommt der Inhalt?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Ich bin der Systembetreuer einer kleinen Gemeinde in Süddeutschland. Wir betreiben auch eine Leihbücherei. Eine Kundin hat letzten ...