13
2 unterschiedliche Firewalls so einstellen dass der LAN-Bereich von FW1 auf den DMZ-Bereich der FW2 zugriff hat
Hallo liebe Administratoren.
Zur Grundlage:
Es bestehen zwei Firewalls verschiedener Standorte, zwischen beiden ist eine dauerhafte VPN eingerichtet, so dass beide LAN-Bereiche aufeinander zugriff haben.
Der Lan-Bereich der FW2 hat automatisch zugriff auf den DMZ-Bereich der FW2. Nun möchte ich das Ganze so einrichten dass auch der LAN-Bereich der FW1 zugriff auf den DMZ-Bereich der FW2 bekommt.
Verwendet wird in beiden Fällen eine XNetSolution Firewall.
Habe schon verschiedene Einstellungen ausprobiert, jedoch bisher ohne Erfolg. (Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten).
Ich bedanke mich schon jetzt bei allen, die mir dienliche Hinweise geben können.
Liebe Grüße
littleAdm
Zur Grundlage:
Es bestehen zwei Firewalls verschiedener Standorte, zwischen beiden ist eine dauerhafte VPN eingerichtet, so dass beide LAN-Bereiche aufeinander zugriff haben.
Der Lan-Bereich der FW2 hat automatisch zugriff auf den DMZ-Bereich der FW2. Nun möchte ich das Ganze so einrichten dass auch der LAN-Bereich der FW1 zugriff auf den DMZ-Bereich der FW2 bekommt.
Verwendet wird in beiden Fällen eine XNetSolution Firewall.
Habe schon verschiedene Einstellungen ausprobiert, jedoch bisher ohne Erfolg. (Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten).
Ich bedanke mich schon jetzt bei allen, die mir dienliche Hinweise geben können.
Liebe Grüße
littleAdm
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 391792
Url: https://administrator.de/forum/2-unterschiedliche-firewalls-so-einstellen-dass-der-lan-bereich-von-fw1-auf-den-dmz-bereich-der-fw2-zugriff-391792.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
13 Kommentare
Neuester Kommentar
HI,
kennt denn die FW 1 eine Route in das DMZ der FW 2?
Gruß
kennt denn die FW 1 eine Route in das DMZ der FW 2?
Gruß
Nun möchte ich das Ganze so einrichten dass auch der LAN-Bereich der FW1 zugriff auf den DMZ-Bereich der FW2 bekommt.
Im Grunde ist das kinderleicht.Mit den entsprechenden Firewall Regeln an den Interface Ports ist das in max. 3 Minuten erledigt !
Habe schon verschiedene Einstellungen ausprobiert
Welche denn genau ? Oder müssen wir raten 
Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten
Keine guten Voraussetzungen... Es kommt auf dein Regelwerk drauf an.
Mal grob gesagt sind es die folgenden Schritte
- LAN Port FW1 Source IP Netz mit Destination IP Netz FW2/DMZ muss hier passieren dürfen
- Am VPN Interface FW2 inbound, müssen Pakete mit Source IP Netz LAN/FW1 und Destination DMZ/FW2 passieren können.
- Am VPN Interface FW1 inbound, müssen Pakete mit Source IP Netz DMZ/FW2 und Destination LAN/FW1 passieren können.
- DMZ Port FW2 Source IP Netz mit Destination IP Netz FW1/LAN muss hier passieren dürfen.
Ist aber nur die halbe Miete....
Je nach verwendetem VPN Protokoll musst du die Routing Infos zum DMZ IP Netz an FW2 auch der anderen Seite bekannt machen.
Leider ist deine Beschreibung hier recht oberflächlich da du es nicht geschafft hast das verwendet VPN Protokoll zu nennen so das uns da auch wieder nur raten bleibt.
Bei IPsec wird das z.B. in den SA Phase 2 Credentials gemacht.
Bei OpenVPN macht man das mit einem push route xyz Kommando usw.
Auch hier leider zuwenig Infos für einen zielführende Hilfe.
Die Ausgabe der Routing Tabelle beider Firewalls wäre ebenfalls hilfreich hier.
Aber die 2 oben genannten Hauptpunkte solltest du checken: Regeln und VPN Routing.
Danke für deinen Beitrag,
Wahrscheinlich nicht.
Wie trage ich eine Route für die FW1 zur DMZ FW2 ein?
Gruß
littleAdm
Wahrscheinlich nicht.
Wie trage ich eine Route für die FW1 zur DMZ FW2 ein?
Gruß
littleAdm
Gar nicht !
Das machst du über die VPN Credentials...
Sieh dir das bei den Einstellungen zu den beiden LAN Netzen an. Das gilt analog auch für die DMZ Netze.
Das machst du über die VPN Credentials...
Sieh dir das bei den Einstellungen zu den beiden LAN Netzen an. Das gilt analog auch für die DMZ Netze.
Hallo,
mit deinen Angaben wird dir niemand konkret helfen können, es fehlen zuviele Infos: welche Art von VPN, welche Einstellungen sind gemacht worden, welche Regeln sind erstellt worden, was hat nicht funktioniert etc.
-
deshalb ganz grob:
Was wahrscheinlich eingerichtet ist:
(IPsec) VPN: Phase 1 zwischen FW1 und FW2 ist auf beiden Firewalls eingerichtet und OK.
(IPsec) VPN: Phase 2 LAN/FW1 <-> LAN/FW2 ist auf beiden Firewalls eingerichtet und OK.
Zugriffsregeln (in beide Richtungen) LAN1 <-> LAN2 sind auf beiden Firewalls eingerichtet und OK.
das was fehlt:
(IPsec) VPN: Phase 2 LAN/FW1 <-> DMZ/FW2 muß auf beiden Firewalls eingerichtet werden
Zugriffregeln von LAN/FW1 -> DMZ/FW2 müssen erstellt werden.
DMZ/FW2 -> LAN/FW1 sollte eine explizite deny all Regel erhalten.
Thats it
mit deinen Angaben wird dir niemand konkret helfen können, es fehlen zuviele Infos: welche Art von VPN, welche Einstellungen sind gemacht worden, welche Regeln sind erstellt worden, was hat nicht funktioniert etc.
-
deshalb ganz grob:
Was wahrscheinlich eingerichtet ist:
(IPsec) VPN: Phase 1 zwischen FW1 und FW2 ist auf beiden Firewalls eingerichtet und OK.
(IPsec) VPN: Phase 2 LAN/FW1 <-> LAN/FW2 ist auf beiden Firewalls eingerichtet und OK.
Zugriffsregeln (in beide Richtungen) LAN1 <-> LAN2 sind auf beiden Firewalls eingerichtet und OK.
das was fehlt:
(IPsec) VPN: Phase 2 LAN/FW1 <-> DMZ/FW2 muß auf beiden Firewalls eingerichtet werden
Zugriffregeln von LAN/FW1 -> DMZ/FW2 müssen erstellt werden.
DMZ/FW2 -> LAN/FW1 sollte eine explizite deny all Regel erhalten.
Thats it
Moin...
in den Eigenschaften von deinem VPN stellst du natürlich auf beiden seiten ein, welche netzwerke ereicht werden sollen!
wie @aqui schon sagte... 3 min zeitaufwand
Frank
Habe schon verschiedene Einstellungen ausprobiert, jedoch bisher ohne Erfolg. (Muss aber auch sagen dass meine Kenntnisse über Firewalls sich in Grenzen halten).
warum machst du dann den Job?in den Eigenschaften von deinem VPN stellst du natürlich auf beiden seiten ein, welche netzwerke ereicht werden sollen!
wie @aqui schon sagte... 3 min zeitaufwand
Frank
Alles klar, so weiß ich zumindest mal, was benötigt wird, danke:
Die Tabelle (FW1):
-* * ---.----.----.---- ipsec0
-* * 192.168.1.0/24 ipsec0
-* * 192.168.7.0/24 ipsec0
-* * 192.168.8.0/24 192.168.8.2 ovpns0
-* * 192.168.8.2 ovpns0
-* * 192.168.18.0/24 ipsec0
-* * 192.168.19.0/24 eth0
-* * ---.---.---.--- eth1
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec0
-* * * ---.---.---.--- eth1
(Öffentliche IP-Adressen bewusst raus genommen)
Die Tabelle (FW2):
-* * ---.---.---.--- eth1
-* * 192.168.7.0/24 192.168.7.2 ovpns0
-* * 192.168.7.2 ovpns0
-* * 192.168.8.0/24 ipsec3
-* * 192.168.18.0/24 eth0
-* * 192.168.19.0/24 ipsec3
-* * 192.168.100.0/24 eth2
-* * 192.168.110.0/24 eth3
-* * 192.168.188.42 ipsec3
-* * 192.168.200.0/24 ipsec3
-* * ---.---.---.---.--- ipsec3
-* * ---.---.---.--- ipsec3
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec3
-* * * ---.---.---.--- eth1
ipsec ist die VPN-Verbindung
Versteh ich es richtig: ich müsste eine SNAT-Verbindung von eth3 zu ipsec3 einrichten?
Gruß
littleAdm
Die Tabelle (FW1):
-* * ---.----.----.---- ipsec0
-* * 192.168.1.0/24 ipsec0
-* * 192.168.7.0/24 ipsec0
-* * 192.168.8.0/24 192.168.8.2 ovpns0
-* * 192.168.8.2 ovpns0
-* * 192.168.18.0/24 ipsec0
-* * 192.168.19.0/24 eth0
-* * ---.---.---.--- eth1
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec0
-* * * ---.---.---.--- eth1
(Öffentliche IP-Adressen bewusst raus genommen)
Die Tabelle (FW2):
-* * ---.---.---.--- eth1
-* * 192.168.7.0/24 192.168.7.2 ovpns0
-* * 192.168.7.2 ovpns0
-* * 192.168.8.0/24 ipsec3
-* * 192.168.18.0/24 eth0
-* * 192.168.19.0/24 ipsec3
-* * 192.168.100.0/24 eth2
-* * 192.168.110.0/24 eth3
-* * 192.168.188.42 ipsec3
-* * 192.168.200.0/24 ipsec3
-* * ---.---.---.---.--- ipsec3
-* * ---.---.---.--- ipsec3
-* * 255.255.255.255 eth0
-* * fe80::/64 ipsec3
-* * * ---.---.---.--- eth1
ipsec ist die VPN-Verbindung
Versteh ich es richtig: ich müsste eine SNAT-Verbindung von eth3 zu ipsec3 einrichten?
Gruß
littleAdm
Sehr gut das wir jetzt die externen Adressen kennen.
@Spirit-of-Eli: Danke für den Hinweis, hatte ich an zwei Stellen übersehen...
Habe jetzt auf FW2 eingerichtet:
Im Bereich eth0 (LAN): *>SX-Gate>eth0
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen
Im Bereich eth0 (LAN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping"
Im Bereich ipsec3 (VPN): *>SX-Gate>ipsec3
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen
Im Bereich ipsec3 (VPN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1 und mit dem NAT der IP der FW2
Als Protokoll ersteinmal nur "Ping"
Das gleiche in umgedrehter Reihenfolge auf der FW1
Danach einen Ping-Befehl abgesetzt, leider ohne Erfolg.
Habe jetzt auf FW2 eingerichtet:
Im Bereich eth0 (LAN): *>SX-Gate>eth0
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen
Im Bereich eth0 (LAN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping"
Im Bereich ipsec3 (VPN): *>SX-Gate>ipsec3
Als Quell-IP habe ich die des Gerätes in der DMZ gewählt, mit Ziel-IP ein spezifisches Gerät im LAN-Bereich der FW1
Als Protokoll ersteinmal nur "Ping" um es zu testen
Im Bereich ipsec3 (VPN): *>SNAT
Als Quell-IP wiederum das Gerät aus der DMZ mit Ziel wiederum ein spezifisches aus dem LAN-Bereich der FW1 und mit dem NAT der IP der FW2
Als Protokoll ersteinmal nur "Ping"
Das gleiche in umgedrehter Reihenfolge auf der FW1
Danach einen Ping-Befehl abgesetzt, leider ohne Erfolg.
Du brauchst kein SNAT.
Es muss, wie oben schon steht, nur Durch die Tunnel geroutet werden.
Das wurde aber alles schon erwähnt.
Es muss, wie oben schon steht, nur Durch die Tunnel geroutet werden.
Das wurde aber alles schon erwähnt.
Ich bedanke mich bei allen, die sich bemüht haben mir zu helfen und auch ein gewisses Maß an Geduld mitgebracht haben.
Warum ich das überhaupt mache wurde noch gefragt:
Ich mache eigentlich ganz andere Sachen, jedoch wurde dies im Zuge einer meiner anderen Tätigkeiten nötig, darum mache ich das. Normalerweise hab ich eher weniger mit der FW zu tun, konnte aber in diesem speziellen Fall nicht auf das Fachwissen meines Kollegen zugreifen und musste mir selbst weiter helfen.
Das Routing durch die Tunnel war der fehlende Hinweis, das hatte noch gefehlt.
Danke noch mal
gruß
littleAdm
Warum ich das überhaupt mache wurde noch gefragt:
Ich mache eigentlich ganz andere Sachen, jedoch wurde dies im Zuge einer meiner anderen Tätigkeiten nötig, darum mache ich das. Normalerweise hab ich eher weniger mit der FW zu tun, konnte aber in diesem speziellen Fall nicht auf das Fachwissen meines Kollegen zugreifen und musste mir selbst weiter helfen.
Das Routing durch die Tunnel war der fehlende Hinweis, das hatte noch gefehlt.
Danke noch mal
gruß
littleAdm
Hallo,
erstmal herzlichen Glückwunsch, dass es funktioniert.
Ich gebe dir nur mal als Tip, eine Firewall die in einer aktiven Umgebung steht, ist keine Spielwiese, zum einen kannst du dich natürlich komplett selbst aussperren und was noch schlimmer ist, du hast wie oben geschrieben, alle möglichen Einstellungen ausprobiert, ohne Erfolg. Dabei ist der fehelende Punkt ja wie mehrfach beschrieben, mit entsprechendem Wissen sehr logisch. Daher läufst du einfach Gefahr, dass es nun zwar läuft was du möchtest, du weisst aber vermutlich nicht, was du durch deine Spielerei noch alles verändert / freigeschalten hast.
Bsp:
Rechner von ext. Ip x.x.x.x, soll auf interenen Server y.y.y.y zugreifen können.
Du machst einfach any <----> any und es funktioniert, da alles andere was du getestet hast ja nicht ging.
Erster Gedanke super, später mal Ooooo, da noch viel mehr geht.
Daher der kleine Rat, wenn kein großes Know-How im Haus, im Security Bereich ext. Dienstleister holen, diesen machen lassen und sich dabei das ganze erklären lassen. 2 Fliegen mit 1 Klappe ( a ) das ganze funktioniert richtg, 2 der Mitarbeiter hat was gelernt und kann es das nächste mal selbst. )
Für solche Fälle, werden ja auch keine rießen Summen fällig und die sollten es jedem Unternehmer Wert sein, seine Daten und damit sein Unternehmen zu schützen.
P.s. Markiere doch bitte die Frage als gelöst und den entsprechenden Beitrag.
erstmal herzlichen Glückwunsch, dass es funktioniert.
Ich gebe dir nur mal als Tip, eine Firewall die in einer aktiven Umgebung steht, ist keine Spielwiese, zum einen kannst du dich natürlich komplett selbst aussperren und was noch schlimmer ist, du hast wie oben geschrieben, alle möglichen Einstellungen ausprobiert, ohne Erfolg. Dabei ist der fehelende Punkt ja wie mehrfach beschrieben, mit entsprechendem Wissen sehr logisch. Daher läufst du einfach Gefahr, dass es nun zwar läuft was du möchtest, du weisst aber vermutlich nicht, was du durch deine Spielerei noch alles verändert / freigeschalten hast.
Bsp:
Rechner von ext. Ip x.x.x.x, soll auf interenen Server y.y.y.y zugreifen können.
Du machst einfach any <----> any und es funktioniert, da alles andere was du getestet hast ja nicht ging.
Erster Gedanke super, später mal Ooooo, da noch viel mehr geht.
Daher der kleine Rat, wenn kein großes Know-How im Haus, im Security Bereich ext. Dienstleister holen, diesen machen lassen und sich dabei das ganze erklären lassen. 2 Fliegen mit 1 Klappe ( a ) das ganze funktioniert richtg, 2 der Mitarbeiter hat was gelernt und kann es das nächste mal selbst. )
Für solche Fälle, werden ja auch keine rießen Summen fällig und die sollten es jedem Unternehmer Wert sein, seine Daten und damit sein Unternehmen zu schützen.
P.s. Markiere doch bitte die Frage als gelöst und den entsprechenden Beitrag.
Absolut richtig ! Die Route hätte auch nicht nötig getan wenn man die SA Credentials richtig eingetragen hätte, was vermutlich nicht passiert ist...ein Stück Unsicherheit mehr in der FW.
Jetzt mal geraten das die FW das VPN mit dem IPsec Protokoll realisiert wie vielfach üblich....
Case closed..
Jetzt mal geraten das die FW das VPN mit dem IPsec Protokoll realisiert wie vielfach üblich....
Case closed..
