joergberlin
Goto Top

DMZ der m0n0wall keine Netwerkverbindung verfügbar

Wir haben einen Monowallrouter mit 3 Netzwerkkarten. Diese wurden von der m0n0wall erkannt und sind konfiguriert als LAN; WAN; DMZ. Alles funktioniert außer die DMZ. Ich kann vom Rechner in der DMZ keinen ping zur m0n0wall oder von der m0n0wall zum Client absetzen.

Die Konfiguration der m0n0wall:

LAN: 192.168.100.100
WAN: PPPoE
DMZ: 192.168.200.1

System: General setup

Domain: xy.intern

Die Kofiguration Client (Win7):

IP-Adress: 192.168.200.2
Subnetmaske: 255.255.255.0
Standardgateway: 192.168.200.1

Arbeitsgruppe: WORKGROUP

Der Clien ist direkt an der DMZ-Schnittstelle. Die LED´s der LAN-Karten leuchten grün.

Ich habe nach dieser Anleitung gearbeitet: http://doc.m0n0.ch/handbook/examples.html#id11643435

Der Client soll aus der DMZ über die m0n0wall ins Inernet zugreifen.

Ich kann kein Ping vom Cient (IP: 192.168.200.2) auf die m0n0wall Schnittstelle DMZ (IP: 192.168.200.1) und umgekert absetzen.
Wie beschrieben sind die Geräte direkt verbunden und der Clint hat, als er noch mit anderer Konfiguration im LAN war, funktioniert.
Kann es sein, da die m0n0wall und der Client sich nicht in der gleichen Domäne/Arbeitsgruppe befinden, zu dieser Störung kommen.
Als der Client noch im LAN war hat er funktioniert und hatte sich auch in der WORKGROUP befunden.

Ich wäre für jeden Tipp dankbar.

Content-ID: 197239

Url: https://administrator.de/contentid/197239

Ausgedruckt am: 26.11.2024 um 12:11 Uhr

aqui
aqui 18.01.2013 aktualisiert um 15:12:25 Uhr
Goto Top
Dir ist klar das alle Ports außer dem default LAN Port keinerlei FW Regeln definiert haben ??
Das bedeutet das an diesem Port dann ALLES verboten ist !
Du scheiterst also vermutlich schlicht und einfach an nicht eingestellten Firewall Regeln ! Vergiss nie das bei einer Firewall immer alles verboten ist was nicht explizit erlaubt ist !!
Du musst also für den DMZ Port entsprechende Regeln erstellen damit diese Pakete durchkommen !
Für Ping ist das z.B. das ICMP Protokoll oder alternativ musst du eine "Scheunentor" Firewall Regel erstellen wie die am LAN Port wo du sie dir abgucken kannst !
Weitere Infos dazu findest du in diesen Tutorials hier im Forum:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
JoergBerlin
JoergBerlin 21.01.2013 um 11:37:24 Uhr
Goto Top
Danke für die schnelle Antwort. Ich habe jetzt ein paar Rules erstellt und die beiden Geräte, m0n0wall und
der Client, können sich jetzt anpingen.
Auf dem win7 Clint wird jetzt auch ein Netzwerk angezeigt. Jedoch steht das Internet nicht zur Verfügung.
Wie kann ich es jetzt erreichen, dass ich aus der DMZ ins WAN komme. Alle Rechner im LAN habe Internet.
Hier eine Regelübersicht:

DMZ:
TCP DMZ net * * 80 DMZ->HTTP Outbound WAN

TCP DMZ net * * 443 DMZ->HTTPS Outbound WAN

TCP DMZ net * !LAN net * DMZ nicht ins LAN

ICMP DMZ net * DMZ net * ping erlauben

UDP DMZ net 53(DNS) * 53(dns) DNS erlauben


Im Netwerkfreigabecenter auf dem win7 Client:

Client----Netzerk---x---Internet

Fehlermeldung: DNS-Server nicht verfügbar
Muss ich noch NAT einstellen?

Grüße aus Berlin
aqui
aqui 21.01.2013 um 13:22:25 Uhr
Goto Top
Nein, NAT ist immer aktiviert Richtung Internet !!
Wie bereits mehrfach darauf hingewiesen hast du nicht auf die Reihenfolge geachtet !!
Bedenke das bei den Regeln immer der erste passende regelsatz bewirkt das die restlichen nicht mehr abgearbeitet werden !
Folgendermassen solltest du die Regeln umstellen (kann man rechts über die Buttons verschieben:

Regelset DMZ Interface:

IP DMZ net * !LAN net * DMZ verbieten ins LAN (IP hier und nicht nur TCP sonst kann UDP trotzdem durch!!)

UDP DMZ net 53(DNS) * 53(dns) DNS erlauben

TCP DMZ net * * TCP 80 DMZ->HTTP Outbound WAN erlauben

TCP DMZ net * * TCP 443 DMZ->HTTPS Outbound WAN erlauben

ICMP DMZ net * DMZ net * ping erlauben (Regel ist Blödsinn hier, denn im eigenen Netz kann immer pingen oder willst du nur das FW Interface pingbar machen ?? Wenn ja reicht hier als Ziel "DMZ IP Adress" !)

Damit erlaubst du nun folgendes:
TCP 80 HTTP und TCP 443 HTTPS
Das Problem ist jetzt der "Internet OK" Prozess bei MS WAS der benutzt um zu "meinen" das das Internet da ist.
Wenn der was pingt schlägt das fehl da du kein Ping erlaubt hast, ebenso wenn er andere Protokoll als HTTP oder HTTPS benutzt, denn nur das und DNS kommt raus.

Du kannst das ganz einfach und simpel sehen wenn du in den Logs einfach mal das Firewall Log und dann beobachtest WAS hier geblockt ist ! Jedes Blocking erzeugt hier einen Eintrag !
Da siehst du sofort auf den ersten Blick WAS in der Firewall Liste am DMZ Port hängen bleibt und was du ggf. noch nach draussen lassen musst !
Eigentlich kinderleicht...
JoergBerlin
JoergBerlin 21.01.2013 um 15:29:38 Uhr
Goto Top
Nach dem ich alle Rules gelöscht und wie oben neu angelegt habe, funktioniert es jetzt.
Mit der ersten Rule "DMZ ins LAN verbieten" muss unbeingt darauf geachtet werden,
dass sie so angelegt wird:

Action: Pass
Interface: DMZ
Protocol: TCP/UDP
Source: DMZ Supnet
Destination: LAN Supnet
!!!wichtig!! hier Harken setzen bei "Use this option to invert the sense of the match."

Das wars!!! Vielen Dank für die Unterstützung
aqui
aqui 21.01.2013 aktualisiert um 17:56:50 Uhr
Goto Top
Action Pass ist natürlich Schwachsinn wenn du den Verkehr blocken willst !!!
Das muss natürlich Block sein aber vermutlich hast du hier nur einen Dreckfuhler gemacht.
Und was ist denn ein "Harken" im Sup(i)net ?? Bist du unter die Schrebergärtner gegangen ?? Besser also einen Haken im Subnetz das hilft dann wirklich.
Das mit invert ist Unsinn, denn das macht das "block" Statement aber so gehts vermutlich auch... Warum einfach machen wenn es kompliziert auch geht.. face-wink
JoergBerlin
JoergBerlin 22.01.2013 um 09:39:06 Uhr
Goto Top
Diese Rule wird von m0n0wall empfohlen, siehe hier: http://doc.m0n0.ch/handbook-single/#id11644437

Unter "13.1.4. Configuring the DMZ Interface Firewall Rules" wird sie genau beschrieben.
Mit einer Block-Rule kamm ich nicht zurecht.
Entschuldige die Schreibfehler...ich hasse Gartenarbeit face-wink
aqui
aqui 22.01.2013 aktualisiert um 15:31:43 Uhr
Goto Top
Du hast natürlich Recht, keine Frage !
Es ist logischer das so konfigurieren, denn das erspart die eine zusätzlich "Pass DMZ any" Regel danach wen man Block benutzt.
Sorry, hatte ich übersehen face-smile
Nachteil allerdings mit dieser einfachen Option:
So geht alles aus der DMZ raus ins Internet. Wenn du das auch noch protokollspezifisch gefiltert haben möchtest, dann musst du wieder mit Block oder Reject arbeiten !
Bei dir vermutlich in der DMZ nicht der Fall also kann man es so lassen !