DMZ der m0n0wall keine Netwerkverbindung verfügbar
Wir haben einen Monowallrouter mit 3 Netzwerkkarten. Diese wurden von der m0n0wall erkannt und sind konfiguriert als LAN; WAN; DMZ. Alles funktioniert außer die DMZ. Ich kann vom Rechner in der DMZ keinen ping zur m0n0wall oder von der m0n0wall zum Client absetzen.
Die Konfiguration der m0n0wall:
LAN: 192.168.100.100
WAN: PPPoE
DMZ: 192.168.200.1
System: General setup
Domain: xy.intern
Die Kofiguration Client (Win7):
IP-Adress: 192.168.200.2
Subnetmaske: 255.255.255.0
Standardgateway: 192.168.200.1
Arbeitsgruppe: WORKGROUP
Der Clien ist direkt an der DMZ-Schnittstelle. Die LED´s der LAN-Karten leuchten grün.
Ich habe nach dieser Anleitung gearbeitet: http://doc.m0n0.ch/handbook/examples.html#id11643435
Der Client soll aus der DMZ über die m0n0wall ins Inernet zugreifen.
Ich kann kein Ping vom Cient (IP: 192.168.200.2) auf die m0n0wall Schnittstelle DMZ (IP: 192.168.200.1) und umgekert absetzen.
Wie beschrieben sind die Geräte direkt verbunden und der Clint hat, als er noch mit anderer Konfiguration im LAN war, funktioniert.
Kann es sein, da die m0n0wall und der Client sich nicht in der gleichen Domäne/Arbeitsgruppe befinden, zu dieser Störung kommen.
Als der Client noch im LAN war hat er funktioniert und hatte sich auch in der WORKGROUP befunden.
Ich wäre für jeden Tipp dankbar.
Die Konfiguration der m0n0wall:
LAN: 192.168.100.100
WAN: PPPoE
DMZ: 192.168.200.1
System: General setup
Domain: xy.intern
Die Kofiguration Client (Win7):
IP-Adress: 192.168.200.2
Subnetmaske: 255.255.255.0
Standardgateway: 192.168.200.1
Arbeitsgruppe: WORKGROUP
Der Clien ist direkt an der DMZ-Schnittstelle. Die LED´s der LAN-Karten leuchten grün.
Ich habe nach dieser Anleitung gearbeitet: http://doc.m0n0.ch/handbook/examples.html#id11643435
Der Client soll aus der DMZ über die m0n0wall ins Inernet zugreifen.
Ich kann kein Ping vom Cient (IP: 192.168.200.2) auf die m0n0wall Schnittstelle DMZ (IP: 192.168.200.1) und umgekert absetzen.
Wie beschrieben sind die Geräte direkt verbunden und der Clint hat, als er noch mit anderer Konfiguration im LAN war, funktioniert.
Kann es sein, da die m0n0wall und der Client sich nicht in der gleichen Domäne/Arbeitsgruppe befinden, zu dieser Störung kommen.
Als der Client noch im LAN war hat er funktioniert und hatte sich auch in der WORKGROUP befunden.
Ich wäre für jeden Tipp dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197239
Url: https://administrator.de/contentid/197239
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Dir ist klar das alle Ports außer dem default LAN Port keinerlei FW Regeln definiert haben ??
Das bedeutet das an diesem Port dann ALLES verboten ist !
Du scheiterst also vermutlich schlicht und einfach an nicht eingestellten Firewall Regeln ! Vergiss nie das bei einer Firewall immer alles verboten ist was nicht explizit erlaubt ist !!
Du musst also für den DMZ Port entsprechende Regeln erstellen damit diese Pakete durchkommen !
Für Ping ist das z.B. das ICMP Protokoll oder alternativ musst du eine "Scheunentor" Firewall Regel erstellen wie die am LAN Port wo du sie dir abgucken kannst !
Weitere Infos dazu findest du in diesen Tutorials hier im Forum:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das bedeutet das an diesem Port dann ALLES verboten ist !
Du scheiterst also vermutlich schlicht und einfach an nicht eingestellten Firewall Regeln ! Vergiss nie das bei einer Firewall immer alles verboten ist was nicht explizit erlaubt ist !!
Du musst also für den DMZ Port entsprechende Regeln erstellen damit diese Pakete durchkommen !
Für Ping ist das z.B. das ICMP Protokoll oder alternativ musst du eine "Scheunentor" Firewall Regel erstellen wie die am LAN Port wo du sie dir abgucken kannst !
Weitere Infos dazu findest du in diesen Tutorials hier im Forum:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Nein, NAT ist immer aktiviert Richtung Internet !!
Wie bereits mehrfach darauf hingewiesen hast du nicht auf die Reihenfolge geachtet !!
Bedenke das bei den Regeln immer der erste passende regelsatz bewirkt das die restlichen nicht mehr abgearbeitet werden !
Folgendermassen solltest du die Regeln umstellen (kann man rechts über die Buttons verschieben:
Regelset DMZ Interface:
IP DMZ net * !LAN net * DMZ verbieten ins LAN (IP hier und nicht nur TCP sonst kann UDP trotzdem durch!!)
UDP DMZ net 53(DNS) * 53(dns) DNS erlauben
TCP DMZ net * * TCP 80 DMZ->HTTP Outbound WAN erlauben
TCP DMZ net * * TCP 443 DMZ->HTTPS Outbound WAN erlauben
ICMP DMZ net * DMZ net * ping erlauben (Regel ist Blödsinn hier, denn im eigenen Netz kann immer pingen oder willst du nur das FW Interface pingbar machen ?? Wenn ja reicht hier als Ziel "DMZ IP Adress" !)
Damit erlaubst du nun folgendes:
TCP 80 HTTP und TCP 443 HTTPS
Das Problem ist jetzt der "Internet OK" Prozess bei MS WAS der benutzt um zu "meinen" das das Internet da ist.
Wenn der was pingt schlägt das fehl da du kein Ping erlaubt hast, ebenso wenn er andere Protokoll als HTTP oder HTTPS benutzt, denn nur das und DNS kommt raus.
Du kannst das ganz einfach und simpel sehen wenn du in den Logs einfach mal das Firewall Log und dann beobachtest WAS hier geblockt ist ! Jedes Blocking erzeugt hier einen Eintrag !
Da siehst du sofort auf den ersten Blick WAS in der Firewall Liste am DMZ Port hängen bleibt und was du ggf. noch nach draussen lassen musst !
Eigentlich kinderleicht...
Wie bereits mehrfach darauf hingewiesen hast du nicht auf die Reihenfolge geachtet !!
Bedenke das bei den Regeln immer der erste passende regelsatz bewirkt das die restlichen nicht mehr abgearbeitet werden !
Folgendermassen solltest du die Regeln umstellen (kann man rechts über die Buttons verschieben:
Regelset DMZ Interface:
IP DMZ net * !LAN net * DMZ verbieten ins LAN (IP hier und nicht nur TCP sonst kann UDP trotzdem durch!!)
UDP DMZ net 53(DNS) * 53(dns) DNS erlauben
TCP DMZ net * * TCP 80 DMZ->HTTP Outbound WAN erlauben
TCP DMZ net * * TCP 443 DMZ->HTTPS Outbound WAN erlauben
ICMP DMZ net * DMZ net * ping erlauben (Regel ist Blödsinn hier, denn im eigenen Netz kann immer pingen oder willst du nur das FW Interface pingbar machen ?? Wenn ja reicht hier als Ziel "DMZ IP Adress" !)
Damit erlaubst du nun folgendes:
TCP 80 HTTP und TCP 443 HTTPS
Das Problem ist jetzt der "Internet OK" Prozess bei MS WAS der benutzt um zu "meinen" das das Internet da ist.
Wenn der was pingt schlägt das fehl da du kein Ping erlaubt hast, ebenso wenn er andere Protokoll als HTTP oder HTTPS benutzt, denn nur das und DNS kommt raus.
Du kannst das ganz einfach und simpel sehen wenn du in den Logs einfach mal das Firewall Log und dann beobachtest WAS hier geblockt ist ! Jedes Blocking erzeugt hier einen Eintrag !
Da siehst du sofort auf den ersten Blick WAS in der Firewall Liste am DMZ Port hängen bleibt und was du ggf. noch nach draussen lassen musst !
Eigentlich kinderleicht...
Action Pass ist natürlich Schwachsinn wenn du den Verkehr blocken willst !!!
Das muss natürlich Block sein aber vermutlich hast du hier nur einen Dreckfuhler gemacht.
Und was ist denn ein "Harken" im Sup(i)net ?? Bist du unter die Schrebergärtner gegangen ?? Besser also einen Haken im Subnetz das hilft dann wirklich.
Das mit invert ist Unsinn, denn das macht das "block" Statement aber so gehts vermutlich auch... Warum einfach machen wenn es kompliziert auch geht..
Das muss natürlich Block sein aber vermutlich hast du hier nur einen Dreckfuhler gemacht.
Und was ist denn ein "Harken" im Sup(i)net ?? Bist du unter die Schrebergärtner gegangen ?? Besser also einen Haken im Subnetz das hilft dann wirklich.
Das mit invert ist Unsinn, denn das macht das "block" Statement aber so gehts vermutlich auch... Warum einfach machen wenn es kompliziert auch geht..
Du hast natürlich Recht, keine Frage !
Es ist logischer das so konfigurieren, denn das erspart die eine zusätzlich "Pass DMZ any" Regel danach wen man Block benutzt.
Sorry, hatte ich übersehen
Nachteil allerdings mit dieser einfachen Option:
So geht alles aus der DMZ raus ins Internet. Wenn du das auch noch protokollspezifisch gefiltert haben möchtest, dann musst du wieder mit Block oder Reject arbeiten !
Bei dir vermutlich in der DMZ nicht der Fall also kann man es so lassen !
Es ist logischer das so konfigurieren, denn das erspart die eine zusätzlich "Pass DMZ any" Regel danach wen man Block benutzt.
Sorry, hatte ich übersehen
Nachteil allerdings mit dieser einfachen Option:
So geht alles aus der DMZ raus ins Internet. Wenn du das auch noch protokollspezifisch gefiltert haben möchtest, dann musst du wieder mit Block oder Reject arbeiten !
Bei dir vermutlich in der DMZ nicht der Fall also kann man es so lassen !