Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gateprotect Firewall - Internetseiten werden teilw. nicht geladen

Mitglied: KivasF

KivasF (Level 1) - Jetzt verbinden

23.05.2019 um 08:16 Uhr, 450 Aufrufe, 16 Kommentare

Morgen Zusammen,

ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an einem Lancom Router, der die Internetverbindung aufbaut.
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.
Jetzt ist das Problem, dass teilweise Internetseiten nicht geladen werden. ich kann z.B. heise.de aufrufen, aber Golem.de "Seite kann nicht geladen werden". Das trifft wahllos auf verschiedene Internetseiten zu.
HTTP, HTTPS, DNS usw. sind in der Firewall eingetragen für das Interne Netz. Das Problem lässt sich nur lösen, wenn ich für das interne Netz eine Regel eintrage, dass alles ins Internet darf, und Internet antworten. Das ist aber ja nicht Sinn der Sache.
Da alles so funktioniert würde es ja heißen, dass irgendein Port noch fehlt, ich wüsste aber nicht welcher, und an den Ports vom internen Netz habe ich nichts geändert. Das Problem bleibt auch bestehen, wenn ich die Portweiterleitung wieder entferne.
Was mich auch irritiert ist, dass manche Internetseiten problemlos geladen werden, manche nicht. Alternative DNS-Server eintragen hat auch nichts gebracht, weder auf den Clients, noch DC/DNS, noch in der Firewall.
Umgehe ich die Firewall und gehe direkt über den Router klappt auch alles, also muss es irgendwie an der Firewall liegen, oder Firewall - Router. Nur hab ich da nichts geändert.
Vielleicht hat ja einer von euch eine Idee, was ich übersehe
Mitglied: Kraemer
23.05.2019 um 08:23 Uhr
Moin,

wieso betreibst du eine Firewall hinter einer Firewall?

Gruß
Bitte warten ..
Mitglied: Spirit-of-Eli
23.05.2019 um 08:25 Uhr
Moin,

was sagen den die Loge? Bei einer Firewall sollte das ja schnell heraus zu finden sein.
Filter auf einen Client und teste.

Wenn du dann nicht weiter kommst, poste einmal einen Ausschnitt der logs.

Gruß
Spirit
Bitte warten ..
Mitglied: certifiedit.net
23.05.2019 um 08:38 Uhr
Hallo,

ich würde behaupten, dass du in Gänze einer Fehlkonfiguration erlegen bist.

Warum nicht ein Modem vor die GP und gut ist?
Bitte warten ..
Mitglied: chgorges
23.05.2019 um 08:42 Uhr
Zitat von Kraemer:

Moin,

wieso betreibst du eine Firewall hinter einer Firewall?
Hi,
nennt sich zweistufiges Firewallkonzept, u.A. Einsatzgebiete in Verwaltungsnetzen KVN/SVN/LVN/DOI, etc. Eine Firewall primär für Forwards, die andere mit ALG.

Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.

Damit kommt ja nicht mehr weit, wo ist Port 443?

Das Problem lässt sich nur lösen, wenn ich für das interne Netz eine Regel eintrage, dass alles ins Internet darf, und Internet antworten. Das ist aber ja nicht Sinn der Sache.

Definiere mal bitte "den Sinn der Sache". Wenn du z.B. Protokollierung benötigst, brauchst du einen Squid und keine zweite Firewall.
Bitte warten ..
Mitglied: certifiedit.net
23.05.2019 um 08:46 Uhr
nennt sich zweistufiges Firewallkonzept, u.A. Einsatzgebiete in Verwaltungsnetzen KVN/SVN/LVN/DOI, etc. Eine Firewall primär für Forwards, die andere mit ALG.

Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
Bitte warten ..
Mitglied: Spirit-of-Eli
23.05.2019 um 08:56 Uhr
Und ein zweistufiges Konzept macht dazwischen kein NAT.
Das wurde hier aber auch noch nicht erwähnt.
Bitte warten ..
Mitglied: certifiedit.net
23.05.2019 um 08:57 Uhr
Zitat von Spirit-of-Eli:

Und ein zweistufiges Konzept macht dazwischen kein NAT.
Das wurde hier aber auch noch nicht erwähnt.

Richtig, deswegen der Schluss auf eine "gut-gemeint" Konstellation.
Bitte warten ..
Mitglied: Looser27
23.05.2019 um 09:01 Uhr
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.

Toll, aber wozu?

Du willst von INNEN auf das Internet zugreifen, also brauchst Du nur in der GP die Ports TCP 80/443 und TCP/UDP 53 nach AUSSEN erlauben.

Ich vermute mal Du machst in dieser Kaskade ein doppeltes NAT, weswegen es zu diesem Phänomen kommt.

Gruß

Looser

P.S.: Die sauberere Lösung wäre, wie bereits erwähnt, ein Modem vor die GP und alles sauber eingerichtet.
Bitte warten ..
Mitglied: StefanKittel
23.05.2019 um 09:01 Uhr
Hallo,

das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).

Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.

Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.

Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.

Stefan
Bitte warten ..
Mitglied: KivasF
23.05.2019, aktualisiert um 09:10 Uhr
Die Konfiguration ist nicht auf meinem Mist gewachsen, ich habe nur die Ehre das ganze jetzt zu betreuen. In der Firewall auf dem Router sind aber auch keine Regeln definiert, der lässt alles durch.

443 ist natürlich auch offen. Für das Interne Netz sind wie gesagt alle relevanten Ports offen, Port 80/8000 ist auf der FW eine Portweiterleitung für ein extra Gerät, für den Zugriff von aussen.

Was mich halt irritiert ist, dass es auf einmal nicht mehr geht, obwohl ich für das interne Netz weder auf dem Lancom Router noch auf der FW etwas geändert habe.

Das NAT wird (wenn ich das noch richtig weiß) wirklich auf beiden Geräten ausgeführt, muss ich mir nochmal ansehen.
Bitte warten ..
Mitglied: Looser27
23.05.2019 um 09:08 Uhr
Zitat von StefanKittel:

Hallo,

das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).

Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.

Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.

Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.

Stefan


Hier sollte das Studium von @aqui 's Anleitung zur Routerkaskade Abhilfe schaffen.
Bitte warten ..
Mitglied: chgorges
23.05.2019, aktualisiert um 09:16 Uhr
Wie ist denn die WAN-Konfiguration der GP Firewall, hat eine statische IP im Lancom-Netz? Wie sieht auf der GP dann der WAN-DNS-Server aus, ist da ein freier DNS oder der Lancom-Router eingetragen?

Auf Zyxel USGs z.B. ist die WAN-DNS-Konfiguration bei statischer WAN-IP etwas versteckter und nicht auf den ersten Blick ersichtlich.
Bitte warten ..
Mitglied: Deepsys
23.05.2019, aktualisiert um 12:36 Uhr
Hi,
gibt es einen HTTPS Filter auf der Gateprotect?
Gibt es einen Webfilter?

Ich vermute etwas in diese Richtung, gerade bei HTTPS Filterung gibt es mit bestimmten Seiten Ärger.
Um HTTPS zu filtern muss es die Firewall aufbrechen, also das Zertifikat ersetzen. Das kann dann zu Fehlern führen, wenn die Applikation das Zertifikat überprüft und das passt dann nicht.
Das trifft meistens auf Apps zu, bei einer reinen Webseite nicht.
Trotzdem kann das auch dort zu Problemen führen, haben wir auch immer wieder.

Wichtig sind die Firewall Logs, die musst du checken.
Bei Watchguard geht das Live und du siehst den Fehler.
Hilfreich ist es auch, alles von der Policy mal zu loggen, auch die allows

VG,
Deepsys
Bitte warten ..
Mitglied: Looser27
23.05.2019 um 10:14 Uhr
gibt es einen HTTPS Filter auf der Gateprotect?
Gibt es einen Webfilter?

Gegen Einwurf kleiner Münzen beliebig großer Anzahl ist das alles lizensierbar.....ob dem so ist, wird leider verschwiegen.

In dem Zusammenhang fällt mir noch der Application Filter ein, der hier auch, wenn falsch eingestellt, einem den Tag versauen kann.
Bitte warten ..
Mitglied: Dani
23.05.2019 um 11:30 Uhr
@certifiedit.net
Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
In welcher Welt lebst du denn? Has du nur Kunden, die das Konzept zu 100% leben? Ich könnte dir spontan fünf große Konzerne in Deutschland nennen, denen das zweistufige Firewallkonzept auferlegt ist. Diese aber meist eine Firewall als Durchlauferhitzer nutzen, weil der Aufwand für die Administration unüberschaubar ist. Aber das weglassen den Auditor auf dem Plan rufen würde.


Gruß,
Dani
Bitte warten ..
Mitglied: certifiedit.net
23.05.2019 um 12:21 Uhr
Zitat von Dani:

@certifiedit.net
Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
In welcher Welt lebst du denn? Has du nur Kunden, die das Konzept zu 100% leben? Ich könnte dir spontan fünf große Konzerne in Deutschland nennen, denen das zweistufige Firewallkonzept auferlegt ist. Diese aber meist eine Firewall als Durchlauferhitzer nutzen, weil der Aufwand für die Administration unüberschaubar ist. Aber das weglassen den Auditor auf dem Plan rufen würde.


Gruß,
Dani

In einer Welt, in der der Auditor ggf. irgendwann nicht, wie unsere Bundeskanzlerin besetzt wird. Aber du hast ja Recht, ich hatte auch schon die Frage nach Verschlüsselungsalgorhythmen, wo ich mir sicher war, dass diese nur dem Namen, aber nicht dem Sinn nach geprüft wurden.
Bitte warten ..
Ähnliche Inhalte
Firewall
FTP (Filezilla) über Gateprotect
Frage von mephisto1111Firewall4 Kommentare

Hallo, wir haben hier seit kurzem eine neue FIrewall installiert (Gateprotect). Soweit läuft alles ganz rund, allerdings haben wir ...

Batch & Shell

Dateien (PDF) umbenennen via batch, teilw. Dateinamen übernehmen, neues Präfix

gelöst Frage von brause1701Batch & Shell6 Kommentare

Hallo zusammen, ich habe ein relativ einfach zu erklärendes Problem welches ich gern mit einem kleinen Script (batch) lösen ...

Netzwerke

Firewall Austausch

gelöst Frage von UnbekannterNR1Netzwerke7 Kommentare

Hallo zusammen, ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan ...

Router & Routing

Empfehlung Firewall

gelöst Frage von Odde23Router & Routing7 Kommentare

Hallo zusammen, ich benötige für ein kleines Unternehmen (5 Mitarbeiter) eine Firewall und weiß nicht so recht, was ich ...

Neue Wissensbeiträge
Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 1 StundeWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 19 StundenWindows 104 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Viren und Trojaner

Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Information von MrCount vor 23 StundenViren und Trojaner

Für alle Betroffenen gibt es offenbar ein Tool zur Entschlüsselung. Dann wird wohl die nächste version von GandCrap nicht ...

LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 4 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner33 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Sicherheit
Wie sichert (verschlüsselt) ihr eure Passwörter ?
gelöst Frage von decehakanSicherheit20 Kommentare

Hallo Admins, Mittlerweile hat man für jeden Dienst seine Zugangsdaten, sei es Amazon, Bank, FB, etc , vor allem ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk17 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement15 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...