16
Gateprotect Firewall - Internetseiten werden teilw. nicht geladen
Morgen Zusammen,
ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an einem Lancom Router, der die Internetverbindung aufbaut.
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.
Jetzt ist das Problem, dass teilweise Internetseiten nicht geladen werden. ich kann z.B. heise.de aufrufen, aber Golem.de "Seite kann nicht geladen werden". Das trifft wahllos auf verschiedene Internetseiten zu.
HTTP, HTTPS, DNS usw. sind in der Firewall eingetragen für das Interne Netz. Das Problem lässt sich nur lösen, wenn ich für das interne Netz eine Regel eintrage, dass alles ins Internet darf, und Internet antworten. Das ist aber ja nicht Sinn der Sache.
Da alles so funktioniert würde es ja heißen, dass irgendein Port noch fehlt, ich wüsste aber nicht welcher, und an den Ports vom internen Netz habe ich nichts geändert. Das Problem bleibt auch bestehen, wenn ich die Portweiterleitung wieder entferne.
Was mich auch irritiert ist, dass manche Internetseiten problemlos geladen werden, manche nicht. Alternative DNS-Server eintragen hat auch nichts gebracht, weder auf den Clients, noch DC/DNS, noch in der Firewall.
Umgehe ich die Firewall und gehe direkt über den Router klappt auch alles, also muss es irgendwie an der Firewall liegen, oder Firewall - Router. Nur hab ich da nichts geändert.
Vielleicht hat ja einer von euch eine Idee, was ich übersehe
ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an einem Lancom Router, der die Internetverbindung aufbaut.
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.
Jetzt ist das Problem, dass teilweise Internetseiten nicht geladen werden. ich kann z.B. heise.de aufrufen, aber Golem.de "Seite kann nicht geladen werden". Das trifft wahllos auf verschiedene Internetseiten zu.
HTTP, HTTPS, DNS usw. sind in der Firewall eingetragen für das Interne Netz. Das Problem lässt sich nur lösen, wenn ich für das interne Netz eine Regel eintrage, dass alles ins Internet darf, und Internet antworten. Das ist aber ja nicht Sinn der Sache.
Da alles so funktioniert würde es ja heißen, dass irgendein Port noch fehlt, ich wüsste aber nicht welcher, und an den Ports vom internen Netz habe ich nichts geändert. Das Problem bleibt auch bestehen, wenn ich die Portweiterleitung wieder entferne.
Was mich auch irritiert ist, dass manche Internetseiten problemlos geladen werden, manche nicht. Alternative DNS-Server eintragen hat auch nichts gebracht, weder auf den Clients, noch DC/DNS, noch in der Firewall.
Umgehe ich die Firewall und gehe direkt über den Router klappt auch alles, also muss es irgendwie an der Firewall liegen, oder Firewall - Router. Nur hab ich da nichts geändert.
Vielleicht hat ja einer von euch eine Idee, was ich übersehe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 454912
Url: https://administrator.de/contentid/454912
Printed on: May 5, 2024 at 01:05 o'clock
16 Comments
Latest comment
Moin,
wieso betreibst du eine Firewall hinter einer Firewall?
Gruß
wieso betreibst du eine Firewall hinter einer Firewall?
Gruß
Moin,
was sagen den die Loge? Bei einer Firewall sollte das ja schnell heraus zu finden sein.
Filter auf einen Client und teste.
Wenn du dann nicht weiter kommst, poste einmal einen Ausschnitt der logs.
Gruß
Spirit
was sagen den die Loge? Bei einer Firewall sollte das ja schnell heraus zu finden sein.
Filter auf einen Client und teste.
Wenn du dann nicht weiter kommst, poste einmal einen Ausschnitt der logs.
Gruß
Spirit
Hallo,
ich würde behaupten, dass du in Gänze einer Fehlkonfiguration erlegen bist.
Warum nicht ein Modem vor die GP und gut ist?
ich würde behaupten, dass du in Gänze einer Fehlkonfiguration erlegen bist.
Warum nicht ein Modem vor die GP und gut ist?
Hi,
nennt sich zweistufiges Firewallkonzept, u.A. Einsatzgebiete in Verwaltungsnetzen KVN/SVN/LVN/DOI, etc. Eine Firewall primär für Forwards, die andere mit ALG.
Damit kommt ja nicht mehr weit, wo ist Port 443?
Definiere mal bitte "den Sinn der Sache". Wenn du z.B. Protokollierung benötigst, brauchst du einen Squid und keine zweite Firewall.
nennt sich zweistufiges Firewallkonzept, u.A. Einsatzgebiete in Verwaltungsnetzen KVN/SVN/LVN/DOI, etc. Eine Firewall primär für Forwards, die andere mit ALG.
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.
Damit kommt ja nicht mehr weit, wo ist Port 443?
Das Problem lässt sich nur lösen, wenn ich für das interne Netz eine Regel eintrage, dass alles ins Internet darf, und Internet antworten. Das ist aber ja nicht Sinn der Sache.
Definiere mal bitte "den Sinn der Sache". Wenn du z.B. Protokollierung benötigst, brauchst du einen Squid und keine zweite Firewall.
nennt sich zweistufiges Firewallkonzept, u.A. Einsatzgebiete in Verwaltungsnetzen KVN/SVN/LVN/DOI, etc. Eine Firewall primär für Forwards, die andere mit ALG.
Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
Und ein zweistufiges Konzept macht dazwischen kein NAT.
Das wurde hier aber auch noch nicht erwähnt.
Das wurde hier aber auch noch nicht erwähnt.
Zitat von @Spirit-of-Eli:
Und ein zweistufiges Konzept macht dazwischen kein NAT.
Das wurde hier aber auch noch nicht erwähnt.
Und ein zweistufiges Konzept macht dazwischen kein NAT.
Das wurde hier aber auch noch nicht erwähnt.
Richtig, deswegen der Schluss auf eine "gut-gemeint" Konstellation.
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.
Toll, aber wozu?
Du willst von INNEN auf das Internet zugreifen, also brauchst Du nur in der GP die Ports TCP 80/443 und TCP/UDP 53 nach AUSSEN erlauben.
Ich vermute mal Du machst in dieser Kaskade ein doppeltes NAT, weswegen es zu diesem Phänomen kommt.
Gruß
Looser
P.S.: Die sauberere Lösung wäre, wie bereits erwähnt, ein Modem vor die GP und alles sauber eingerichtet.
Hallo,
das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).
Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.
Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.
Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.
Stefan
das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).
Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.
Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.
Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.
Stefan
Die Konfiguration ist nicht auf meinem Mist gewachsen, ich habe nur die Ehre das ganze jetzt zu betreuen. In der Firewall auf dem Router sind aber auch keine Regeln definiert, der lässt alles durch.
443 ist natürlich auch offen. Für das Interne Netz sind wie gesagt alle relevanten Ports offen, Port 80/8000 ist auf der FW eine Portweiterleitung für ein extra Gerät, für den Zugriff von aussen.
Was mich halt irritiert ist, dass es auf einmal nicht mehr geht, obwohl ich für das interne Netz weder auf dem Lancom Router noch auf der FW etwas geändert habe.
Das NAT wird (wenn ich das noch richtig weiß) wirklich auf beiden Geräten ausgeführt, muss ich mir nochmal ansehen.
443 ist natürlich auch offen. Für das Interne Netz sind wie gesagt alle relevanten Ports offen, Port 80/8000 ist auf der FW eine Portweiterleitung für ein extra Gerät, für den Zugriff von aussen.
Was mich halt irritiert ist, dass es auf einmal nicht mehr geht, obwohl ich für das interne Netz weder auf dem Lancom Router noch auf der FW etwas geändert habe.
Das NAT wird (wenn ich das noch richtig weiß) wirklich auf beiden Geräten ausgeführt, muss ich mir nochmal ansehen.
Zitat von @StefanKittel:
Hallo,
das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).
Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.
Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.
Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.
Stefan
Hallo,
das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).
Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.
Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.
Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.
Stefan
Hier sollte das Studium von @aqui 's Anleitung zur Routerkaskade Abhilfe schaffen.
Wie ist denn die WAN-Konfiguration der GP Firewall, hat eine statische IP im Lancom-Netz? Wie sieht auf der GP dann der WAN-DNS-Server aus, ist da ein freier DNS oder der Lancom-Router eingetragen?
Auf Zyxel USGs z.B. ist die WAN-DNS-Konfiguration bei statischer WAN-IP etwas versteckter und nicht auf den ersten Blick ersichtlich.
Auf Zyxel USGs z.B. ist die WAN-DNS-Konfiguration bei statischer WAN-IP etwas versteckter und nicht auf den ersten Blick ersichtlich.
Hi,
gibt es einen HTTPS Filter auf der Gateprotect?
Gibt es einen Webfilter?
Ich vermute etwas in diese Richtung, gerade bei HTTPS Filterung gibt es mit bestimmten Seiten Ärger.
Um HTTPS zu filtern muss es die Firewall aufbrechen, also das Zertifikat ersetzen. Das kann dann zu Fehlern führen, wenn die Applikation das Zertifikat überprüft und das passt dann nicht.
Das trifft meistens auf Apps zu, bei einer reinen Webseite nicht.
Trotzdem kann das auch dort zu Problemen führen, haben wir auch immer wieder.
Wichtig sind die Firewall Logs, die musst du checken.
Bei Watchguard geht das Live und du siehst den Fehler.
Hilfreich ist es auch, alles von der Policy mal zu loggen, auch die allows
VG,
Deepsys
gibt es einen HTTPS Filter auf der Gateprotect?
Gibt es einen Webfilter?
Ich vermute etwas in diese Richtung, gerade bei HTTPS Filterung gibt es mit bestimmten Seiten Ärger.
Um HTTPS zu filtern muss es die Firewall aufbrechen, also das Zertifikat ersetzen. Das kann dann zu Fehlern führen, wenn die Applikation das Zertifikat überprüft und das passt dann nicht.
Das trifft meistens auf Apps zu, bei einer reinen Webseite nicht.
Trotzdem kann das auch dort zu Problemen führen, haben wir auch immer wieder.
Wichtig sind die Firewall Logs, die musst du checken.
Bei Watchguard geht das Live und du siehst den Fehler.
Hilfreich ist es auch, alles von der Policy mal zu loggen, auch die allows
VG,
Deepsys
gibt es einen HTTPS Filter auf der Gateprotect?
Gibt es einen Webfilter?
Gibt es einen Webfilter?
Gegen Einwurf kleiner Münzen beliebig großer Anzahl ist das alles lizensierbar.....ob dem so ist, wird leider verschwiegen.
In dem Zusammenhang fällt mir noch der Application Filter ein, der hier auch, wenn falsch eingestellt, einem den Tag versauen kann.
@certifiedit.net
Gruß,
Dani
Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
In welcher Welt lebst du denn? Has du nur Kunden, die das Konzept zu 100% leben? Ich könnte dir spontan fünf große Konzerne in Deutschland nennen, denen das zweistufige Firewallkonzept auferlegt ist. Diese aber meist eine Firewall als Durchlauferhitzer nutzen, weil der Aufwand für die Administration unüberschaubar ist. Aber das weglassen den Auditor auf dem Plan rufen würde. Gruß,
Dani
Zitat von @Dani:
@certifiedit.net
Gruß,
Dani
@certifiedit.net
Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
In welcher Welt lebst du denn? Has du nur Kunden, die das Konzept zu 100% leben? Ich könnte dir spontan fünf große Konzerne in Deutschland nennen, denen das zweistufige Firewallkonzept auferlegt ist. Diese aber meist eine Firewall als Durchlauferhitzer nutzen, weil der Aufwand für die Administration unüberschaubar ist. Aber das weglassen den Auditor auf dem Plan rufen würde. Gruß,
Dani
In einer Welt, in der der Auditor ggf. irgendwann nicht, wie unsere Bundeskanzlerin besetzt wird. Aber du hast ja Recht, ich hatte auch schon die Frage nach Verschlüsselungsalgorhythmen, wo ich mir sicher war, dass diese nur dem Namen, aber nicht dem Sinn nach geprüft wurden.
