kivasf
Goto Top

Gateprotect Firewall - Internetseiten werden teilw. nicht geladen

Morgen Zusammen,

ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an einem Lancom Router, der die Internetverbindung aufbaut.
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.
Jetzt ist das Problem, dass teilweise Internetseiten nicht geladen werden. ich kann z.B. heise.de aufrufen, aber Golem.de "Seite kann nicht geladen werden". Das trifft wahllos auf verschiedene Internetseiten zu.
HTTP, HTTPS, DNS usw. sind in der Firewall eingetragen für das Interne Netz. Das Problem lässt sich nur lösen, wenn ich für das interne Netz eine Regel eintrage, dass alles ins Internet darf, und Internet antworten. Das ist aber ja nicht Sinn der Sache.
Da alles so funktioniert würde es ja heißen, dass irgendein Port noch fehlt, ich wüsste aber nicht welcher, und an den Ports vom internen Netz habe ich nichts geändert. Das Problem bleibt auch bestehen, wenn ich die Portweiterleitung wieder entferne.
Was mich auch irritiert ist, dass manche Internetseiten problemlos geladen werden, manche nicht. Alternative DNS-Server eintragen hat auch nichts gebracht, weder auf den Clients, noch DC/DNS, noch in der Firewall.
Umgehe ich die Firewall und gehe direkt über den Router klappt auch alles, also muss es irgendwie an der Firewall liegen, oder Firewall - Router. Nur hab ich da nichts geändert.
Vielleicht hat ja einer von euch eine Idee, was ich übersehe face-smile

Content-ID: 454912

Url: https://administrator.de/forum/gateprotect-firewall-internetseiten-werden-teilw-nicht-geladen-454912.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

Kraemer
Kraemer 23.05.2019 um 08:23:05 Uhr
Goto Top
Moin,

wieso betreibst du eine Firewall hinter einer Firewall?

Gruß
Spirit-of-Eli
Spirit-of-Eli 23.05.2019 um 08:25:01 Uhr
Goto Top
Moin,

was sagen den die Loge? Bei einer Firewall sollte das ja schnell heraus zu finden sein.
Filter auf einen Client und teste.

Wenn du dann nicht weiter kommst, poste einmal einen Ausschnitt der logs.

Gruß
Spirit
certifiedit.net
certifiedit.net 23.05.2019 um 08:38:32 Uhr
Goto Top
Hallo,

ich würde behaupten, dass du in Gänze einer Fehlkonfiguration erlegen bist.

Warum nicht ein Modem vor die GP und gut ist?
chgorges
chgorges 23.05.2019 um 08:42:51 Uhr
Goto Top
Zitat von @Kraemer:

Moin,

wieso betreibst du eine Firewall hinter einer Firewall?
Hi,
nennt sich zweistufiges Firewallkonzept, u.A. Einsatzgebiete in Verwaltungsnetzen KVN/SVN/LVN/DOI, etc. Eine Firewall primär für Forwards, die andere mit ALG.

Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.

Damit kommt ja nicht mehr weit, wo ist Port 443?

Das Problem lässt sich nur lösen, wenn ich für das interne Netz eine Regel eintrage, dass alles ins Internet darf, und Internet antworten. Das ist aber ja nicht Sinn der Sache.

Definiere mal bitte "den Sinn der Sache". Wenn du z.B. Protokollierung benötigst, brauchst du einen Squid und keine zweite Firewall.
certifiedit.net
certifiedit.net 23.05.2019 um 08:46:20 Uhr
Goto Top
nennt sich zweistufiges Firewallkonzept, u.A. Einsatzgebiete in Verwaltungsnetzen KVN/SVN/LVN/DOI, etc. Eine Firewall primär für Forwards, die andere mit ALG.

Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
Spirit-of-Eli
Spirit-of-Eli 23.05.2019 um 08:56:30 Uhr
Goto Top
Und ein zweistufiges Konzept macht dazwischen kein NAT.
Das wurde hier aber auch noch nicht erwähnt.
certifiedit.net
certifiedit.net 23.05.2019 um 08:57:24 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Und ein zweistufiges Konzept macht dazwischen kein NAT.
Das wurde hier aber auch noch nicht erwähnt.

Richtig, deswegen der Schluss auf eine "gut-gemeint" Konstellation.
Looser27
Looser27 23.05.2019 um 09:01:12 Uhr
Goto Top
Auf der Firewall habe ich ein neues Gerät eingetragen und eine Portweiterleitung (80, 8000) auf dem Lancom Router eingerichtet.

Toll, aber wozu?

Du willst von INNEN auf das Internet zugreifen, also brauchst Du nur in der GP die Ports TCP 80/443 und TCP/UDP 53 nach AUSSEN erlauben.

Ich vermute mal Du machst in dieser Kaskade ein doppeltes NAT, weswegen es zu diesem Phänomen kommt.

Gruß

Looser

P.S.: Die sauberere Lösung wäre, wie bereits erwähnt, ein Modem vor die GP und alles sauber eingerichtet.
StefanKittel
StefanKittel 23.05.2019 um 09:01:42 Uhr
Goto Top
Hallo,

das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).

Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.

Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.

Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.

Stefan
KivasF
KivasF 23.05.2019 aktualisiert um 09:10:36 Uhr
Goto Top
Die Konfiguration ist nicht auf meinem Mist gewachsen, ich habe nur die Ehre das ganze jetzt zu betreuen. In der Firewall auf dem Router sind aber auch keine Regeln definiert, der lässt alles durch.

443 ist natürlich auch offen. Für das Interne Netz sind wie gesagt alle relevanten Ports offen, Port 80/8000 ist auf der FW eine Portweiterleitung für ein extra Gerät, für den Zugriff von aussen.

Was mich halt irritiert ist, dass es auf einmal nicht mehr geht, obwohl ich für das interne Netz weder auf dem Lancom Router noch auf der FW etwas geändert habe.

Das NAT wird (wenn ich das noch richtig weiß) wirklich auf beiden Geräten ausgeführt, muss ich mir nochmal ansehen.
Looser27
Looser27 23.05.2019 um 09:08:52 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,

das klingt zuerst einmal nach einem DNS-Problem.
Denn Webseite 1 und Webseite 2 haben ja nun gleichen Ports (80/443).

Das passt aber nicht zu der Aussage, dass alles funktioniert wenn man alle ausgehenden Ports öffnet.

Es sei denn, dass einige Clients einen anderen DNS-Server als die GP oder einen Proxy verwenden.
Das wäre ja andere Ports die benötigt werden.

Lass Dir von der GP doch mal Ablehnungen protokollieren. Dann siehst Du welcher und warum.

Stefan


Hier sollte das Studium von @aqui 's Anleitung zur Routerkaskade Abhilfe schaffen.
chgorges
chgorges 23.05.2019 aktualisiert um 09:16:34 Uhr
Goto Top
Wie ist denn die WAN-Konfiguration der GP Firewall, hat eine statische IP im Lancom-Netz? Wie sieht auf der GP dann der WAN-DNS-Server aus, ist da ein freier DNS oder der Lancom-Router eingetragen?

Auf Zyxel USGs z.B. ist die WAN-DNS-Konfiguration bei statischer WAN-IP etwas versteckter und nicht auf den ersten Blick ersichtlich.
Deepsys
Deepsys 23.05.2019 aktualisiert um 12:36:08 Uhr
Goto Top
Hi,
gibt es einen HTTPS Filter auf der Gateprotect?
Gibt es einen Webfilter?

Ich vermute etwas in diese Richtung, gerade bei HTTPS Filterung gibt es mit bestimmten Seiten Ärger.
Um HTTPS zu filtern muss es die Firewall aufbrechen, also das Zertifikat ersetzen. Das kann dann zu Fehlern führen, wenn die Applikation das Zertifikat überprüft und das passt dann nicht.
Das trifft meistens auf Apps zu, bei einer reinen Webseite nicht.
Trotzdem kann das auch dort zu Problemen führen, haben wir auch immer wieder.

Wichtig sind die Firewall Logs, die musst du checken.
Bei Watchguard geht das Live und du siehst den Fehler.
Hilfreich ist es auch, alles von der Policy mal zu loggen, auch die allows

VG,
Deepsys
Looser27
Looser27 23.05.2019 um 10:14:06 Uhr
Goto Top
gibt es einen HTTPS Filter auf der Gateprotect?
Gibt es einen Webfilter?

Gegen Einwurf kleiner Münzen beliebig großer Anzahl ist das alles lizensierbar.....ob dem so ist, wird leider verschwiegen.

In dem Zusammenhang fällt mir noch der Application Filter ein, der hier auch, wenn falsch eingestellt, einem den Tag versauen kann.
Dani
Dani 23.05.2019 um 11:30:29 Uhr
Goto Top
@certifiedit.net
Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
In welcher Welt lebst du denn? Has du nur Kunden, die das Konzept zu 100% leben? Ich könnte dir spontan fünf große Konzerne in Deutschland nennen, denen das zweistufige Firewallkonzept auferlegt ist. Diese aber meist eine Firewall als Durchlauferhitzer nutzen, weil der Aufwand für die Administration unüberschaubar ist. Aber das weglassen den Auditor auf dem Plan rufen würde. face-confused


Gruß,
Dani
certifiedit.net
certifiedit.net 23.05.2019 um 12:21:34 Uhr
Goto Top
Zitat von @Dani:

@certifiedit.net
Wenn das so sein sollte, muss man es aber auch beherrschen, sonst lässt man einfach Port x von a über b nach c und es gibt keinen Gewinn ausser Durchlauferhitzung.
In welcher Welt lebst du denn? Has du nur Kunden, die das Konzept zu 100% leben? Ich könnte dir spontan fünf große Konzerne in Deutschland nennen, denen das zweistufige Firewallkonzept auferlegt ist. Diese aber meist eine Firewall als Durchlauferhitzer nutzen, weil der Aufwand für die Administration unüberschaubar ist. Aber das weglassen den Auditor auf dem Plan rufen würde. face-confused


Gruß,
Dani

In einer Welt, in der der Auditor ggf. irgendwann nicht, wie unsere Bundeskanzlerin besetzt wird. Aber du hast ja Recht, ich hatte auch schon die Frage nach Verschlüsselungsalgorhythmen, wo ich mir sicher war, dass diese nur dem Namen, aber nicht dem Sinn nach geprüft wurden.