Kein Internet in der DMZ ZyWALL USG 110

Hallo zusammen,

irgendwie stehe ich auf dem Schlauch und finde nicht meinen Fehler. Ich habe folgende Konfiguartion:

1x USG 110

Ich habe einmal LAN konfiguriert mit 192.168.6.0/24 und einmal DMZ mit 10.1.1.0/24. Da ich nur einen Switch habe, habe ich in der ZyWALL jeweils ein VLAN eingerichtet über die auch die DHCP Server laufen. Einmal fürs LAN und einmal für die DMZ. Wenn ich nun an Port 1-12 auf dem Swicht einen PC einstecke bekomme ich eine IP aus dem 192.168.6.0 Netz und kann auch surfen. Bei der DMZ bekomme ich auch eine IP und alles kann jedoch nicht surfen. In den Firewall Optionen der ZyWALL ist DMZ to WAN jedoch auf allow any.

KAnn mir wer einen Tipp geben. Irgendwie bin ich bisher bei den Beispiel Anleitungen nicht auf einen grünen Zweig gekommen.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 280696

Url: https://administrator.de/contentid/280696

Ausgedruckt am: 25.11.2024 um 20:11 Uhr

18 Kommentare

Neuester Kommentar

Hallo,

vermutlich ist der DHCP-Server der USG so konfiguriert, dass er sich selbst als DNS-Server für die Clients übergibt und Du hast vergessen, im Firewallergelwerk den Zugriff der Clients auf die Firewall per DNS freizugeben.
Wenn es das nicht war, wäre die nächste Vermutung, dass Du das VLAN-Interface nicht als "internal" gelabelt hast.

Gruß
sk

Also die beiden VLAN sind in der USG schon mal als "internal" eingerichtet. Das ist es schon mal nicht. Der DHCP Server gibt in der Tat als DNS die IP von sich weiter. Also die 10.1.1.1. Ich schau mal wie das in der Firewall dann aussehen müsste. Obwohl ich ja eine Rule habe die sagt:

From DMZ to WAN source any, service any... action allow. Somit sollte er ja eigentlich den DNS nutzen können.

Aber ich schau mal.

Zitat von @letstryandfindout:

Der DHCP Server gibt in der Tat als DNS die IP von sich weiter. Also die 10.1.1.1. Ich schau mal wie das in der Firewall dann
aussehen müsste. Obwohl ich ja eine Rule habe die sagt:
From DMZ to WAN source any, service any... action allow. Somit sollte er ja eigentlich den DNS nutzen können.

Nein, denn das wäre eine Regel DMZ to USG.

Gruß
sk

Sorry die Regel hatte ich übersehen. Diese existierte auch schon von Anfang an. Beim nslookup geht er auch auf dem Client noch nirgendwo hin,

Zitat von @letstryandfindout:

Beim nslookup geht er auch auf dem Client noch nirgendwo hin

Was heisst das jetzt? Dass der Zugriff auf den DNS-Server der USG zwar funktioniert, jedoch die USG ihrerseits nicht nach extern auflösen kann?

Da ich alles bekomme als Client und nicht surfen kann habe ich geschaut wie es aussieht wenn ich ein nslookup mache. Damit ich eventuell die Fehlerquelle bisl eingrenzen kann.

nslookup google.ch
DNS request timeout.
Server: Unknown
Address: 10.1.1.3

Also funktioniert wie vermutet die DNS-Auflösung nicht. Übergib per DHCP mal 8.8.8.8 und 8.8.4.4 als DNS an die Clients...

Hatte ich am Anfangh schon mit drinnen. 1 war ZyWALL DNS und 2 dann 8.8.8.8. Selbst wenn ich nur den 8.8.8.8 habe macht er es spannenderweise nicht.

irgendwelche Policyrouten gesetzt?

Nein auf jeden fall keine neuen.

Und welche sind gesetzt?
Mann ist das zäh... Brauchst Du Hilfe oder ich?

Tut mir leid, ich hätte in der Tat etwas besser mitdenken können. Ich habe es mal eben einfacher gemacht und schnell ein paar Screenshots. Ist leider das erste mal das ich mich mit einer ZyWALL auseinandersetzen darf. Aber trotzdem vielen lieben Dank für deine Geduld und Hilfe:

Einstellungen VLAN:

NIC:

Firewall:

Routing:

ok. Ich sehe das Verständnisproblem. Du kannst nicht mehreren Interfaces IP-Adressen aus dem selben Netz geben. Auch dann nicht, wenn sie in der selben Firewallzone zusammengefasst werden. Die Netze aller Interfaces müssen überschneidungsfrei sein. Vermutlich rührt der Konfigurationsfehler daher, dass Du glaubst, die Netze zwingend mit einem VLAN-Tag versehen an den Switch übergeben zu müssen und dafür auf der Zywall entsprechende VLANs zu benötigen.
Bevor ich mir die Arbeit mache, Dinge zu erklären, die wir später eventuell doch nicht brauchen, noch zwei Fragen:
1) Besteht die Möglichkeit, Switch und Zywall mittels zweier dedizierter Kabel zu verbinden?
2) Sind - neben der Verbindung zum Switch - an der Zywall noch weitere Geräte angeschlossen [ a) im LAN und b) in der DMZ ] und ist dies zwingend erforderlich?

Gruß
sk

Hallo,

ich habe es eigentlich so gemacht das ein Netzwerkkabel vom Port 4 auf den Port 1 geht vom Switch. Dieser speisst dann das 192.168.6.x Netz ein und ist erreichbar dann bist Port 12. Dann habe ich ein weiteres Netzwerkkabel vom Port 7 (DMZ) auf Port 13 beim Switch und dort ist dann bis Port 19 alles 10.1.1.X. War diese Denkweise falsch? An der Zywall ist sonst ausser dem WAN Anschluss nichts mehr angeschlossen. Nur Port 4 fürs normale Netz und Port 7 mit der DMZ. Wenn es einfacher ist das ich am 2 LAN Port (P5) an der Zywall was anschliesse kann ich das auch machen, es geht mir nur darum das alles was im 10.1.1.X Netz ist definitiv nicht ins 192.168.6.X Netz darf. Ich habe effektiv nur den einen Switch und daher die Sache mit den VLANs.

Den Switch mittels VLANs in zwei Bereiche aufzuteilen, ist schon richtig. Jedoch ist es in dieser Konstellation nicht erforderlich, auf der Zywall VLANs zu konfigurieren.
Lösche die VLANs auf der Zywall, verlege LAN2 in ein anderes Netz und starte ggf. die Zywall nochmal neu, dann sollte es funktionieren.

Gruß
sk

Okay das funktioniert. Nur muss ich nun schauen wie ich es auf dem Switch machen. Wenn ich hier nämlich nun in die jeweiligen Ports etwas einstecke bekomme ich keine IP über DHCP. Wenn ich in der ZyWALL die VLANs einrichte funktioniert es.

Die Switchports zur Zywall hin müssen untagged im jeweiligen VLAN sein. Und zwar ingress und egress!
Dass die DHCP-Server auf der Zywall richtig konfiguriert sind, davon gehe ich mal aus...