35
M0n0wall Firewall konfig.
M0n0wall mit VLAN Firewall konfigurieren
Hallo
Ich habe eine Frage bez. M0n0wall Firewall.
Konfiguriert ist diese so.
LAN 192.168.0.2
WAN DHCP (hängt hinter einen Router)
VLAN10 172.16.10.0
VLAN20 172.16.20.0
VLAN30 172.16.30.0
OK.
Meine Frage: Wenn ich zb. mehrere PC und Server i. VLAN10 habe brauche ich da auch eine Regel (Zugriff auf Dateiserver usw) oder ist im VLAN10 untereinander eh alles offen. ???
Wenn ich zb. v. VLAN10 ins Internet will, muss ich diese ja Freigeben.Ist ja auch klar. Muss ich diese b. WAN auch freigeben.???
Irgendwie fehlt mir da das Verständnis.
Danke
Hallo
Ich habe eine Frage bez. M0n0wall Firewall.
Konfiguriert ist diese so.
LAN 192.168.0.2
WAN DHCP (hängt hinter einen Router)
VLAN10 172.16.10.0
VLAN20 172.16.20.0
VLAN30 172.16.30.0
OK.
Meine Frage: Wenn ich zb. mehrere PC und Server i. VLAN10 habe brauche ich da auch eine Regel (Zugriff auf Dateiserver usw) oder ist im VLAN10 untereinander eh alles offen. ???
Wenn ich zb. v. VLAN10 ins Internet will, muss ich diese ja Freigeben.Ist ja auch klar. Muss ich diese b. WAN auch freigeben.???
Irgendwie fehlt mir da das Verständnis.
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169454
Url: https://administrator.de/contentid/169454
Ausgedruckt am: 19.11.2024 um 09:11 Uhr
35 Kommentare
Neuester Kommentar
Hallo,
Innerhalb eines VLAN ist eine Kommunikation zwischen allen Geräte möglich, da gibt es vom VLAN her keinerlei Beschränkungen.
Gerätetypsiche Begrenzungen, Firewall Reglen des Betriebssystem, nicht lauende Dienste oder sonstiges sind natürlich immer noch gültig.
Aus dem VLAN 10 muss eine Route ins Internet existieren sonst kannst du nicht kommunizieren, oder was meintest du?
brammer
Meine Frage: Wenn ich zb. mehrere PC und Server i. VLAN10 habe brauche ich da auch eine Regel (Zugriff auf Dateiserver usw) oder ist im VLAN10 untereinander eh alles offen. ???
Innerhalb eines VLAN ist eine Kommunikation zwischen allen Geräte möglich, da gibt es vom VLAN her keinerlei Beschränkungen.
Gerätetypsiche Begrenzungen, Firewall Reglen des Betriebssystem, nicht lauende Dienste oder sonstiges sind natürlich immer noch gültig.
Wenn ich zb. v. VLAN10 ins Internet will, muss ich diese ja Freigeben.Ist ja auch klar. Muss ich diese b. WAN auch freigeben.???
Aus dem VLAN 10 muss eine Route ins Internet existieren sonst kannst du nicht kommunizieren, oder was meintest du?
brammer
Hallo
Ok. Danke für die 1 Frage.
Bez.der 2 Frage:
Wenn ich zb. b. VLAN10 eine Route konfiguriere.
TCP VLAN10 net * * 80 (HTTP) HTTP
Muss ich dann auch auf der WAN Seite aufmachen ???
Danke
Ok. Danke für die 1 Frage.
Bez.der 2 Frage:
Wenn ich zb. b. VLAN10 eine Route konfiguriere.
TCP VLAN10 net * * 80 (HTTP) HTTP
Muss ich dann auch auf der WAN Seite aufmachen ???
Danke
Nein, Firewall Regeln gellten immer nur eingehend also alles was in die Firewall reingeht wird inspiziert. Niemals etwas was rausgeht.
Ausserdem schreibst du Unsinn. Was du da oben meinst ist einen Firewall "Regel" niemals eine Route !!
Mit Firewall Filterregeln haben Routen rein gar nix zu tun !
Innerhalb deines VLAN 10 sind alle Geräte natürlich transparent verbunden, denn an dem Port hast du ja einen Switch o.ä. ! Da ist die FW ja nicht dazwischen, folglich kann sie also auch nicht filtern !
Nur was in andere VLANs oder die große weite (Internet) Welt geht wird gefiltert und da greifen dann wieder deine Regeln was du durchlässt und was nicht !
Sieh dir die zahllosen Monowall Tutorials und Threads hier an ,dann findest du diverse Beispiele !
Ausserdem schreibst du Unsinn. Was du da oben meinst ist einen Firewall "Regel" niemals eine Route !!
Mit Firewall Filterregeln haben Routen rein gar nix zu tun !
Innerhalb deines VLAN 10 sind alle Geräte natürlich transparent verbunden, denn an dem Port hast du ja einen Switch o.ä. ! Da ist die FW ja nicht dazwischen, folglich kann sie also auch nicht filtern !
Nur was in andere VLANs oder die große weite (Internet) Welt geht wird gefiltert und da greifen dann wieder deine Regeln was du durchlässt und was nicht !
Sieh dir die zahllosen Monowall Tutorials und Threads hier an ,dann findest du diverse Beispiele !
Hallo
Kurz für mein Verständnis ?
Wenn ich v. VLAN10 ins VLAN20 möchte zb uber http dann muss ich i.VLAN20 d.http für 10 zulassen. oder ?
Wie schaut es mit d. DNS aus. Ich komme zwar v. VLAN10 auf eine Externe IP aber nicht über die DNS Auflösung.
Ich habe die Monowall hinter einen Router stehen.
Router192.168. 0.1
Monowall 192.168.0.2
Danke
Kurz für mein Verständnis ?
Wenn ich v. VLAN10 ins VLAN20 möchte zb uber http dann muss ich i.VLAN20 d.http für 10 zulassen. oder ?
Wie schaut es mit d. DNS aus. Ich komme zwar v. VLAN10 auf eine Externe IP aber nicht über die DNS Auflösung.
Ich habe die Monowall hinter einen Router stehen.
Router192.168. 0.1
Monowall 192.168.0.2
Danke
Nein, nicht ganz richtig. Vielleicht solltest du dir erstmal die Grundlagen eines TCP Verbindungsaufbaus zu Gemüte führen, dann ist das Verständnis kinderleicht:
http://de.wikipedia.org/wiki/Transmission_Control_Protocol
In Kurzform:
Rechner in VLAN 10 sendet mit einer Absender IP aus VLAN einen TCP SYN Request mit TCP Port 80 an einen Zieladresse in VLAN 20.
Beispiel hier Netz VLAN 10 = 172.16.10.0 /24 und VLAN 20 = 172.16.20.0 /24 )
Normalerweise sind die Monowall Interfaces, wie es sich für eine Firewall gehört, per Default alle dicht und du musst explizit alles zulassen was du willst.
Es gibt nun mehrere Möglichkeiten den Zugriff zw. VLAN 10 und 20 mit HTTP zu erlauben. Leider bist du hier höchst unpräzise in deiner Aufgabenstellung so das wir mal in Kurzform ein paar Möglichkeiten beleuchten:
Alle nachfolgenden Regeln werden auf dem VLAN 10 Interface etabliert !
Das obige erlaubt natürlich nur Port 80 HTTP Traffic ! Wenn du sowas wie www.administrator.de eingibst, dann bleibt das in der Firewall hängen, denn DNS ist Port 53 Traffic und den hast du ja nicht freigegeben. Folglich schlägt also die Namensauflösung fehl. Damit das nicht passiert musst du an VLAN 10 natürlich auch:
Absender IP Netz (Source) 172.16.10.0 auf Empfänger IP Netz (Destination) any (oder da wo dein DNS Server steht) mit dem Zielport 53 erlauben. Dann gehen auch DNS durch.
Als Hilfe ist hier immer das Firewall Log in der Monowall dein bester Freund !
Das zeigt dir immer explizit an was gefiltert bzw. geblockt wird und da kannst du dann genau sehen was nicht durchgeht aber ggf. durchgehen sollte.
Sie also immer ins FW Log, dann weisst du mehr !
Was deine DNS Frage anbetrifft hast du oben ja die Antwort mit Port 53 freigeben. Zusätzlich musst du den Router (der ja Proxy DNS) ist in den global Einstellungen als DNS Server eintragen. Ausnahme: Du verbindest die Monowall am WAN Port statt mit statischer IP mit DHCP mit dem Router 192.168.0.1 !
Dann wird der DNS dynamisch der Monowall mitgeteilt !
Vermtlich ist es bei dir also nur die fehlende Firewall Regel mit Port 53 ?!
http://de.wikipedia.org/wiki/Transmission_Control_Protocol
In Kurzform:
Rechner in VLAN 10 sendet mit einer Absender IP aus VLAN einen TCP SYN Request mit TCP Port 80 an einen Zieladresse in VLAN 20.
Beispiel hier Netz VLAN 10 = 172.16.10.0 /24 und VLAN 20 = 172.16.20.0 /24 )
Normalerweise sind die Monowall Interfaces, wie es sich für eine Firewall gehört, per Default alle dicht und du musst explizit alles zulassen was du willst.
Es gibt nun mehrere Möglichkeiten den Zugriff zw. VLAN 10 und 20 mit HTTP zu erlauben. Leider bist du hier höchst unpräzise in deiner Aufgabenstellung so das wir mal in Kurzform ein paar Möglichkeiten beleuchten:
Alle nachfolgenden Regeln werden auf dem VLAN 10 Interface etabliert !
- Du kannst von Absender IP (Source) any auf EmpfängerIP (Destination) any mit dem Zielport 80 alles erlauben. Das lässt dann sämtlichen Port 80 Traffic (HTTP) von überall nach überall hin.
- Besser ist folgendes: Absender IP Netz (Source) 172.16.10.0 auf Empfänger IP Netz (Destination) 172.16.20.0 mit dem Zielport 80 erlauben. Das erlaubt NUR HTTP Traffic zwischen VLAN 10 und VLAN 20 !
- Bedenke das du auch am VLAN 20 Interface den Rückweg erlauben musst. Also auch hier müssen Antwortpakete vom VLAN 20 Absender IP Netz (Source) 172.16.20.0 auf Empfänger IP Netz (Destination) in VLAN 10 172.16.10.0 erlaubt sein sonst können die Antwortpakete nicht passieren !
Das obige erlaubt natürlich nur Port 80 HTTP Traffic ! Wenn du sowas wie www.administrator.de eingibst, dann bleibt das in der Firewall hängen, denn DNS ist Port 53 Traffic und den hast du ja nicht freigegeben. Folglich schlägt also die Namensauflösung fehl. Damit das nicht passiert musst du an VLAN 10 natürlich auch:
Absender IP Netz (Source) 172.16.10.0 auf Empfänger IP Netz (Destination) any (oder da wo dein DNS Server steht) mit dem Zielport 53 erlauben. Dann gehen auch DNS durch.
Als Hilfe ist hier immer das Firewall Log in der Monowall dein bester Freund !
Das zeigt dir immer explizit an was gefiltert bzw. geblockt wird und da kannst du dann genau sehen was nicht durchgeht aber ggf. durchgehen sollte.
Sie also immer ins FW Log, dann weisst du mehr !
Was deine DNS Frage anbetrifft hast du oben ja die Antwort mit Port 53 freigeben. Zusätzlich musst du den Router (der ja Proxy DNS) ist in den global Einstellungen als DNS Server eintragen. Ausnahme: Du verbindest die Monowall am WAN Port statt mit statischer IP mit DHCP mit dem Router 192.168.0.1 !
Dann wird der DNS dynamisch der Monowall mitgeteilt !
Vermtlich ist es bei dir also nur die fehlende Firewall Regel mit Port 53 ?!
Hallo
Hallo
OK das ist mit jetzt eher klar. Ich war mir ein bisserl unsicher bez.
Ich werde das heute TESTEN. Bez. DNS ist mir klar. Ich bin erst später auf meinen Fehler gekommen. (Habe die M0n0wall hinter einen Router stehen) .
Danke ich werde mich nochmals melden
Hallo
OK das ist mit jetzt eher klar. Ich war mir ein bisserl unsicher bez.
Zitat von @aqui:
Nein, Firewall Regeln gellten immer nur eingehend also alles was in die Firewall reingeht wird inspiziert. Niemals etwas was
rausgeht.
Nein, Firewall Regeln gellten immer nur eingehend also alles was in die Firewall reingeht wird inspiziert. Niemals etwas was
rausgeht.
Ich werde das heute TESTEN. Bez. DNS ist mir klar. Ich bin erst später auf meinen Fehler gekommen. (Habe die M0n0wall hinter einen Router stehen) .
Danke ich werde mich nochmals melden
Na, dann sind wir mal ganz gespannt auf die Ergebnisse... 
Hallo
Also erste ERFOLGSMELDUNG.
Ich habe jetzt d. bestehenden Router v. Netz genommen und die M0m0wall hineingehängt. Das alte Netz 192.168.0.0/24 habe ich zur Zeit so gelassen. Mit d. Clients, Server usw kommen in das Internet und natürlich sind diese auch aus d. Internet erreichbar. (Serverdienste).
PPTP habe ich auch eingerichtet und funkt auch sofort.
Bez. d. VLAN`s 10-40.
VLAN habe ich schon eingerichtet, Switch ist auch schon konfiguriert. Wenn ich mich auf den VLAN10 Port v. Switch hänge bekomme ich auch schon die Richtige Adresse.
Jetzt muss ich noch die einzelnen VLANS (Firewall) einrichten und das alte Netz 192.168.0.0 auf VLAN10 migrieren.
Melde mich nochmal
Also erste ERFOLGSMELDUNG.
Ich habe jetzt d. bestehenden Router v. Netz genommen und die M0m0wall hineingehängt. Das alte Netz 192.168.0.0/24 habe ich zur Zeit so gelassen. Mit d. Clients, Server usw kommen in das Internet und natürlich sind diese auch aus d. Internet erreichbar. (Serverdienste).
PPTP habe ich auch eingerichtet und funkt auch sofort.
Bez. d. VLAN`s 10-40.
VLAN habe ich schon eingerichtet, Switch ist auch schon konfiguriert. Wenn ich mich auf den VLAN10 Port v. Switch hänge bekomme ich auch schon die Richtige Adresse.
Jetzt muss ich noch die einzelnen VLANS (Firewall) einrichten und das alte Netz 192.168.0.0 auf VLAN10 migrieren.
Melde mich nochmal
Hört sich doch gut an ! Du bist auf dem richtigen Wege und es wird auch alles problemlos klappen wenn du das Tutorial befolgst !
Hallo aqui
Also irgendwo habe ich noch einen Fehler i. System. Wenn ich mich mittels VPN (PPTP) verbinde bin ich im . Netz 192.168.0.0/24. Ist ja auch OK.
Leider kann ich nicht auf das VLAN20 zugreifen. Ich habe zur Zeit folgende Konfiguration.(z. TESTEN)
Absender IP (Source) any auf EmpfängerIP (Destination) any mit dem Zielport any. Das lässt dann sämtliches von überall nach überall hin zu. ODER ???
Dieses habe ich bei LAN Rules konfiguriert
192.168.0.0/24 LAN * * * * *
und dieses habe ich bei VLAN20 Rules konfiguriert
172.16.20.0/24 VLAN20 * * * * *
Da müßte ja alles offen sein von Lan -> VLAN20 und RETOUR oder ???
Danke
Also irgendwo habe ich noch einen Fehler i. System. Wenn ich mich mittels VPN (PPTP) verbinde bin ich im . Netz 192.168.0.0/24. Ist ja auch OK.
Leider kann ich nicht auf das VLAN20 zugreifen. Ich habe zur Zeit folgende Konfiguration.(z. TESTEN)
Absender IP (Source) any auf EmpfängerIP (Destination) any mit dem Zielport any. Das lässt dann sämtliches von überall nach überall hin zu. ODER ???
Dieses habe ich bei LAN Rules konfiguriert
192.168.0.0/24 LAN * * * * *
und dieses habe ich bei VLAN20 Rules konfiguriert
172.16.20.0/24 VLAN20 * * * * *
Da müßte ja alles offen sein von Lan -> VLAN20 und RETOUR oder ???
Danke
Hallo
Ich habe jetzt nochmals einige Tests durchgeführt.
Ich habe auf d. VLAN20 einen Citrix Xen Server + 1 Gast (Win 2003) laufen.
Wenn ich mit d. Notebook an das Lan hänge (192.168.0.0/24) dann kann ich zb. mittels Remoete Desktop auf d. Win 2003 Server (VLAN20 172.16.20.196) zugreifen aber ich kann nicht auf d. Citrix Xen Server (172.16.20.198) zugreifen. ???
Hänge ich das Notebook an d. VLAN20 an kann ich auf d. Citrix Xen Server zugreifen.
Irgendwie ist das kommisch
LG Andre2408
Ich habe jetzt nochmals einige Tests durchgeführt.
Ich habe auf d. VLAN20 einen Citrix Xen Server + 1 Gast (Win 2003) laufen.
Wenn ich mit d. Notebook an das Lan hänge (192.168.0.0/24) dann kann ich zb. mittels Remoete Desktop auf d. Win 2003 Server (VLAN20 172.16.20.196) zugreifen aber ich kann nicht auf d. Citrix Xen Server (172.16.20.198) zugreifen. ???
Hänge ich das Notebook an d. VLAN20 an kann ich auf d. Citrix Xen Server zugreifen.
Irgendwie ist das kommisch
LG Andre2408
Wie immer die lokale Firewall am Citrix die fremde IP Adressen blockiert. das musst du anpassen, dann klappt das auch !
Ok
Super.
Danke
Super.
Danke
Hallo
Und schon wieder eine Frage.
Wenn ich einen Cient ins VLAN20 hänge (mit DHCP ) dann kann ich mit den Client ins Internet. Wenn ich aber d Client eine fixe IP (zb. 172.16.20.131, 255.255.255.0 Gateway und DNS 172.16.20.1) vergebe klappt es mit d.DNS nicht?
Verstehe ich nicht ganz?
Ich habe ja b..VLAN das Scheunentor noch offen.
Habe ich bei d.DNS etwas falsch? :'(
Danke
Und schon wieder eine Frage.
Wenn ich einen Cient ins VLAN20 hänge (mit DHCP ) dann kann ich mit den Client ins Internet. Wenn ich aber d Client eine fixe IP (zb. 172.16.20.131, 255.255.255.0 Gateway und DNS 172.16.20.1) vergebe klappt es mit d.DNS nicht?
Verstehe ich nicht ganz?
Ich habe ja b..VLAN das Scheunentor noch offen.
Habe ich bei d.DNS etwas falsch? :'(
Danke
Wenn es per DHCP geht, dann gebe wie immer einmal ipconfig -all am Client ein und checke was die FW dir für IP Adressen dort vergeben hat.
Genau DIE trägst du logischerweise auch statisch ein und fertig ist der Lack !
Vermutlich vergibt die FW nicht die lokale IP als DNS sondern die des Internet Routers der am WAN Port hängt. Ein ipconfig zeigt dir das in Sekundenschnelle !
Genau DIE trägst du logischerweise auch statisch ein und fertig ist der Lack !
Vermutlich vergibt die FW nicht die lokale IP als DNS sondern die des Internet Routers der am WAN Port hängt. Ein ipconfig zeigt dir das in Sekundenschnelle !
Hallo
Ja genau das habe ich auch gemacht aber irgendwie geht es nicht ??? Die M0n0wall hängt schon direkt am WAN.
Ja genau das habe ich auch gemacht aber irgendwie geht es nicht ??? Die M0n0wall hängt schon direkt am WAN.
Was meinst du genau mit "...hängt schon direkt am WAN" ?? Ist dort noch ein Internet Router mit NAT davor und einem RFC 1918, also einem privaten IP Netz oder hängt die Monowall mit einem einfachen NUR Modem direkt am Internet, also bekommst du am WAN Port eine öffentliche IP und hast auch die Zugangsdaten zum Provider auf der Monowall konfiguriert ??
Hallo
Ja ich habe d. Router v. Netz genommen und die M0n0wall direkt ins Netz gehängt. WAN hat ne externe IP und funkt auch.
Habe ich eh schon geschrieben.
und intern hat die Monowall die 192.168.0.1
und 4 VLAN
VLAN10 172.16.10.1/24
VLAN20 172.16.20.1/24 DHCP AKTIV
VLAN30 172.16.30.1/24 DHCP AKTIV
VLAN40 172.16.40.1/24 DHCP AKTIV
Alle PC`s hängen noch i. 192.168.0.1/24 Netz. Dort gibt es natürlich auch einen eigenen DNS usw. Diese werden i., Zukunft auf das VLAN10 integriert. Da funkt auch alles.
Das VLAN20 wird ein VOIP Netz.
Dort gibt es keinen eigenen DHCP, DNS Server. In diesen Netz gibt es zur Zeit einen Citrix Xen Server und 2 Gäste. Xen und 1 Gast haben noch die IP v. DHCP. Bei diesen funkt auch das Internet.
Bei d 2 Gast habe ich eine fixe IP eingetragen aber d. DNS geht nicht.
Danke
Ja ich habe d. Router v. Netz genommen und die M0n0wall direkt ins Netz gehängt. WAN hat ne externe IP und funkt auch.
Habe ich eh schon geschrieben.
und intern hat die Monowall die 192.168.0.1
und 4 VLAN
VLAN10 172.16.10.1/24
VLAN20 172.16.20.1/24 DHCP AKTIV
VLAN30 172.16.30.1/24 DHCP AKTIV
VLAN40 172.16.40.1/24 DHCP AKTIV
Alle PC`s hängen noch i. 192.168.0.1/24 Netz. Dort gibt es natürlich auch einen eigenen DNS usw. Diese werden i., Zukunft auf das VLAN10 integriert. Da funkt auch alles.
Das VLAN20 wird ein VOIP Netz.
Dort gibt es keinen eigenen DHCP, DNS Server. In diesen Netz gibt es zur Zeit einen Citrix Xen Server und 2 Gäste. Xen und 1 Gast haben noch die IP v. DHCP. Bei diesen funkt auch das Internet.
Bei d 2 Gast habe ich eine fixe IP eingetragen aber d. DNS geht nicht.
Danke
Mmmhhh, also wenn 2 Endgeräte im VLAN 20 Netz mit DHCP sauber funktionieren und ein Endgerät im gleichen VLAN Segment nicht, dann stimmt ja de facto etwas an den IP Einstellungen dieses Endgerätes nicht !!
Wäre es die FW würden ja logischerweise auch die anderen beiden Geräte nicht funktionieren.
Entweder hast du wie so oft einen Zahlendreher in den IP Adressen, die statische IP Adresse in den DHCP Bereich gelegt, den PC Port gar nicht ins VLAN 20 (Switch) gelegt oder irgend einen anderen Fehler begangen !
Du solltest also deine Suche auf den PC und den VLAN Switch selber konzentrieren.
Was sagt denn z.B. ein nslookup www.administrator.de ?? Fragt er den DNS Server ? Was kommt als Antwort ? Kannst du DNS IP Pingen und auch ins Internet ?
Kannst du um mal generell DNS Probleme auszuschliessen nackte IP Adressen wie z.B. 193.99.144.85 (www.heise.de) oder 195.71.11.67 (spiegel.de) anpingen vom VLAN 20 aus ?
Lass dir doch nicht alles einzeln aus der Nase ziehen...
Wäre es die FW würden ja logischerweise auch die anderen beiden Geräte nicht funktionieren.
Entweder hast du wie so oft einen Zahlendreher in den IP Adressen, die statische IP Adresse in den DHCP Bereich gelegt, den PC Port gar nicht ins VLAN 20 (Switch) gelegt oder irgend einen anderen Fehler begangen !
Du solltest also deine Suche auf den PC und den VLAN Switch selber konzentrieren.
Was sagt denn z.B. ein nslookup www.administrator.de ?? Fragt er den DNS Server ? Was kommt als Antwort ? Kannst du DNS IP Pingen und auch ins Internet ?
Kannst du um mal generell DNS Probleme auszuschliessen nackte IP Adressen wie z.B. 193.99.144.85 (www.heise.de) oder 195.71.11.67 (spiegel.de) anpingen vom VLAN 20 aus ?
Lass dir doch nicht alles einzeln aus der Nase ziehen...
Hallo aqui
Also. Ich habe d. Client nochmals eine DYNAMISCHE IP gegeben und es funkt. Habe diese wieder in eine STATISCHE geändert und es funkt jetzt auch. Ich weiß zwar nicht warum aber ok.
Andere Frage habe ich noch.
Ich habe ja d. 1 Switch mit d. VLAN konfiguriert usw. Funkt ja auch. Jetzt möchte ich aber einen 2 Switch ins VLAN hängen. Die 2 Switch muss ich ja über Tagging verbinden oder . Und d. 2 Switch auch die ganzen VLANs einrichten oder ?? Was muss ich da beachten ??
Danke
Also. Ich habe d. Client nochmals eine DYNAMISCHE IP gegeben und es funkt. Habe diese wieder in eine STATISCHE geändert und es funkt jetzt auch. Ich weiß zwar nicht warum aber ok.
Andere Frage habe ich noch.
Ich habe ja d. 1 Switch mit d. VLAN konfiguriert usw. Funkt ja auch. Jetzt möchte ich aber einen 2 Switch ins VLAN hängen. Die 2 Switch muss ich ja über Tagging verbinden oder . Und d. 2 Switch auch die ganzen VLANs einrichten oder ?? Was muss ich da beachten ??
Danke
Eigentlich ist da nichts zu beachten und du hast die richtigen Schritte schon selbst benannt:
- VLANs und deren IDs auf beiden Switches identisch einrichten
- Auf dem Verbindungsport der beide Switches verbindet diese VLANs als "Tagged" einrichten
- Fertig !
Hallo aqui
noch eine Frage habe ich
Ich habe ja PPTP eingerichtet. Wenn ich mich verbinde bekomme ich zb eine 192.168.0.190 Adresse. Warum komme ich mittels Remote Desktop nicht auf mein VLAN20. Wenn ich aber Vor-Ort im Netz hänge (192.168.0.0/24) dann klappt es ???
Was muss ich da bei der Firewall einstellen ???
Ich habe ja bei beiden Netzwerken (zwischen LAN und VLAN20) noch alles offen ???
noch eine Frage habe ich
Ich habe ja PPTP eingerichtet. Wenn ich mich verbinde bekomme ich zb eine 192.168.0.190 Adresse. Warum komme ich mittels Remote Desktop nicht auf mein VLAN20. Wenn ich aber Vor-Ort im Netz hänge (192.168.0.0/24) dann klappt es ???
Was muss ich da bei der Firewall einstellen ???
Ich habe ja bei beiden Netzwerken (zwischen LAN und VLAN20) noch alles offen ???
Du musst für die Kommunikation VLAN zu PPTP Tunnel noch eine Firewall Regel für PPTP erstellen die diesen Traffic erlaubt. Auch das ist per default alles verboten wie generell üblich bei einer Firewall !!
Sie dir einfach das Firewall Log an, dort steht genau das drin was geblockt wird und das gibts du in der Regel frei.
Lösche vorher das Firewall Log, versuche die Verbindung und sehe dir direkt danach das FW Log an, dann weisst du welche Ports du freigeben musst. Bei RDP ist das TCP 3389.
Sie dir einfach das Firewall Log an, dort steht genau das drin was geblockt wird und das gibts du in der Regel frei.
Lösche vorher das Firewall Log, versuche die Verbindung und sehe dir direkt danach das FW Log an, dann weisst du welche Ports du freigeben musst. Bei RDP ist das TCP 3389.
Hallo
Ich habe ja bei diversen Netzwerken (zwischen LAN, PPTP und VLAN20) noch alles offen. (Scheuentor) Das müßte doch funken oder???
Ich habe ja bei diversen Netzwerken (zwischen LAN, PPTP und VLAN20) noch alles offen. (Scheuentor) Das müßte doch funken oder???
Ja, wenn dort wirklich mit * * also any any alles erlaubt ist ja. Wichtig ist die PPTP Tunnelverbindung !
Was steht denn im FW Log wenn du versuchste eine Verbindung zu machen ?
Als Beispiel hier ein sauber funktionierendes Setup für 128 Bit PPTP
So siehsts aus:
1.) Schritt einrichten und Aktivieren des PPTP Servers auf der Monowall:
ACHTUNG: In dieser Konfig ist das PPTP Clientnetz ein Subnetz aus dem lokalen LAN. Hierbei muss man zwingend aufpassen das PPTP Client Subnetz NICHT mit dem DHCP Bereich im LAN kollidieren zu lassen. Auch dürfen diese IP Adressen logischerweise niemals statisch vergeben werden um hier eine IP Adressüberschneidung zu vermeiden. Gleiches gilt für die IP Adresse des PPTP Servers (hier 192.168.1.254)
Besser und sicherer ist es hier unbedingt ein separates IP Netz zu schaffen bei dem es keinerlei Überschneidungen geben kann. Alternative hier im Setup: 172.16.1.x
3.) Schritt: PPTP Benutzer einrichten im "User" Karteireiter des PPTP Servers: (Hier User: test, Passwort: test123)
2.) Schritt: Anpassen des WAN Ports in den Firewall Rules, damit eingehende PPTP Verbindungen (TCP 1723 und GRE) von außen zugelassen werden:
3.) Schritt: VPN Tunnel (Client Zugriff) in den Firewall Regeln zulassen auf das lokale LAN Segment oder ggf. anderes Segment (VLAN etc)
ACHTUNG: Hier dürfen die VPN User auf alles im lokalen LAN Segment zugreifen ! (any zu any). Ggf. musst du das einschränken auf TCP 3389 wenn du z.B. nur RDP erlauben willst. Bedenke das du ggf. auch DNS, ICMP (Ping) usw. separat erlauben musst sofern du das benötigst !
Wenn du das entsprechend genau so passend zu deinen IP Segmenten auf denen du den VPN Usern Zugriff gewähren willst einrichtest, funktioniert es auf Anhieb !!
Was steht denn im FW Log wenn du versuchste eine Verbindung zu machen ?
Als Beispiel hier ein sauber funktionierendes Setup für 128 Bit PPTP
So siehsts aus:
1.) Schritt einrichten und Aktivieren des PPTP Servers auf der Monowall:
ACHTUNG: In dieser Konfig ist das PPTP Clientnetz ein Subnetz aus dem lokalen LAN. Hierbei muss man zwingend aufpassen das PPTP Client Subnetz NICHT mit dem DHCP Bereich im LAN kollidieren zu lassen. Auch dürfen diese IP Adressen logischerweise niemals statisch vergeben werden um hier eine IP Adressüberschneidung zu vermeiden. Gleiches gilt für die IP Adresse des PPTP Servers (hier 192.168.1.254)
Besser und sicherer ist es hier unbedingt ein separates IP Netz zu schaffen bei dem es keinerlei Überschneidungen geben kann. Alternative hier im Setup: 172.16.1.x
3.) Schritt: PPTP Benutzer einrichten im "User" Karteireiter des PPTP Servers: (Hier User: test, Passwort: test123)
2.) Schritt: Anpassen des WAN Ports in den Firewall Rules, damit eingehende PPTP Verbindungen (TCP 1723 und GRE) von außen zugelassen werden:
3.) Schritt: VPN Tunnel (Client Zugriff) in den Firewall Regeln zulassen auf das lokale LAN Segment oder ggf. anderes Segment (VLAN etc)
Wenn du das entsprechend genau so passend zu deinen IP Segmenten auf denen du den VPN Usern Zugriff gewähren willst einrichtest, funktioniert es auf Anhieb !!
Hallo aqui
Also 1 muss ich einmal ein Lob aussprechen. Deine Antworten sind einfach genial und ausführlich. EINFACH SUPER.
Bez. d. Antwort. Eigentlich habe ich diese so konfiguriert. Ich werde mir aber nochmals die Konfig anschauen und melde mich nochmals.
Danke
Also 1 muss ich einmal ein Lob aussprechen. Deine Antworten sind einfach genial und ausführlich. EINFACH SUPER.
Bez. d. Antwort. Eigentlich habe ich diese so konfiguriert. Ich werde mir aber nochmals die Konfig anschauen und melde mich nochmals.
Danke
Hallo
Jetzt habe ich mir die Konfig nochmals angesehen. Die ist genau wie du geschrieben hast. ???
Leider sehe ich in der Firewall Log nicht wirklich etwas. Alles nur nicht diese IP.
Verbinden kann ich mich mit PPTP. Ich bin im LAN Netz (192.168.0.0/24)
Ich habe jetzt die Rules nochmals neu angelegt und siehe da.
Wenn ich mich per Remote Desktop auf die IP 192.168.0.90 verbinde funkt es. Warum auch immer es jetzt funkt.
Bei d. Rules LAN habe ich folgendes drin.
( * PPTP clients * * * )
Auf das VLAN20 komme ich aber nicht hin. Wenn ich Vor-Ort im Netz 192.168.0.0/24 hänge komme ich aber schon ins VLAN20.
Danke
Jetzt habe ich mir die Konfig nochmals angesehen. Die ist genau wie du geschrieben hast. ???
Leider sehe ich in der Firewall Log nicht wirklich etwas. Alles nur nicht diese IP.
Verbinden kann ich mich mit PPTP. Ich bin im LAN Netz (192.168.0.0/24)
Ich habe jetzt die Rules nochmals neu angelegt und siehe da.
Wenn ich mich per Remote Desktop auf die IP 192.168.0.90 verbinde funkt es. Warum auch immer es jetzt funkt.
Bei d. Rules LAN habe ich folgendes drin.
( * PPTP clients * * * )
Auf das VLAN20 komme ich aber nicht hin. Wenn ich Vor-Ort im Netz 192.168.0.0/24 hänge komme ich aber schon ins VLAN20.
Danke
Vermutlich hast du in den VLAN 20 FW Rules vergessen auch den Rückweg für die "PPTP Clients" Pakete anzugegen !!
Dort muss natürlich eine Regel stehen die erlaubt von der Source "VLAN 20" * * als Destination "PPTP Clients" * *.
Ansonsten können die Antwortpakete logischerweise den VLAN20 Port nicht passieren ins PPTP VPN und werden geblockt !!
Leider fehlt da der passende Screenshot der VLAN20 FW Regeln von dir um das zu kontrollieren
Dort muss natürlich eine Regel stehen die erlaubt von der Source "VLAN 20" * * als Destination "PPTP Clients" * *.
Ansonsten können die Antwortpakete logischerweise den VLAN20 Port nicht passieren ins PPTP VPN und werden geblockt !!
Leider fehlt da der passende Screenshot der VLAN20 FW Regeln von dir um das zu kontrollieren
Hallo
Habe ich eh. Ich sckicke dir noch heute ein paar Screenshots
Habe ich eh. Ich sckicke dir noch heute ein paar Screenshots
Screenshots sind nicht nötig ! Ein schneller Labortest zeigt das Dilemma...
Wenn du per PPTP eingewählt bist kannst du das auch selber sehen ! Gib route print ein ! Dort fehlt ein Route Eintrag der das VLAN 20 IP Netz in den PPTP Tunnel routet. Es wird nur das Netz geroutet indem sich auch der PPTP Server und die Client IDs befinden. Das ist das Problem.
Du musst also eine statische Route am Client ala:
route add <vlan20netz> mask <maskevlan20> <ip adressepptpgateway>
eingeben, dann funktioniert es problemlos.
Mögliche Lösung:
Das PPTP Netzwerk in ein eigenes separates IP Netz legen und checken ob die Route propagiert wird per PPTP. Als "Trick" könnte man eine Größere Subnetzmaske nehmen, so das alle Subnetze auf der Monowall mit der PPTP Maske erfasst werden.
Das wäre die sinnvollste Lösung und erspart die den Unsinn mit den statischen Routen.
Beispiel:
Deine lokalen IPs sind:
192.168.1.0 /24 = LAN
192.168.20.0 /24 = VLAN 20
Die PPTP Maske muss dann lauten: 192.168.1.0 mit einer 19 Bit Maske also 255.255.224.0. Das erfasst dann alle Netze von 192.168.0.1 bis 192.168.31.254 für den PPTP Tunnel.
Versuch das mal um das Problem zu fixen !
Wenn du per PPTP eingewählt bist kannst du das auch selber sehen ! Gib route print ein ! Dort fehlt ein Route Eintrag der das VLAN 20 IP Netz in den PPTP Tunnel routet. Es wird nur das Netz geroutet indem sich auch der PPTP Server und die Client IDs befinden. Das ist das Problem.
Du musst also eine statische Route am Client ala:
route add <vlan20netz> mask <maskevlan20> <ip adressepptpgateway>
eingeben, dann funktioniert es problemlos.
Mögliche Lösung:
Das PPTP Netzwerk in ein eigenes separates IP Netz legen und checken ob die Route propagiert wird per PPTP. Als "Trick" könnte man eine Größere Subnetzmaske nehmen, so das alle Subnetze auf der Monowall mit der PPTP Maske erfasst werden.
Das wäre die sinnvollste Lösung und erspart die den Unsinn mit den statischen Routen.
Beispiel:
Deine lokalen IPs sind:
192.168.1.0 /24 = LAN
192.168.20.0 /24 = VLAN 20
Die PPTP Maske muss dann lauten: 192.168.1.0 mit einer 19 Bit Maske also 255.255.224.0. Das erfasst dann alle Netze von 192.168.0.1 bis 192.168.31.254 für den PPTP Tunnel.
Versuch das mal um das Problem zu fixen !
Ok habe ich verstanden. Die Lösung mit 19 Bit Maske ist sicher nicht schlecht.
Das Problem ist das ich die IP nicht mehr ändern kann.
Bin gerade auf anderes Problem gekommen. Nicht nur ich verwende d. PPTP zwecks Wartung usw. Die User dürfen / können sich ja auch Verbinden. Dann können diese ja auch überall hin. Das kann ich ja dann nicht mehr unterbinden. oder
DANKE
Das Problem ist das ich die IP nicht mehr ändern kann.
Bin gerade auf anderes Problem gekommen. Nicht nur ich verwende d. PPTP zwecks Wartung usw. Die User dürfen / können sich ja auch Verbinden. Dann können diese ja auch überall hin. Das kann ich ja dann nicht mehr unterbinden. oder
DANKE
Jein. Wenn du mit Usern einen gemeinsamen PPTP Zugang nutzt kannst du nur über die Firewall regeln filtern indem du dir eine feste IP im PPTP vergeben lässt. Dies IP "darf" dann mehr als die anderen ! Das klappt und ist die einzige Option.
Was das Problem oben anbetrifft, hast du mal mit 2 IP Netzen probiert also indem du dem PPTP ein völlig eienständiges Netz gibst. Tauchen da dann die anderen in der Routing Tabelle auf ??
Was das Problem oben anbetrifft, hast du mal mit 2 IP Netzen probiert also indem du dem PPTP ein völlig eienständiges Netz gibst. Tauchen da dann die anderen in der Routing Tabelle auf ??
Das müßte ich nochmals testen
Ich habe es gerade getestet
Ich habe für PPTP ein
VLAN99 mit der IP 172.16.99.1 angelegt
PPTP Server 172.16.99.2
Jetzt komme ich in alle VLANs ausser in das LAN 192.168.0.0/24
Tja schon besser.
Wie meinst Du in der Routing Tabelle ???
Ich habe für PPTP ein
VLAN99 mit der IP 172.16.99.1 angelegt
PPTP Server 172.16.99.2
Jetzt komme ich in alle VLANs ausser in das LAN 192.168.0.0/24
Tja schon besser.
Wie meinst Du in der Routing Tabelle ???
Mit "Routing Tabelle" war gemeint wenn du mit dem PPTP Client per VPN eingewählt bist und dann einmal route print eingibst, solltest du dann alle Routen in die IP Netze (VLANs) auf der Monowall sehen inkl. LAN die als Gateway die VPN IP der Monowall als Next Hop haben.
Dort sollte auch dein 192.168.0.0 /24 Netzwerk auftauchen !!
Beachte aber das das eine dumme RFC 1918 Allerwelts IP ist.
Solltest du also selber mit dem VPN Client in dem IP Netz sein, was immer vorkommt da das massenhaft vergeben ist, dann wirds natürlich nix mit dem Routing via VPN in das Netzwerk !!!
Siehe auch:
VPNs einrichten mit PPTP
Das du entsprechend richtige FW Regeln für den Zugriff ins 192.168.0.0er Netz angelegt hast setzen wir mal voraus...?!
Dort sollte auch dein 192.168.0.0 /24 Netzwerk auftauchen !!
Beachte aber das das eine dumme RFC 1918 Allerwelts IP ist.
Solltest du also selber mit dem VPN Client in dem IP Netz sein, was immer vorkommt da das massenhaft vergeben ist, dann wirds natürlich nix mit dem Routing via VPN in das Netzwerk !!!
Siehe auch:
VPNs einrichten mit PPTP
Das du entsprechend richtige FW Regeln für den Zugriff ins 192.168.0.0er Netz angelegt hast setzen wir mal voraus...?!
