admanni
Goto Top

Watchguard Firebox Edge X15 an einem Lancom 821plus

Hallo !

Zum Lernen, Üben und Verstehen habe ich eine ausgemusterte Watchguard Egde X15 bekommen können und ein kleines Netzwerk gebaut.

Meine Fragen hierzu sind vielleicht eher grundsätzlicher Natur, leider konnte ich aber weder in der Dokumentation noch im Watchguard-Forum
Antworten auf meine Fragen finden. Ich hoffe, dass Ihr mir an dieser Stelle ein wenig auf die Sprünge helfen könnt !

Here we go:

Mein Lancom 821+ Router (192.168.0.254) hängt an einem T-DSL 6000.

Wenn ich das Prinzip richtig verstanden habe, geht der Router online, leitet den Netzwerkverkehr weiter an die Firewall, welche dann durchlässt oder eben auch nicht
und leitet dann weiter ins LAN. Korrekt ?

Die Konfigurationsseite der Watchguard (192.168.111.1 per https) schlägt drei Varianten vor, wie sie ins Internet geht:

1. statische IP (feste IP vom ISP habe ich nicht)
2. PPPoE (VOR der Firebox müsste ein Modem hängen, richtig ?)
3. DHCP (was bedeutet an dieser Stelle DHCP ?)

Die Rechner laufen im Netzwerk 192.168.0.0. Wenn ich dem Lancom eine IP aus einem anderen Segment gebe, z. B. 192.168.10.254, und der Firebox
die ehemalige IP des Routers, nämlich 192.168.0.254, dann hätte ich doch das erreicht, was ein Router ohnehin schon macht, nämlich Netze trennen, oder ?

Wie schliesse ich denn nun den Router an ? Muss dieser zwingend als Modem laufen (ist das der sog. Bridge-Modus ?) ? Welche von den 3 Varianten ist die
richtige, um mit einem vorhandenen Router eine ordnungsgemässe Konfiguration aufzubauen ?

Vereinzelt habe ich gelesen, dass ein vorhandener Router HINTER die Firewall kommt... ehrlich gesagt verwirren mich viele gegensätzliche Aussagen.

Ich hoffe, ich konnte meine Fragen so stellen, dass sie auch jemand beantworten kann face-wink

Viele Grüsse und im Voraus schon einmal vielen Dank Euch allen !

admanni

Content-ID: 167483

Url: https://administrator.de/forum/watchguard-firebox-edge-x15-an-einem-lancom-821plus-167483.html

Ausgedruckt am: 25.12.2024 um 04:12 Uhr

win-osx
win-osx 05.06.2011 um 14:07:16 Uhr
Goto Top
Tach auch.

Da Du leider nicht beschreibst, was Du "genau" vorhast, fangen wir mal bei Null an:

WAN:

Dein LANCOM 821+ ist Dein NAT-Router. Alle anderen Systeme werden entsprechend hinter seiner öffentlichen IP-Adresse maskiert.

LAN:

Du hast ja beim LANCOM die Möglichkeit per ARF dem Router mehrere IP-Adressen in mehreren Netzwerken zu vergeben. Was genau möchtest Du erreichen:

Soll der Router sämtlichen Traffic an die Watchguard leiten?

Soll die Watchguard in einem anderen Netz stehen?

Was möchtest Du sonst?

Beschreibe mal den genauen Aufbau und dann sollten wir schon zu einem Ergebnis kommen.

Stefan
admanni
admanni 05.06.2011 um 14:30:22 Uhr
Goto Top
Hallo Stefan,

danke für Deine schnelle Antwort.

Genau wie Du schreibst, soll der gesamte Traffic an die Watchguard geleitet werden. Alle Geräte stehen im gleichen Subnetz 192.168.0.0 (Rechner, Router und die Firewall).

Mein Verständnis endet an der Stelle, wie die Firewall online geht, d. h. steht der Lancom VOR der Firewall und wird an den WAN1 angeschlossen und "bleibt
konfiguriert wie er jetzt ist" oder muss er als Modem fungieren, damit die Watchguard per PPPoE selbst online gehen kann.

Falls der Router "bleibt wie er jetzt ist" muss er dann eine IP aus einem anderen Subnetz bekommen (z. B. 192.168.10.x) ?

Bevor ich wie ein wilder alles zerkonfiguriere möchte ich gern das Verständnisproblem lösen...

Besten Dank & Gruss
win-osx
win-osx 05.06.2011 um 15:04:04 Uhr
Goto Top
Also grundsätzlich sind folgende Konstrukte möglich:

Der erster Aufbau:

LANCOM als 192.168.0.1
Watchguard als 192.168.0.2 mit dem LANCOM als Gateway

alle Clients erhalten als Gateway die 192.168.0.2.


Der zweite Aufbau:

LANCOM als reine Bridge (Modembetrieb)
die Watchguard macht dann PPPoE über den LANCOM unter ist der "Router".


Der dritte Aufbau:

LANCOM und Watchguard in einem Transfernetz:

LANCOM mit 172.16.23.1 / 255.255.255.252 - Watchguard mit 172.16.23.2 / 255.255.255.252 auf der WAN-Seite
Watchguard mit 192.168.0.1 / 255.255.255.0 auf der LAN-Seite

Dann NATtet die Watchguard entsprechend die Clients hinter Ihrer WAN-Adresse 172.16.23.2.

Es gibt noch mehr Möglichkeiten.. aber dennoch würde ich die erste oder zweite für Deinen Aufbau favorisieren.

Sofern Du mit VPN oder Portforwarding zu Rechnern hinter der Watchguard arbeiten willst, greife am besten zu Nummer Zwei.

Zur Konfiguration der Watchguard kann ich Dir wenig sagen. Ich selber komme direkt von LANCOM... face-wink
Das Routing wird in Deinem Falle nur WAN-seitig passieren, da meinem Verständnis nach keine weiteren lokalen Netze vorhanden sind welche getrennt werden sollen.

Wichtig ist aber in jedem gerouteten Szenario: niemals WAN- und LAN-seitig die gleichen Adressbereiche verwenden.

That should do!

Stefan
aqui
aqui 05.06.2011, aktualisiert am 18.10.2012 um 18:47:08 Uhr
Goto Top
1. und 2. Sind richtig.
3. DHCP bedeutet das der WAN Port vom davorliegenden Netz eine IP per DHCP bekommt.
Z.B. TV Kabel Netzwerk.
Wie du beides zusammenschaltest kannst du hier nachlesen:
Kopplung von 2 Routern am DSL Port
Szenario 2