Watchguard Firebox SOHO 6
Moin,
ich versuch grad eine SOHO 6 zu Konfigurieren, habe dabei aber leider ein kleines Problem. Ich komme nicht ins Internet. Die Leitung steht, und auch die SOHO ist von ausserhalb erreichbar. Ich kann aber von meinem Notebook aus, nicht aus dem trusted netzwerk ins Internet. Ich hab Testweise die Firewall komplett aufgemacht, aber bekomme in den Logs nur folgende Fehler angezeigt. Discard from 10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN (port not available).
Kennt jemand diesen Fehler? Ich weiss langsam nicht mehr weiter.
Gruß Duke
ich versuch grad eine SOHO 6 zu Konfigurieren, habe dabei aber leider ein kleines Problem. Ich komme nicht ins Internet. Die Leitung steht, und auch die SOHO ist von ausserhalb erreichbar. Ich kann aber von meinem Notebook aus, nicht aus dem trusted netzwerk ins Internet. Ich hab Testweise die Firewall komplett aufgemacht, aber bekomme in den Logs nur folgende Fehler angezeigt. Discard from 10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN (port not available).
Kennt jemand diesen Fehler? Ich weiss langsam nicht mehr weiter.
Gruß Duke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144174
Url: https://administrator.de/forum/watchguard-firebox-soho-6-144174.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
12 Kommentare
Neuester Kommentar
Mahlzeit ^^
Also ich habe meine private Watchguard u.a. so programmiert:
- Network External die DSL - Zugangsdaten eintragen
- Bei Trusted die IP-Adresse hinterlegen, die dann bei den Rechnern als Gateway hinterlegt wird. Subnet ist ja erstmal egal. DHCP musst Du selber wissen.
- Ob Du bei Routes ein Routing brauchst musst Du auch selber wissen. Wenn Du noch eine Firewall oder Router hast dann würde ich ein Routing eintragen
- Unter Firewall bei den Incoming Services würde ich erstmal alles zumachen. Bei Outgoinh must Du halt auch selber was Du da brauchst. Und bei den Custom würde ich erstmal alle Ports sperren die Windows zur Verfügung stellt und dann einzelne freigeben.
Mehr brauchst Du eigentlich nicht machen. Es geht zwar ncoh mehr, aber das sehe ich so als wichtigstes an. die Ports.
Also ich habe meine private Watchguard u.a. so programmiert:
- Network External die DSL - Zugangsdaten eintragen
- Bei Trusted die IP-Adresse hinterlegen, die dann bei den Rechnern als Gateway hinterlegt wird. Subnet ist ja erstmal egal. DHCP musst Du selber wissen.
- Ob Du bei Routes ein Routing brauchst musst Du auch selber wissen. Wenn Du noch eine Firewall oder Router hast dann würde ich ein Routing eintragen
- Unter Firewall bei den Incoming Services würde ich erstmal alles zumachen. Bei Outgoinh must Du halt auch selber was Du da brauchst. Und bei den Custom würde ich erstmal alle Ports sperren die Windows zur Verfügung stellt und dann einzelne freigeben.
Mehr brauchst Du eigentlich nicht machen. Es geht zwar ncoh mehr, aber das sehe ich so als wichtigstes an. die Ports.
Hast du DNS Proxy aktiviert auf der Watchguard ?? Wenn nicht musst du deinen Provider DNS auf deinem Client eintragen ! Sonst eben wenn die WG DNS Proxy ist, dann die WG IP Adresse als DNS !
Ebenso ist eine default Route Pflicht auf die IP der angegebenen Provider Router IP (Gateway) !
Obs ein DNS Problem ist kannst du ganz einfach testen indem du mal eine nackte IP im Internet anpingst wie z.B. heise.de 193.99.144.85 oder spiegel.de 195.71.11.67.
Der 2te wichtige Punkt ist: Das Lokale LAN an der WG hat das eine private RFC_1918_IP_Adresse ?? Wenn ja, sollte dir klar sein das du NAT (IP Adress Translation oder Masquerading) auf dem öffentlichen Interface (Providerseite) zwingend aktivieren musst !!
Ebenso ist eine default Route Pflicht auf die IP der angegebenen Provider Router IP (Gateway) !
Obs ein DNS Problem ist kannst du ganz einfach testen indem du mal eine nackte IP im Internet anpingst wie z.B. heise.de 193.99.144.85 oder spiegel.de 195.71.11.67.
Der 2te wichtige Punkt ist: Das Lokale LAN an der WG hat das eine private RFC_1918_IP_Adresse ?? Wenn ja, sollte dir klar sein das du NAT (IP Adress Translation oder Masquerading) auf dem öffentlichen Interface (Providerseite) zwingend aktivieren musst !!
Na ja das kommt darauf an...wenn dein Client mit dem du ins Internet willst am lokalen (trusted) LAN der WG in einem RFC 1918 IP Netz hängt ist ein Routing ins Internet unmöglich, denn wie du ja selber weisst werden diese privaten IP Netze im Internet nicht geroutet und beim Provider gleich in den Datenmülleimer verfrachtet.
In der Beziehung ist ein NAT auf die öffentliche Provider IP die du bekommen hast dann zwingend nötig.
Hast du allerdings vom Provider auch ein kleines öffentliches Subnetz für dein lokales (trusted) LAN bekommen zusätzlich zur Provider IP, dann benötigst du logischerweise kein NAT, denn dann hast du ja eine öffentliche IP am Client im lokalen Netz....klaro !
Leider schaffst du es ja nicht die IP Netze an der WG mal zu posten so das wir hier lustig weiterraten können...obwohl,... ob du ein 10er, 172er oder 192er Netz lokal (trusted) hast wirst du ja sicher auch schnell selber bestimmen können...
Wenn du vor der WG noch einen Router hast (danke für diese Info nachträglich ) dann fehlt dir schlicht und einfach wohl nur eine Default Route auf der WG zur IP des Routers. Bzw. für den Rückweg die zusätzliche Route im Internet Router !
Sie dir dieses Szenario einmal an:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das entspricht routingtechnisch genau das was du dort hast !! Denk dir einfach den Router PC weg und dir dafür deinen Soho WG hin...ist ja das gleiche !!
Es ist also nicht trivial ob du transparent routest an der Soho, denn das erfordert zwingend einen Routing Eintrag (statische Route) am Internet Router !!
Wenn du NAT machst an der WG benötigst du diese statische Route NICHT.
Vermutlich machst du aber kein NAT und damit kann der Internet Router dann deine Pakete nicht mehr zuordenen !!
In der Beziehung ist ein NAT auf die öffentliche Provider IP die du bekommen hast dann zwingend nötig.
Hast du allerdings vom Provider auch ein kleines öffentliches Subnetz für dein lokales (trusted) LAN bekommen zusätzlich zur Provider IP, dann benötigst du logischerweise kein NAT, denn dann hast du ja eine öffentliche IP am Client im lokalen Netz....klaro !
Leider schaffst du es ja nicht die IP Netze an der WG mal zu posten so das wir hier lustig weiterraten können...obwohl,... ob du ein 10er, 172er oder 192er Netz lokal (trusted) hast wirst du ja sicher auch schnell selber bestimmen können...
Wenn du vor der WG noch einen Router hast (danke für diese Info nachträglich ) dann fehlt dir schlicht und einfach wohl nur eine Default Route auf der WG zur IP des Routers. Bzw. für den Rückweg die zusätzliche Route im Internet Router !
Sie dir dieses Szenario einmal an:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das entspricht routingtechnisch genau das was du dort hast !! Denk dir einfach den Router PC weg und dir dafür deinen Soho WG hin...ist ja das gleiche !!
Es ist also nicht trivial ob du transparent routest an der Soho, denn das erfordert zwingend einen Routing Eintrag (statische Route) am Internet Router !!
Wenn du NAT machst an der WG benötigst du diese statische Route NICHT.
Vermutlich machst du aber kein NAT und damit kann der Internet Router dann deine Pakete nicht mehr zuordenen !!
OK, solange du noch einen Internet Router VOR der WG hast dann machst du keinen Denkfehler.
Dein Netzwerk sieht dann vermutlich so aus, oder ??
Ist jetzt mal geraten das dein untrusted Interface eine 29 Bit Maske hat ( .240er Subnetz mit 255.255.255.248, Internet Router IP mit der .246 mal fiktiv "geraten"...) ggf. musst du das also anpassen !
Wenn du nun die Default Route in der WG SoHo auf den Internet Router eingegeben hast und auch die Route im Internet Router auf das 192.168.111.0 /24 er Netz damit der die Pakete wieder richtig zustellen kann (Client Adressen aus dem trusted Netz kommen ja mit einer 192.168.111.0er Quell IP und die muss er korrekt routen können über die WG), dann sollte alles sauber klappen !!
Solltest du NAT machen setzt die WG auf dem untrusted Port ja alles auf die 213.23.15.242 IP um, so das der Internet Router gar keine Pakete vom 192.168.111.0er Netz "sieht". Dann musst du auch keine statische Route haben im Internet Router...klar, denn die 192.168.111er Ips tauchen durch den NAT Prozess nirgends mehr auf !
Du schreibst ja oben aber selber das du ja gerade kein NAT machst, damit gilt dann alles was oben steht !!
Damit sollte das im Handumdrehen laufen !
P.S.: Völlig unverständlich ist dann wi es zu solchen Fehlermeldungen wie den von dir oben geposteten "10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN" kommt. Diese IP Adressen sind ja gar nicht existent in deinem Netz. Abgesehen davon sind es auch RFC 1918 IPs ???
Oder willst du uns hier etwas aufs Glatteis führen...??!!
Dein Netzwerk sieht dann vermutlich so aus, oder ??
Ist jetzt mal geraten das dein untrusted Interface eine 29 Bit Maske hat ( .240er Subnetz mit 255.255.255.248, Internet Router IP mit der .246 mal fiktiv "geraten"...) ggf. musst du das also anpassen !
Wenn du nun die Default Route in der WG SoHo auf den Internet Router eingegeben hast und auch die Route im Internet Router auf das 192.168.111.0 /24 er Netz damit der die Pakete wieder richtig zustellen kann (Client Adressen aus dem trusted Netz kommen ja mit einer 192.168.111.0er Quell IP und die muss er korrekt routen können über die WG), dann sollte alles sauber klappen !!
Solltest du NAT machen setzt die WG auf dem untrusted Port ja alles auf die 213.23.15.242 IP um, so das der Internet Router gar keine Pakete vom 192.168.111.0er Netz "sieht". Dann musst du auch keine statische Route haben im Internet Router...klar, denn die 192.168.111er Ips tauchen durch den NAT Prozess nirgends mehr auf !
Du schreibst ja oben aber selber das du ja gerade kein NAT machst, damit gilt dann alles was oben steht !!
Damit sollte das im Handumdrehen laufen !
P.S.: Völlig unverständlich ist dann wi es zu solchen Fehlermeldungen wie den von dir oben geposteten "10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN" kommt. Diese IP Adressen sind ja gar nicht existent in deinem Netz. Abgesehen davon sind es auch RFC 1918 IPs ???
Oder willst du uns hier etwas aufs Glatteis führen...??!!
OK, dann hast du keine Chance und bist verdonnert auf NAT an der Watchguard oder.... das dein Provider dir die statische Route im Internet Router einrägt. Oder...du rebootest den Internet Router ohne Passwort und machst das selber
Andere Optionen hast du nicht.
Außerdem: Er hat ja ein öffentliches Netz am Internet Router der macht dort überhaupt KEIN NAT !!! Diese Diskussion ist also überflüssig und du bist wohl verdonnert selber auf NAT auf der Watchguard zu machen !
Die "anderen" IPs erklären dann auch vermutlich deine 10.64.14.5... Fehlermeldungen ?!
Außerdem ist deine Shift Taste kaputt nur das "D" funktioniert noch !
Andere Optionen hast du nicht.
Außerdem: Er hat ja ein öffentliches Netz am Internet Router der macht dort überhaupt KEIN NAT !!! Diese Diskussion ist also überflüssig und du bist wohl verdonnert selber auf NAT auf der Watchguard zu machen !
Die "anderen" IPs erklären dann auch vermutlich deine 10.64.14.5... Fehlermeldungen ?!
Außerdem ist deine Shift Taste kaputt nur das "D" funktioniert noch !