12
Watchguard Firebox SOHO 6
Moin,
ich versuch grad eine SOHO 6 zu Konfigurieren, habe dabei aber leider ein kleines Problem. Ich komme nicht ins Internet. Die Leitung steht, und auch die SOHO ist von ausserhalb erreichbar. Ich kann aber von meinem Notebook aus, nicht aus dem trusted netzwerk ins Internet. Ich hab Testweise die Firewall komplett aufgemacht, aber bekomme in den Logs nur folgende Fehler angezeigt. Discard from 10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN (port not available).
Kennt jemand diesen Fehler? Ich weiss langsam nicht mehr weiter.
Gruß Duke
ich versuch grad eine SOHO 6 zu Konfigurieren, habe dabei aber leider ein kleines Problem. Ich komme nicht ins Internet. Die Leitung steht, und auch die SOHO ist von ausserhalb erreichbar. Ich kann aber von meinem Notebook aus, nicht aus dem trusted netzwerk ins Internet. Ich hab Testweise die Firewall komplett aufgemacht, aber bekomme in den Logs nur folgende Fehler angezeigt. Discard from 10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN (port not available).
Kennt jemand diesen Fehler? Ich weiss langsam nicht mehr weiter.
Gruß Duke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144174
Url: https://administrator.de/contentid/144174
Ausgedruckt am: 14.11.2024 um 03:11 Uhr
12 Kommentare
Neuester Kommentar
Mahlzeit ^^
Also ich habe meine private Watchguard u.a. so programmiert:
- Network External die DSL - Zugangsdaten eintragen
- Bei Trusted die IP-Adresse hinterlegen, die dann bei den Rechnern als Gateway hinterlegt wird. Subnet ist ja erstmal egal. DHCP musst Du selber wissen.
- Ob Du bei Routes ein Routing brauchst musst Du auch selber wissen. Wenn Du noch eine Firewall oder Router hast dann würde ich ein Routing eintragen
- Unter Firewall bei den Incoming Services würde ich erstmal alles zumachen. Bei Outgoinh must Du halt auch selber was Du da brauchst. Und bei den Custom würde ich erstmal alle Ports sperren die Windows zur Verfügung stellt und dann einzelne freigeben.
Mehr brauchst Du eigentlich nicht machen. Es geht zwar ncoh mehr, aber das sehe ich so als wichtigstes an. die Ports.
Also ich habe meine private Watchguard u.a. so programmiert:
- Network External die DSL - Zugangsdaten eintragen
- Bei Trusted die IP-Adresse hinterlegen, die dann bei den Rechnern als Gateway hinterlegt wird. Subnet ist ja erstmal egal. DHCP musst Du selber wissen.
- Ob Du bei Routes ein Routing brauchst musst Du auch selber wissen. Wenn Du noch eine Firewall oder Router hast dann würde ich ein Routing eintragen
- Unter Firewall bei den Incoming Services würde ich erstmal alles zumachen. Bei Outgoinh must Du halt auch selber was Du da brauchst. Und bei den Custom würde ich erstmal alle Ports sperren die Windows zur Verfügung stellt und dann einzelne freigeben.
Mehr brauchst Du eigentlich nicht machen. Es geht zwar ncoh mehr, aber das sehe ich so als wichtigstes an. die Ports.
Hi,
also bei External hab ich halt ne feste IP die wir vom ISP bekommen haben. Das Funktioniert auch, kann das gerät ja von aussen pingen. Das einzige was halt nicht Funktioniert ist das ich normal surfen kann. Ich komme nicht durch die Firewall. Ich hatte diese davor garnicht angefasst und das Gerät war auf Factory presets. Routen etc sind erstmal nicht von nöten, ich muss eigentlich nur ne VPN Verbindung von Bremen nach Hamburg testen und dazu kommt es natürlich nicht. Hab schon alles mögliche probiert, les auch offizielles WG Forum, aber da kommt irgendwie nichts bei rum.
also bei External hab ich halt ne feste IP die wir vom ISP bekommen haben. Das Funktioniert auch, kann das gerät ja von aussen pingen. Das einzige was halt nicht Funktioniert ist das ich normal surfen kann. Ich komme nicht durch die Firewall. Ich hatte diese davor garnicht angefasst und das Gerät war auf Factory presets. Routen etc sind erstmal nicht von nöten, ich muss eigentlich nur ne VPN Verbindung von Bremen nach Hamburg testen und dazu kommt es natürlich nicht. Hab schon alles mögliche probiert, les auch offizielles WG Forum, aber da kommt irgendwie nichts bei rum.
Hast du DNS Proxy aktiviert auf der Watchguard ?? Wenn nicht musst du deinen Provider DNS auf deinem Client eintragen ! Sonst eben wenn die WG DNS Proxy ist, dann die WG IP Adresse als DNS !
Ebenso ist eine default Route Pflicht auf die IP der angegebenen Provider Router IP (Gateway) !
Obs ein DNS Problem ist kannst du ganz einfach testen indem du mal eine nackte IP im Internet anpingst wie z.B. heise.de 193.99.144.85 oder spiegel.de 195.71.11.67.
Der 2te wichtige Punkt ist: Das Lokale LAN an der WG hat das eine private RFC_1918_IP_Adresse ?? Wenn ja, sollte dir klar sein das du NAT (IP Adress Translation oder Masquerading) auf dem öffentlichen Interface (Providerseite) zwingend aktivieren musst !!
Ebenso ist eine default Route Pflicht auf die IP der angegebenen Provider Router IP (Gateway) !
Obs ein DNS Problem ist kannst du ganz einfach testen indem du mal eine nackte IP im Internet anpingst wie z.B. heise.de 193.99.144.85 oder spiegel.de 195.71.11.67.
Der 2te wichtige Punkt ist: Das Lokale LAN an der WG hat das eine private RFC_1918_IP_Adresse ?? Wenn ja, sollte dir klar sein das du NAT (IP Adress Translation oder Masquerading) auf dem öffentlichen Interface (Providerseite) zwingend aktivieren musst !!
Ein DNS Problem ist es nicht das hatte ich schon probiert. Aber das mit der NAT einstellung ist doch eigentlich unwichtig. Ich habe ja an dem External NIC eine IP die mir der Provider gegeben hat mit der ich raus gehe. Ich kenne leider die Konfig von dem Router nicht, den haben wir direkt vom Provider, aber das müsste doch eigentlich eh Aktiviert sein, ist ja auch ein Business Anschluss.
Na ja das kommt darauf an...wenn dein Client mit dem du ins Internet willst am lokalen (trusted) LAN der WG in einem RFC 1918 IP Netz hängt ist ein Routing ins Internet unmöglich, denn wie du ja selber weisst werden diese privaten IP Netze im Internet nicht geroutet und beim Provider gleich in den Datenmülleimer verfrachtet.
In der Beziehung ist ein NAT auf die öffentliche Provider IP die du bekommen hast dann zwingend nötig.
Hast du allerdings vom Provider auch ein kleines öffentliches Subnetz für dein lokales (trusted) LAN bekommen zusätzlich zur Provider IP, dann benötigst du logischerweise kein NAT, denn dann hast du ja eine öffentliche IP am Client im lokalen Netz....klaro !
Leider schaffst du es ja nicht die IP Netze an der WG mal zu posten so das wir hier lustig weiterraten können...obwohl,... ob du ein 10er, 172er oder 192er Netz lokal (trusted) hast wirst du ja sicher auch schnell selber bestimmen können...
Wenn du vor der WG noch einen Router hast (danke für diese Info nachträglich
) dann fehlt dir schlicht und einfach wohl nur eine Default Route auf der WG zur IP des Routers. Bzw. für den Rückweg die zusätzliche Route im Internet Router !
Sie dir dieses Szenario einmal an:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das entspricht routingtechnisch genau das was du dort hast !! Denk dir einfach den Router PC weg und dir dafür deinen Soho WG hin...ist ja das gleiche !!
Es ist also nicht trivial ob du transparent routest an der Soho, denn das erfordert zwingend einen Routing Eintrag (statische Route) am Internet Router !!
Wenn du NAT machst an der WG benötigst du diese statische Route NICHT.
Vermutlich machst du aber kein NAT und damit kann der Internet Router dann deine Pakete nicht mehr zuordenen !!
In der Beziehung ist ein NAT auf die öffentliche Provider IP die du bekommen hast dann zwingend nötig.
Hast du allerdings vom Provider auch ein kleines öffentliches Subnetz für dein lokales (trusted) LAN bekommen zusätzlich zur Provider IP, dann benötigst du logischerweise kein NAT, denn dann hast du ja eine öffentliche IP am Client im lokalen Netz....klaro !
Leider schaffst du es ja nicht die IP Netze an der WG mal zu posten so das wir hier lustig weiterraten können...obwohl,... ob du ein 10er, 172er oder 192er Netz lokal (trusted) hast wirst du ja sicher auch schnell selber bestimmen können...
Wenn du vor der WG noch einen Router hast (danke für diese Info nachträglich
) dann fehlt dir schlicht und einfach wohl nur eine Default Route auf der WG zur IP des Routers. Bzw. für den Rückweg die zusätzliche Route im Internet Router !Sie dir dieses Szenario einmal an:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das entspricht routingtechnisch genau das was du dort hast !! Denk dir einfach den Router PC weg und dir dafür deinen Soho WG hin...ist ja das gleiche !!
Es ist also nicht trivial ob du transparent routest an der Soho, denn das erfordert zwingend einen Routing Eintrag (statische Route) am Internet Router !!
Wenn du NAT machst an der WG benötigst du diese statische Route NICHT.
Vermutlich machst du aber kein NAT und damit kann der Internet Router dann deine Pakete nicht mehr zuordenen !!
oh sorry, die ip von der WG ist 213.23.15.242 sprich ist kein privates netzwerk. das interne bzw. trusted habe ich standard auf 192.168.111.0/24 gelassen was ja für die geschichte eh uninteressant ist. im end effekt geht mein komplettes netz ja an die WG und hat dann auch dem entsprechend deren IP. oder habe ich da jetzt noch einen denkfehler?
OK, solange du noch einen Internet Router VOR der WG hast dann machst du keinen Denkfehler.
Dein Netzwerk sieht dann vermutlich so aus, oder ??
Ist jetzt mal geraten das dein untrusted Interface eine 29 Bit Maske hat ( .240er Subnetz mit 255.255.255.248, Internet Router IP mit der .246 mal fiktiv "geraten"...) ggf. musst du das also anpassen !
Wenn du nun die Default Route in der WG SoHo auf den Internet Router eingegeben hast und auch die Route im Internet Router auf das 192.168.111.0 /24 er Netz damit der die Pakete wieder richtig zustellen kann (Client Adressen aus dem trusted Netz kommen ja mit einer 192.168.111.0er Quell IP und die muss er korrekt routen können über die WG), dann sollte alles sauber klappen !!
Solltest du NAT machen setzt die WG auf dem untrusted Port ja alles auf die 213.23.15.242 IP um, so das der Internet Router gar keine Pakete vom 192.168.111.0er Netz "sieht". Dann musst du auch keine statische Route haben im Internet Router...klar, denn die 192.168.111er Ips tauchen durch den NAT Prozess nirgends mehr auf !
Du schreibst ja oben aber selber das du ja gerade kein NAT machst, damit gilt dann alles was oben steht !!
Damit sollte das im Handumdrehen laufen !
P.S.: Völlig unverständlich ist dann wi es zu solchen Fehlermeldungen wie den von dir oben geposteten "10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN" kommt. Diese IP Adressen sind ja gar nicht existent in deinem Netz. Abgesehen davon sind es auch RFC 1918 IPs ???
Oder willst du uns hier etwas aufs Glatteis führen...??!!
Dein Netzwerk sieht dann vermutlich so aus, oder ??
Ist jetzt mal geraten das dein untrusted Interface eine 29 Bit Maske hat ( .240er Subnetz mit 255.255.255.248, Internet Router IP mit der .246 mal fiktiv "geraten"...) ggf. musst du das also anpassen !
Wenn du nun die Default Route in der WG SoHo auf den Internet Router eingegeben hast und auch die Route im Internet Router auf das 192.168.111.0 /24 er Netz damit der die Pakete wieder richtig zustellen kann (Client Adressen aus dem trusted Netz kommen ja mit einer 192.168.111.0er Quell IP und die muss er korrekt routen können über die WG), dann sollte alles sauber klappen !!
Solltest du NAT machen setzt die WG auf dem untrusted Port ja alles auf die 213.23.15.242 IP um, so das der Internet Router gar keine Pakete vom 192.168.111.0er Netz "sieht". Dann musst du auch keine statische Route haben im Internet Router...klar, denn die 192.168.111er Ips tauchen durch den NAT Prozess nirgends mehr auf !
Du schreibst ja oben aber selber das du ja gerade kein NAT machst, damit gilt dann alles was oben steht !!
Damit sollte das im Handumdrehen laufen !
P.S.: Völlig unverständlich ist dann wi es zu solchen Fehlermeldungen wie den von dir oben geposteten "10.64.14.5 port 49494 TCP to 10.64.14.3 port 80 TCP SYN" kommt. Diese IP Adressen sind ja gar nicht existent in deinem Netz. Abgesehen davon sind es auch RFC 1918 IPs ???
Oder willst du uns hier etwas aufs Glatteis führen...??!!
von der grund idee ist deine zeichnung richtig, die ip's stimmen nicht ganz ;) aber i get what you are showing me. problematischerweise kann ich nicht auf den router zugreifen. sprich feste routen kann ich höchstens über den provider machen lassen genau so wie nach den NAT settings zu fragen. der hat leider keine lust mehr auf arbeit heute. ich werd das ganze hier jetzt auch beenden und mich auf den nach hause weg machen. bremen - hamburg aufn freitag abend wird bestimmt lustig.... naja, ich danke dir erstmal für deine hilfe und hoffe das ich in baldiger zukunft das problem lösen kann.
gruß Duke
gruß Duke
OK, dann hast du keine Chance und bist verdonnert auf NAT an der Watchguard oder.... das dein Provider dir die statische Route im Internet Router einrägt. Oder...du rebootest den Internet Router ohne Passwort und machst das selber 
Andere Optionen hast du nicht.
Außerdem: Er hat ja ein öffentliches Netz am Internet Router der macht dort überhaupt KEIN NAT !!! Diese Diskussion ist also überflüssig und du bist wohl verdonnert selber auf NAT auf der Watchguard zu machen !
Die "anderen" IPs erklären dann auch vermutlich deine 10.64.14.5... Fehlermeldungen ?!
Außerdem ist deine Shift Taste kaputt nur das "D" funktioniert noch !
Andere Optionen hast du nicht.
Außerdem: Er hat ja ein öffentliches Netz am Internet Router der macht dort überhaupt KEIN NAT !!! Diese Diskussion ist also überflüssig und du bist wohl verdonnert selber auf NAT auf der Watchguard zu machen !
Die "anderen" IPs erklären dann auch vermutlich deine 10.64.14.5... Fehlermeldungen ?!
Außerdem ist deine Shift Taste kaputt nur das "D" funktioniert noch !
also das mit dem D, ich werd nach ner zeit einfach schreib faul und hab mir vom chatten leider angewöhnt groß und klein aussen vor zu lassen^^. zu deinem PS vom voriegem beitrag. nein ich will dich sicherlich nicht aufs glatteis führen. die IP kam daher das ich zu dem zeitpunkt ja ein 10.64.14.0 netzwerk konfiguriert hatte und danach halt noch mal einen reset gemacht hatte womit ja die WG standard netz 192.168.111.0 wieder bekommt. wie gesagt, ich danke dir für deine hilfe und werde das problem hoffentlich bald mit dem provider beheben können.
Du kannst es auch ohne Provider beheben wenn du simpel und einfach auf der SOHO nur NAT am untrusted Interface aktivierst....!!
Hallo,
ich habe inzwischen rausgefunden das die Box einen weg hat. Danke aber noch mal für deine Hilfe.
MFG Duke
ich habe inzwischen rausgefunden das die Box einen weg hat. Danke aber noch mal für deine Hilfe.
MFG Duke
