26
Watchguard Firewall X750 Core
Ich habe eine "alte" Watchguard Firewall X750 ersteigert, hat die Fireware Version 11.3 drauf, kann ich da ohne Probleme via Webbrowser darauf zugreifen oder gibt das wieder Java und Active X Probleme die gesperrt sind? Und bezieht die Firewall nach einem Reset die IP automatisch vom DHCP Server im Netzwerk, oder hat sie eine Standard IP ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 298728
Url: https://administrator.de/contentid/298728
Printed on: April 24, 2024 at 16:04 o'clock
26 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @uridium69:
oder gibt das wieder Java und Active X Probleme die gesperrt sind? Und bezieht die Firewall nach einem Reset die IP automatisch vom DHCP Server im Netzwerk, oder hat sie eine Standard IP ?
Warum schaust du nicht ins Handbuch. Den hersteller und dessen webseiten gibt es doch noch.....oder gibt das wieder Java und Active X Probleme die gesperrt sind? Und bezieht die Firewall nach einem Reset die IP automatisch vom DHCP Server im Netzwerk, oder hat sie eine Standard IP ?
Gruß,
Peter
Flash eine pfSense Firmware drauf. Kann mehr und du hast keinerlei Probleme mit der Lizensierung und dem Update mehr !
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hallo Peter
Habe es herausgefunden, nun schaffe ich es nicht die Regeln die ich erstellt habe, das man rein oder rauskommt, HTTP oder FTP klappt nicht, komme nur in mein DMZ, das geht, nicht aber raus aufs Internet, wenn ich einen externen DNS Name anpinge kommt die Antwort retour mit Pingtimeout obwohl dieser normalerweise antwortet..Oder muss man da noch einen Key haben damit man Traffic rein und raus hat? Quasi optional? Die Firebox kam nur mit Stromkabel und einem Netzwerkkabel ansonsten rein nichts, weder Dokumentation noch irgendwelche Keys (falls ich die den brauche) Mir fiel auf wenn ich jedesmal was abspeicherte, zb. eine veränderte Regel, kam die Meldung das die Box nur halb lauffähig sei bzw. limitiert funktionsfähig man solle den Key eingeben oder einen erwerben, nun hoffe ich jetzt mal nicht das man für den Traffic noch eine teure Lizenz kaufen muss, das wäre ja wie ein Auto ohne Steuerrad zu verkaufen....Kann auch sein dass ich etwas mit dem Nat falsch gemacht habe meine 10 Public IPS habe ich eingetragen und kann die auch anpingen bzw. ein Kollege hat die von extern anpingen können mit Antwort...Aber zb. Portweiterleitung auf einen FTP Server vo nextern klappt nicht, nach einer wile kommt ein Timeout, ebenso keine Verbindung auf eine Portweiterleitung auf eine interne Netzwerkkamera..Umgekehrt geht's ja auch nicht, also Webseiten aufrufen oder eine FTP Verbindung auf einen FTP Server im Internet..
Habe es herausgefunden, nun schaffe ich es nicht die Regeln die ich erstellt habe, das man rein oder rauskommt, HTTP oder FTP klappt nicht, komme nur in mein DMZ, das geht, nicht aber raus aufs Internet, wenn ich einen externen DNS Name anpinge kommt die Antwort retour mit Pingtimeout obwohl dieser normalerweise antwortet..Oder muss man da noch einen Key haben damit man Traffic rein und raus hat? Quasi optional? Die Firebox kam nur mit Stromkabel und einem Netzwerkkabel ansonsten rein nichts, weder Dokumentation noch irgendwelche Keys (falls ich die den brauche) Mir fiel auf wenn ich jedesmal was abspeicherte, zb. eine veränderte Regel, kam die Meldung das die Box nur halb lauffähig sei bzw. limitiert funktionsfähig man solle den Key eingeben oder einen erwerben, nun hoffe ich jetzt mal nicht das man für den Traffic noch eine teure Lizenz kaufen muss, das wäre ja wie ein Auto ohne Steuerrad zu verkaufen....Kann auch sein dass ich etwas mit dem Nat falsch gemacht habe meine 10 Public IPS habe ich eingetragen und kann die auch anpingen bzw. ein Kollege hat die von extern anpingen können mit Antwort...Aber zb. Portweiterleitung auf einen FTP Server vo nextern klappt nicht, nach einer wile kommt ein Timeout, ebenso keine Verbindung auf eine Portweiterleitung auf eine interne Netzwerkkamera..Umgekehrt geht's ja auch nicht, also Webseiten aufrufen oder eine FTP Verbindung auf einen FTP Server im Internet..
Moin,
es ist ja nichts Neues, dass du bei solchen Kommerziellen Firewalls Lizenzen bzw. eine aktive Subscription brauchst um diese vollständig nutzen zu können.
Da du hier weder einen Screenshot von deinen Regeln noch andere Infos dazu postest außer "ich schaff es nicht" wird dir hier eher niemand pauschal helfen können.
Ansonsten einfach wie von Aqui vorgeschlagen PfSense drauf! Updates bekommst du ohne Subscription für das alte Ding sowieso nicht mehr, wär aber z.B. wegen des letzten glibc Bugs sinnvoll.
VG
Val
es ist ja nichts Neues, dass du bei solchen Kommerziellen Firewalls Lizenzen bzw. eine aktive Subscription brauchst um diese vollständig nutzen zu können.
Da du hier weder einen Screenshot von deinen Regeln noch andere Infos dazu postest außer "ich schaff es nicht" wird dir hier eher niemand pauschal helfen können.
Ansonsten einfach wie von Aqui vorgeschlagen PfSense drauf! Updates bekommst du ohne Subscription für das alte Ding sowieso nicht mehr, wär aber z.B. wegen des letzten glibc Bugs sinnvoll.
VG
Val
Moin, moin
D.h. sie ist nicht brauchbar? Möchte schon gerne die installierte Software nutzen, während dem Frühstück ist mir eingefallen dass ich nirgendswo das Subnet sowohl für's WAN, DMZ und LAN eigegeben habe, lediglich die Standartgateway, und ich habe alles nun abgesucht ich weiss nicht wo man das eintragen muss, jemand eine Idee?
D.h. sie ist nicht brauchbar? Möchte schon gerne die installierte Software nutzen, während dem Frühstück ist mir eingefallen dass ich nirgendswo das Subnet sowohl für's WAN, DMZ und LAN eigegeben habe, lediglich die Standartgateway, und ich habe alles nun abgesucht ich weiss nicht wo man das eintragen muss, jemand eine Idee?
Hallo,
Als Briefbeschwerer oder mini Heizung tut sie es doch. Du hast nun mal ein Produkt erworben was ohne eine gültige bezahlte Subscription nicht mehr zu viel außer Strom zu verbrauchen tun kann. Selbst ein Ebayer weis dies. Auszug von http://www.boc.de/hersteller/watchguard/aeltere-produkte/firebox-x-core ...und ob du dies brauchstDu bist sicher das die X750e für dich das richtige darstellt? Und wenn du tatsächlich 10 Öffentliche IPs hast, stellt sich die Frage warum du veraltete Technik verwendest (Preis?) oder wie du dieser bisher genutzt hast...
Gruß,
Peter
Als Briefbeschwerer oder mini Heizung tut sie es doch. Du hast nun mal ein Produkt erworben was ohne eine gültige bezahlte Subscription nicht mehr zu viel außer Strom zu verbrauchen tun kann. Selbst ein Ebayer weis dies. Auszug von http://www.boc.de/hersteller/watchguard/aeltere-produkte/firebox-x-core ...
END-OF-SALE: Die WatchGuard Firebox e-series X750e wurde von 2006 bis Ende 2010 verkauft.
END-OF-LIFE: Die Security Services und die Live Security können noch bis zum 31.12.2015 verlängert werden. Neugeräte sind nicht mehr bestellbar. Wir haben jedoch noch ein paar Gebrauchtgeräte am Lager.
TRADE-UP: Wir empfehlen bereits jetzt den Umstieg auf die aktuellen WatchGuard Modelle.X750e UTM Software Suite - 1 Jahr
WatchGuard Firebox X Core e-series WG017447 1.859,00 € (=2.212,21incl. MwSt.)Gruß,
Peter
und ich habe alles nun abgesucht ich weiss nicht wo man das eintragen muss, jemand eine Idee?
Solange wir dein Regelwerk nicht kennen WAS du WO an welchem Interface aktiviert hast kommen wir keinen Schritt weiter und können nur im freien Fall raten oder die Kristallkugel rausholen !!Du solltest also wenigstens mal die Regeln grob beschreiben oder einen Screenshot hier posten für eine zielführende Antwort.
Was die Nachhaltigkeit anbetrifft solltest du wirklich dringend über einen Frimware Flash auf pfSense nachdenken. Ohne Service bekommst du keinen Updates. Aus Sicherheitssicht bei einer FW ist das tödlich...deine Entscheidung !
Mit der pfSense hast du all das nicht und ein erheblich leistungsfähigeres Featureset.
Von einfacheren Regeln mal ganz abgesehen.
Stimmt, vor lauter Eile war ich ziemlich "oberflächlich" mit meinen Angaben. Ziel ist es je 1 WAN, LAN sowie DMZ zu gestalten, ich habe 10 öffentliche IP's die ich zuteilen will, dies habe ich unter Alias gemacht, ebenso den Gateway vom ISP, Gateway vom LAN sowie DMZ angegeben. Ich war auch in der Lage eine IP des DMZ vom LAN aus zu pingen mit Rückantwort, allerdings kam ich nicht auf die Webseite einer Kamera die in dieser DMZ liegt, (die Kamera funktioniert einwandfrei) zugreifen. Ebenso wenig auf den in der DMZ befindlichen FTP Server, dort konnte ich mittels SMB (Fileshare) zugreifen, aber ein Zugriff mittels FTP (21) war nicht möglich. Dasgleiche Szenario wenn ich ins Internet wollte, ich war in der Lage ein DNS Name zb. Blick.ch anzupingen, zeigte auch die IP aber keine Rückantwort, und wenn ich direkt im Internet bin, antwortet dieser auch. Also HTTP, FTP usw...geht weder ins Internet oder DMZ, soviel zum Outgoing Traffic. Was den Incoming Traffic betrifft, dort sind 1 FTP Server, 2 Webcams die weitergeleitet werden, der FTP Server wie auch die Netzwerkkameras sollen sowohl vom Internet wie auch LAN erreichbar sein. Aber das dies funktioniert muss ich doch die Subnetzte der jeweiligen Netzte eingeben oder? Habe ich ja so auch auf einem Router, das Subnet des ISP ist eingetragen 255.255.255.240, würde ich das weglassen dann würde ich logischerweise nichts ins Internet können oder umgekehrt könnte niemand auf einen weitergeleiteten Port zugreifen, ich habe alle Optionen durchforstet und sehe nicht wo ich das Subnet eintragen muss..
Denke die Firewall ist ja sicher genug, ich benutze für die Emails usw..eine Viruswall, sowie Spamfilter, also brauche ich sowas nicht auf der Firewall selbst...Aber die Firewall wird ja sicher noch funktionieren im Sinne das man sie einsetzen kann, wer kauft eine Firewall und kann dann die Grundfunktionen nicht nutzen? (Mit Grundfunktionen meine ich den Traffic, sei es von aussen nach innen, ins DMZ, Lan und umgekehrt, mehr will ich ja nicht..
Also hier denke ich liegt der Hund begraben, die Subnetmasken usw..müssen ja eignestellt werden, beim external Interface wäre dies 255.255.255.240, aber WO stelle ich das ein? Finde nirgendswo eine Option um all diese Einstellungen zu machen, den wie soll eine Internetverbindung ohne Subnet funktionieren? Siehe aktueller Screenshot.
Ja bei einer /28 Maske (255.255.255.240) auf dem WAN / Internet Port ist diese ja vollkommen falsch eingerichtet oben und es ist klar das das dann in die Hose geht !!
Normal stellt man die Subnetzmaske in der IP Konfiguration des Interfaces ein.
Bei dir dann des Interfaces was du physisch für den WAN / Internet Port benutzt !
Ist die statisch bei dir vergeben ??
Oder bekommst du die dynamisch via PPPoE oder DHCP ?
Normal stellt man die Subnetzmaske in der IP Konfiguration des Interfaces ein.
Bei dir dann des Interfaces was du physisch für den WAN / Internet Port benutzt !
Ist die statisch bei dir vergeben ??
Oder bekommst du die dynamisch via PPPoE oder DHCP ?
Hallo
Diese 10 IP's sind statisch. Wie wäre es dann korrekt? Wie gesagt dort wo das Subnet angezeigt wird kann ich nichts einstellen.
Diese 10 IP's sind statisch. Wie wäre es dann korrekt? Wie gesagt dort wo das Subnet angezeigt wird kann ich nichts einstellen.
10 IPs ??
Ein /28 Netzwerk hat immer 12 nutzbare Hostadressen. Was meinst du also mit 10 ??
Auf der Konfigurationsseite für die WAN Port Adress must du doch logischerweise auch die Subnetzmaske angeben und das Default Gateway.
Wie sollte man denn sonst sowas umkonfigurieren ??!
Das muss da einstellbar sein ! Ist ja bei allen Firewalls der Welt so. Ganz sicher macht da Watchguard keine Ausnahme !
Ein /28 Netzwerk hat immer 12 nutzbare Hostadressen. Was meinst du also mit 10 ??
Auf der Konfigurationsseite für die WAN Port Adress must du doch logischerweise auch die Subnetzmaske angeben und das Default Gateway.
Wie sollte man denn sonst sowas umkonfigurieren ??!
Das muss da einstellbar sein ! Ist ja bei allen Firewalls der Welt so. Ganz sicher macht da Watchguard keine Ausnahme !
Hallo, ich habe 10 nutzbare öffentliche IP's, die Einstellungen kann ich nirgendswo machen, ich habe auch längst im Netz geguckt wo man das Subnet einstellen kann, sagte ja schon ohne Subnet logischerweise keine Verbindung nach aussen oder innen, da nützen alle Portweiterleitungen nix...Schon klar, auf dem einen Bild siehst Du den Status der Verbindungen, das Subnet ist leer, aber dort kannst nichts eintragen auch nicht unter den ganzen Netzwekeinstellungen, gerne lasse ich mich anders belehren 
ich habe 10 nutzbare öffentliche IP's,
Schon merkwürdig bei einem /28 Prefix aber vermutlich ist die eine IP die der Firewall und die andere die des ISP Routers, dann bleiben nur noch die 10 die du vermutlich meinst.Eins ist aber klar. Irgendwo auf der FW ist das Setup für die Konfiguration des WAN Ports bzw. seiner IP Adressierung. Das muss ja zwangsläufig so sein, denn bei jedem ist die anders und muss ja zwingend im Setup gesetzt werden.
Es sei denn alle ISP Kunden weltweit haben immer nur einheitlich eine /24er Maske was natürlich Blödsinn ist...weist du auch selber.
Das ist so wie der Benzin Füllstutzen beim Auto. Ohne einen solchen wäre das Auto sinnfrei und nutzlos und du schreibst hier das deiner Firewall dieser Einfüllstutzen fehlt ??
Im Ernst, das kann dir in einem Admin Forum niemand glauben und ist ganz sicher auch falsch !
Außerdem hast du ja irgendwo schon diese IP 62.2.212.145 von der Cablecom GmbH in Zürich angegeben und willst einem Netzwerker erzählen das man dort in der Eingabemaske des WAN Ports zur IP Adresse KEINE Subnetzmaske und kein Defalt Gateway eingeben kann ?
Sorry, aber so einen Unsinn kann dir hier niemand glauben und gehört ins Reich der Märchen.
Watchguard wird die Gurken ja ganz sicher nicht mit einer hartgecodeten 24 Bit Maske verkaufen und sich damit selber um Millionen von Kunden bringen...
Hallo
Ich habe den Fehler herausgefunden, ich hatte bei der IP die falsche ID angegebene anstatt 28 für 255.255.255.240 /24..Jedoch ändert es nichts das ich trotz definierten Regelns ins Internet komme noch rein, was istz hier den los?
Ist die Box ev. defekt? Eigenartigerweise kann ich die Public IPs die ich als Alias eingetragen hatte vom anderen Netzwerk pingen, hatte den Ping zugelassen für den einen Router, das klappte auch, aber ein Ping raus auf ein DNS Name oder auch nur die IP geht nicht, ganz zu schweigen von HTTP usw..
Hat jemand bisschen Erfahrung und könnte mir die einen oder anderen Tipps geben? Die muss doch so gehen, kann ja nicht sein dass ich mit dieser Box nichts anfangen kann, die Lizenzen braucht es wohl kaum für den Internet Verkehr, das wäre ja noch schöner kauft man ne schon teure Watchguard mit der Fireware drauf und man kann nichts nutzen und braucht ne Lizenz damit man vom Internet rein und rauskommt..
Ich habe den Fehler herausgefunden, ich hatte bei der IP die falsche ID angegebene anstatt 28 für 255.255.255.240 /24..Jedoch ändert es nichts das ich trotz definierten Regelns ins Internet komme noch rein, was istz hier den los?
Ist die Box ev. defekt? Eigenartigerweise kann ich die Public IPs die ich als Alias eingetragen hatte vom anderen Netzwerk pingen, hatte den Ping zugelassen für den einen Router, das klappte auch, aber ein Ping raus auf ein DNS Name oder auch nur die IP geht nicht, ganz zu schweigen von HTTP usw..
Hat jemand bisschen Erfahrung und könnte mir die einen oder anderen Tipps geben? Die muss doch so gehen, kann ja nicht sein dass ich mit dieser Box nichts anfangen kann, die Lizenzen braucht es wohl kaum für den Internet Verkehr, das wäre ja noch schöner kauft man ne schon teure Watchguard mit der Fireware drauf und man kann nichts nutzen und braucht ne Lizenz damit man vom Internet rein und rauskommt..
Hat keiner eine Idee?
Da du es noch nicht geschafft hast einen Screenshot deiner Firewall Regeln zu machen eher nicht...
Hallo, ich hatte doch scho nein paar eingestellt (Screenshots). Ich kann gerne einen Printscreen der Firewall Regeln machen nur sieht man dann keine Details der einzelnen Regeln.. 
. Also ich gebe die Koordination mal an.. Ich habe insgesamt 13 nutzbare Public IP's von UPC Cablecom, davon sind 3 die ich "extern" bzw. ausserhalb des Netzwerkes nutze (zb. Switch der direkt am Internet hängt, 2 PC's die direkt am Internet hängen) somit bleiben 10 IP's für die Firewall die ich dort nutzen will, im Lan, DMZ usw.... Ich habe "Mixed Routing Mode" ausgewählt nehme an das wäre so korrekt? Anbei noch 2 Screenshots der Netzwerkkonfiguration... Wieso komme ich dann nicht aufs Internet, die DNS Server kann ich ebenfalls nirgendswo eintragen, und wenn ich eine IP anpinge im Internet sollte ich ja Antwort bekommen, passiert aber nichts ausser Timeout...
. Also ich gebe die Koordination mal an.. Ich habe insgesamt 13 nutzbare Public IP's von UPC Cablecom, davon sind 3 die ich "extern" bzw. ausserhalb des Netzwerkes nutze (zb. Switch der direkt am Internet hängt, 2 PC's die direkt am Internet hängen) somit bleiben 10 IP's für die Firewall die ich dort nutzen will, im Lan, DMZ usw.... Ich habe "Mixed Routing Mode" ausgewählt nehme an das wäre so korrekt? Anbei noch 2 Screenshots der Netzwerkkonfiguration... Wieso komme ich dann nicht aufs Internet, die DNS Server kann ich ebenfalls nirgendswo eintragen, und wenn ich eine IP anpinge im Internet sollte ich ja Antwort bekommen, passiert aber nichts ausser Timeout...Ich habe "Mixed Routing Mode" ausgewählt nehme an das wäre so korrekt?
Was bitte soll das netzwerktechnisch genau sein ??Einweder routet eine Firewall ausschliesslich oder sie wird im Transparent Mode betrieben...!
Ja, welche Option ware den die passende? Und wieso krieg ich keine Verbindung trotz definierten Regeln, zb. HTTP von LAN to anywhere, und dennoch komme ich nichts ins Internet? Mit der uralten Fireware 7. hatte ich diese Probleme nicht, das ging recht zügig und hatte die paar ersten Verbindungen von inne nach aussen, und DMZ, und von aussen rein zb. auf einen FTP Server im DMZ...Hier geht aber gar nichts..
Besser ist immer Routing, klar.
Hast du denn mal ins Firewall Log gesehen ??
Dort sollte doch alles haarklein stehen warum was nicht geht. Evtl. dann eben den Logging Level raufschrauben.
Und wieso krieg ich keine Verbindung trotz definierten Regeln, zb. HTTP von LAN to anywhere, und dennoch komme ich nichts ins Internet?
Das kann nur an deinen regeln liegen. Vermutlich machst du hier einen Denkfehler bei Inbound und Outbound Traffic. Das die Firewall per se einen Fehler hat kann man bei solchen banalregeln wohl ausschliessen. Folglich bleibt nur Konfig Fehler.Hast du denn mal ins Firewall Log gesehen ??
Dort sollte doch alles haarklein stehen warum was nicht geht. Evtl. dann eben den Logging Level raufschrauben.
Und wieso krieg ich keine Verbindung trotz definierten Regeln, zb. HTTP von LAN to anywhere, und dennoch komme ich nichts ins Internet?
Weil du DNS vergessen hast? Für das Internet gehört noch mehr dazu als HTTP.Schalte erstmal alles von LAN in das Internet frei und wenn das geht kannst du weiter einschränken.
- Ping auf einen Host z.B. 8.8.8.8 (Achtung: ICMP)
- Nslookup auf Domain z.B. www.google.de
Dann merkst du schonmal wo es klemmt.
Jetzt zum X-ten mal... poste deine Firewall Regeln sonst bin ich hier raus!
Du brauchst auch nicht 3 mal deine Interface Konfiguration zu posten, 1x hätte gereicht! Wobei diese auch falsch ist!
Ich glaub kaum, dass du im LAN ein öffentliches 24er Subnetz hast (192.30.61.95/24)!
Die Definition WAN und LAN ist bei vielen Herstellern häufig im System verankert und lässt sich oft nur schwer ändern.
Du hast hier einfach viel grobe Fehler gemacht und dir fehlen hier offenbar jegliche Grundlagen.
Val
Hmm, DNS ist mir auch klar, nur sollte man doch ohne DNS eine reine IP anpingen können, oder liege ich hier auch wiederum verkehrt? Die Regeln habe ich gepostet, hoffe es ist etwas erkennbar insbesondere wo ich Fehler gemacht habe..
Bist du dir sicher, dass du auf dem LAN Interface ein öffentliches Netz hast? Ansonsten 192.168.X.X/24.
Könnte sein, dass die Firewall ein Problem damit hat wenn du ein öffentliches Netz auf dem LAN Interface hast.
Interessant dazu wären dann die Definitionen von "Any-External" und "Any-Trusted", mit solchen Aliasen wäre ich generell vorsichtig und würde das lieber auf Subnetzebene lösen.
Aufgaben:
VG
Val
Könnte sein, dass die Firewall ein Problem damit hat wenn du ein öffentliches Netz auf dem LAN Interface hast.
Interessant dazu wären dann die Definitionen von "Any-External" und "Any-Trusted", mit solchen Aliasen wäre ich generell vorsichtig und würde das lieber auf Subnetzebene lösen.
Aufgaben:
- Konfigurier den LAN Port richtig
- lösch die vorhandenen Regeln und fang sauber neu an
- Regel: LAN -> Internet allow any (udp,tcp,icmp)
VG
Val
Hallo, ich habe es mal so gemacht wie Du empfohlen hast, habe fürs LAN nicht mehr 192.30.62.xx sondern 192.168.x.x./24 zugeteilt, die Box neu gebootet und die Standartkonfig mal geladen, und dann ist schon Outgoing alles vorhanden, habe es probiert komme einfach nicht raus, was zum geier ist hier los? Umgekehrt bin ich in der Lage vom Internet die zugeteilten Public IP^s 62.2.213.xx anzupingen Reply kommt zurück..Kannst Du mir ev. kurz Remote helfen? Ginge ev. einfacher sonst übe ich Wochenlang und ist für nichts...
