Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Watchguard netzwerk config Problem

Mitglied: Amathar

Amathar (Level 1) - Jetzt verbinden

23.04.2010 um 08:43 Uhr, 6894 Aufrufe, 6 Kommentare

Ich habe ein Problem mit einer Watchguard X8500e Netzwerk config.
OS-Version:11.2.1.B260006

Folgende config: Die FB steht zwischen dem Internetrouter und einer internen Firewall. Für die Verbindung zwischen wird jeweils ein /30 Netz genutzt. Ich habe eine Testclient mit dem ich den Internetrouter anpingen will.

testclient (10.5.10.118) <=> (10.0.0.1) interne fw interface1 | interne firewall interface 2 (A.B.C.13/30) <=> (A.B.C.14/30) Fireware trusted Interface eth1 | (A.B.C.17/30) Fireware external Interface eth0 <=> (A.B.C.18/30) Internetrouter internal Interface | (A.B.C.D) Internetrouter Provider Interface.

Die Fireware hat also kein Interface in 10/8 aus dem die Anfrage des Clients kommt. Statt dessen gibt es passende Routingeinträge (10/8) wird zur internen Firewall geroutet.

Ping Firewall Rule:
ping from (any-trusted, any-optinal, testpc) to any icmp type8 code 255 no NAT.
An dieser Stelle sollte also ein Ping zum Internetrouter durchgehen.

Debugging:
Ein tcpdump auf dem internen Interface der Fireware (eth1) zeigt die ping Anfrage. Ein tcpdump auf dem externen Interface (eth0) zeigt kein Paket vom testclient.
NAT habe ich für die Ping Rule erstmal ausgeschaltet.

Hat irgendwer vielleicht eine Idee, was das falsch sein kann?

Danke
Peter
Mitglied: aqui
23.04.2010 um 16:19 Uhr
ICMP Typ 8 ist ja nur die halbe Miete und fürht logischerweise nicht zum (vollen) Erfolg !!! Also der Echo requst geht durch aber du musst ja wenigstens auf dem Rückweg noch den ICMP Typ 0 erlauben (Echo Reply) sonst kommt die Antwort (Typ 0) niemals an am Absender !!

http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol


Sieht dein Testszenario so aus: ??

c9ace638ae9dc4242a0c6983e7cc7efd - Klicke auf das Bild, um es zu vergrößern

Wenn dem so ist du wirklich KEIN NAT machst auf den FWs, also sauberes, transparentes Routing, dann muss natürlich der Internet Router eine statische Route haben:
Zielnetz: 10.0.0.0, Maske: 255.0.0.0, Gateway: 172.16.1.17
..dann die externe Firewall entsprechend:
Zielnetz: 10.0.0.0, Maske: 255.0.0.0, Gateway: 172.16.1.13
Für den Rückweg verwendst du vermutlich ein default Gateway auf den FWs, oder ??
Wenn dem so ist dann dann ist nur der ICMP Typ 0 Filter der der dich zu Fall bringt !!
Bitte warten ..
Mitglied: Amathar
26.04.2010 um 08:37 Uhr
Ich glaube nicht, daß die ping firewall Regel mein Problem ist. Ich habe trotzdem mal eine any rule gebaut in der Form "from any to any port any" und die ping rule disabled.
Im Grunde sieht meine config so aus, wie in dem Bild beschrieben. Die Netze zwischen der internen und der externen Firewall sowie zwischen der externen Firewall und dem Router kommen aus einem anderen Adreßbereich, aber das sollte das Problem nicht sein.
Auf dem Router ist natürlich ein Routing entsprechend eingestellt, genauso auf der externen Firewall.

Wenn mein ping die externe Firewall verlassen würde (also es nur an dem Rückweg scheitern würde) müßte ich auf eth0 der extenen Firewall mittels tcpdump irgendwas sehen... Klappt aber nicht. Das ping Paket geht noch auf eth1 der externen Firewall rein aber das war es dann.

Auf dem eingehenden Interface:
1272263644.058961 0:15:17:d9:aa:9b 0:15:17:d9:aa:9b 0800 74: 10.5.10.118 > xx.xx.xx.18: icmp: echo request

Das muß irgendeine Kleinigkeit sein, die ich nicht finde.

Danke trotzdem schonmal.
Bitte warten ..
Mitglied: aqui
26.04.2010 um 12:01 Uhr
Mit tcpdump siehst du aber nur was wenn kein Switch dazwischen ist, das solltest du bedenken ! Im Zweifelsfalle einen Wireshark Sniffer auf einem Hub einschleifen oder einen Mirror Port am Switch setzen !
Wenn du dennoch keine Packete siehst hast du mit Sicherheit ein Konfig Problem auf der Watchguard !! Ohne Config Posting hier kann man aber leider nur raten...
Bitte warten ..
Mitglied: Amathar
26.04.2010 um 12:33 Uhr
Switch? Das eingehende Interface von der Watchguard sieht das Paket (siehe tcpdump output in letzter Mail), das ausgehende Interface der Watchguard *nicht*. Ich mache ein tcpdump auf der Watchguard einmal auf eth0 und einmal auf eth1. Das kann also kein Switch dazwischen sein, oder verstehe ich dich falsch?
Von daher wird es wahrscheinlich ein Konfig Problem sein.

Hier mal die Rules..

Action Name Service From-alias To-alias
Allowed FTP FTP Any-Trusted,Any-Optional Any-External
Allowed WatchGuard Web UI WG-Fireware-XTM-WebUI Any-Trusted Firebox
Disabled Ping Ping Any-Trusted Any
Allowed WatchGuard WG-Firebox-Mgmt Any-Trusted Firebox
Disabled Outgoing TCP-UDP Any-Trusted Any-External
Allowed my-test-Any Any Any Any

Aus meiner Sicht sollte die letzte Rule (my-test-any) greifen.

Danke !!
Bitte warten ..
Mitglied: Amathar
27.04.2010 um 13:07 Uhr
Hmm, wenn niemand mehr ne Idee hat, werde ich wohl mal kommerziellen Support einfangen müssen, ansonsten gehts hier bei uns nicht weiter.
danke trotzdem
Bitte warten ..
Mitglied: Amathar
17.05.2010 um 12:35 Uhr
Lösung:

die interne Firewall, die die Pakete vom testclient gezielt zur Watchguard umgebogen hat (source routing) hatte den falschen next hop gesetzt.
Für Openbsd Nutzer im Detail:

pass in quick on $internes_interface route-to { ($interface_to_watchguard $ip_int_interface_watchguard) } from $testrechner to any
Bitte warten ..
Ähnliche Inhalte
Firewall
Watchguard x750e
Frage von uridium69Firewall2 Kommentare

Hallo zusammen Ich weiss, die WatchGuard x750e, ist längt "out of Date", dennoch habe ich mir sie für paar ...

Ubuntu
Postfix Relay config
Frage von bolle01Ubuntu3 Kommentare

Moin, ich bin gerade dabei zu Testzwecken eine komplette Serverlandschaft via Linux abzubilden. Der DC funktioniert ohne Probleme deshalb ...

Windows 7
Greenshot Config File
Frage von uridium69Windows 721 Kommentare

Tag miteinander Ich habe Greenshot so eingerichtet, dass ich es per Software Distributionssoftware im Netzwerk verteilen kann. Im CMD ...

Router & Routing

Firewalls mit Konzept - Bootfest speichern - copy running-config startup-config

Frage von Der-PhilRouter & Routing17 Kommentare

Hallo! Ich schaue gerade, welche Router-Firewalls für mich künftig in Frage kommen. Wichtig ist vor allem die Kombination aus ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 4 TagenWindows 72 Kommentare

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 6 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 7 TagenMicrosoft Office9 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 9 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Notebooks in Firmenwlan authentifizieren
gelöst Frage von EarthShakerLAN, WAN, Wireless17 Kommentare

Guten Tag, unsere Firma möchte gerne flächendeckend WLAN einführen und hat zu diesem Zweck einen Dienstleister beauftragt. Wir benötigen ...

Peripheriegeräte
PS2 Y-Kabel für Maus+Tastatur an PS2 Combo-Anschluss ASUS Prime X370-A
gelöst Frage von Windows10GegnerPeripheriegeräte13 Kommentare

Hallo, ich bin am Überlegen das o.g. Motherboard anzuschaffen. Da ich aber noch PS/2 für Maus+Tastatur benötige (bei optischen ...

Windows 10
Netzlaufwerk verschwindet (aber nur bestimmter Laufwerksbuchstabe)
gelöst Frage von survial555Windows 1010 Kommentare

Hallo, ich habe ein ganz seltsames Problem. Systemumgebung: Server 2012 R2 als DC und Windows 10 Pro als Clients ...

Netzwerkmanagement
Netzwerk vorübergehend weg
Frage von ahstaxNetzwerkmanagement10 Kommentare

Hallo, folgendes Szenario stellt sich dar: Im Netzwerk mit Win7-PCs wurden Switche ausgetauscht. Grundsätzlich funktioniert alles mindestens so gut ...