Watchguard XTM 330 in zwei unterscheidlichen Netzen betreiben
Hallo, ich habe eine Watchguard XTM 330 vor mir, welche ich für zwei Netze nutzen möchte.
Leider raubt das Teil mir den letzten Nerv, da ich es nicht schafffe die beiden Netze an der Firewall ans laufen zu bekommen.
Hier mal die Konfig
Wachguard (192.168.1.1) hat an ETH0 (extern) ein Modem hängen und die PPOE Daten sind eingetragen und Sie geht auch Online.
An ETH 1 (intern 1) hat folgendes Netz 192.168.1.0/24 mit Gateway
(192.168.1.1). Server und alle PC die dort dran hängen laufen wundebar.
An ETH 2 (intern 2) soll folgendes Netz mit 192.168.2.0/24.
Ich bekomme auf der Watchguard einfach die Route nicht hin das alles was
an ETH 2 hängt ebenfalls WAN Zugang bekommt und über die Watchguard läuft.
Die nächste Frage wäre, was muss als Gateway bei dem zweiten Netz eingetragen werden.
Die beiden Server haben je nur eine NIC
Ich hoffe ihr könnt mir hier weiterhelfen.
Uli
Leider raubt das Teil mir den letzten Nerv, da ich es nicht schafffe die beiden Netze an der Firewall ans laufen zu bekommen.
Hier mal die Konfig
Wachguard (192.168.1.1) hat an ETH0 (extern) ein Modem hängen und die PPOE Daten sind eingetragen und Sie geht auch Online.
An ETH 1 (intern 1) hat folgendes Netz 192.168.1.0/24 mit Gateway
(192.168.1.1). Server und alle PC die dort dran hängen laufen wundebar.
An ETH 2 (intern 2) soll folgendes Netz mit 192.168.2.0/24.
Ich bekomme auf der Watchguard einfach die Route nicht hin das alles was
an ETH 2 hängt ebenfalls WAN Zugang bekommt und über die Watchguard läuft.
Die nächste Frage wäre, was muss als Gateway bei dem zweiten Netz eingetragen werden.
Die beiden Server haben je nur eine NIC
Ich hoffe ihr könnt mir hier weiterhelfen.
Uli
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186868
Url: https://administrator.de/forum/watchguard-xtm-330-in-zwei-unterscheidlichen-netzen-betreiben-186868.html
Ausgedruckt am: 28.04.2025 um 12:04 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
ETH1 hat dann wohl die IP 192.168.1.1?
ETH2 hat dann wohl die IP 192.168.2.1?
Diese beiden Adressen sind dann das Gateway für das jeweilige Netz.
Kannst ja testweise eine AnyPort-Regel definieren die "any-internal -> any-external Allow" enthält. ACHTUNG! Damit erfolgt für ausgehenden Verkehr keine Filterung!
Routen brauchst Du imho nicht einstellen, das macht die WG selbst.
Gruß
Marcus
ETH1 hat dann wohl die IP 192.168.1.1?
ETH2 hat dann wohl die IP 192.168.2.1?
Diese beiden Adressen sind dann das Gateway für das jeweilige Netz.
Kannst ja testweise eine AnyPort-Regel definieren die "any-internal -> any-external Allow" enthält. ACHTUNG! Damit erfolgt für ausgehenden Verkehr keine Filterung!
Routen brauchst Du imho nicht einstellen, das macht die WG selbst.
Gruß
Marcus
Die Watchguard hat in jedem IPSegment ja eine eigene IP Adresse. Angenommen das ist die 192.168.1.1 respektive die 192.168.2.1 dann haben die jeweiligen Endgeräte in diesen IP Segmenten jeweils immer die .1.1 oder die .2.1 als Default Gateway IP.
Die Watchguard selber hat ja immer nur eine Default Route zum ISP.
Auf der Watchguard sind keinerlei weitere Routen erforderlich, wohl aber entsprechende Firewall Regeln, das ist klar.
Wie sowas aussehen kann zeigt dir dieses Tutorial mal zur Information:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Watchguard selber hat ja immer nur eine Default Route zum ISP.
Auf der Watchguard sind keinerlei weitere Routen erforderlich, wohl aber entsprechende Firewall Regeln, das ist klar.
Wie sowas aussehen kann zeigt dir dieses Tutorial mal zur Information:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hallo, jetzt noch mal für mich - kann schon gar nicht mehr klar denken wegen dem Kram.
Die Watchguard hat an
ETH0 das Modem mit PPOE Daten um den WAN Zugang herzustellen.
Über den Wizard wurde für ETH 1 ein IP Bereich erstellt 192.168.1.1 (intern 1 Trusted)
D.h. heisst alles was an ETH 1 hängt würde wie folgt ausehen
IP: 192.168.1.2 (wäre auch der Server von diesem Netz)
Sub: 255.255.255.0
Gate: 192.168.1.1
DNS-1: 192.168.1.2
DNS-2: 192.168.1.1 (oder einen welcher in der Watchguard eingetragen ist)
ETH 2 ein IP Bereich 192.168.2.1 (intern 2 Trusted)
IP: 192.168.2.2 (wäre der Server von diesem Netz)
Sub: 255.255.255.0
Gate: 192.168.2.1
DNS-1: 192.168.2.2
DNS-2: 192.168.2.1 (oder einen welcher ind der Watchguard eingetregen ist)
Wäre das dann so richtig ?
Die Watchguard hat an
ETH0 das Modem mit PPOE Daten um den WAN Zugang herzustellen.
Über den Wizard wurde für ETH 1 ein IP Bereich erstellt 192.168.1.1 (intern 1 Trusted)
D.h. heisst alles was an ETH 1 hängt würde wie folgt ausehen
IP: 192.168.1.2 (wäre auch der Server von diesem Netz)
Sub: 255.255.255.0
Gate: 192.168.1.1
DNS-1: 192.168.1.2
DNS-2: 192.168.1.1 (oder einen welcher in der Watchguard eingetragen ist)
ETH 2 ein IP Bereich 192.168.2.1 (intern 2 Trusted)
IP: 192.168.2.2 (wäre der Server von diesem Netz)
Sub: 255.255.255.0
Gate: 192.168.2.1
DNS-1: 192.168.2.2
DNS-2: 192.168.2.1 (oder einen welcher ind der Watchguard eingetregen ist)
Wäre das dann so richtig ?
Zuerst mal, bevor die nächste Verzweiflung auftaucht, mein letzter Stand war, dass eine Watchguard kein DNS kann, somit sollte man sie auf Clients nicht als DNS eintragen. Das ist je kein Speedport ;)
Dann zurück zum eigentlichen Thema:
Wenn ich das noch richtig weiß, habe in meinem aktuellen Job keine Watchguards mehr, dann steht ETH2 standardmäßig auf "Optional", richtig?
Das müsstest Du ändern in "Trusted". Damit ziehen alle Regeln mit "Any-Trusted" für beide Interfaces.
Für die "Optional"-Interfaces existieren meines Wissens im Standard keine Regeln.
Dann zurück zum eigentlichen Thema:
Wenn ich das noch richtig weiß, habe in meinem aktuellen Job keine Watchguards mehr, dann steht ETH2 standardmäßig auf "Optional", richtig?
Das müsstest Du ändern in "Trusted". Damit ziehen alle Regeln mit "Any-Trusted" für beide Interfaces.
Für die "Optional"-Interfaces existieren meines Wissens im Standard keine Regeln.
Hat er ja gemacht wie man oben sieht "ETH 2 ein IP Bereich 192.168.2.1 (intern 2 Trusted)"
Die IP Adressierung der Clients ist absolut sauber so.
Wie gesagt DNS ist etwas tricky.
Wenn die Watchguard kein DNS Proxy ist oder sein kann, dann musst du zwangsweise dort die DNS IP(s) deines Providers eintragen die man problemlos auf dessen Webseite findet !
Oder auf beiden Interfaces ETH1 und 2 die deines Servers 192.168.1.2 der dann wiederum aber zwingend eine Weiterleitung auf die DNS IP deines Providers haben muss.
Beim Server musst du dann sicherstellen das eine Kommunikation von DNS (TCP/UDP 53) über die Interfaces ETH1 und 2 in den FW Regeln erlaubt ist, weil dann Clients in ETH2 den Server in ETH1 fragen müssen... Das muss die FW erlauben, logisch !
Damit wäre das dann ganz wasserdicht und richtig !
Abgesehen davon kannst du auch von den Clients in ETH1 und 2 immer mit "nackten" IP Adressen im Internet arbeiten (Ping) wie z.B. 82.149.225.18 (administrator.de) oder 193.99.144.85 (heise.de)
Wenn du diese beim Pingen benutzt umgehst du so erstmal ganz sicher etwaige DNS Problematiken !!
Die IP Adressierung der Clients ist absolut sauber so.
Wie gesagt DNS ist etwas tricky.
Wenn die Watchguard kein DNS Proxy ist oder sein kann, dann musst du zwangsweise dort die DNS IP(s) deines Providers eintragen die man problemlos auf dessen Webseite findet !
Oder auf beiden Interfaces ETH1 und 2 die deines Servers 192.168.1.2 der dann wiederum aber zwingend eine Weiterleitung auf die DNS IP deines Providers haben muss.
Beim Server musst du dann sicherstellen das eine Kommunikation von DNS (TCP/UDP 53) über die Interfaces ETH1 und 2 in den FW Regeln erlaubt ist, weil dann Clients in ETH2 den Server in ETH1 fragen müssen... Das muss die FW erlauben, logisch !
Damit wäre das dann ganz wasserdicht und richtig !
Abgesehen davon kannst du auch von den Clients in ETH1 und 2 immer mit "nackten" IP Adressen im Internet arbeiten (Ping) wie z.B. 82.149.225.18 (administrator.de) oder 193.99.144.85 (heise.de)
Wenn du diese beim Pingen benutzt umgehst du so erstmal ganz sicher etwaige DNS Problematiken !!
Auf der Watchguard sind ETH 1 und 2 als interne Trustedports konfiguriert.
An beiden 1 und 2 hängen jeweils ein Server als Doämencontroller inkl. DHCP und DNS.
Auf der Watchguard zu mindest bei der XTM 330 muss auf dem WAN Port ein DNS (max 3) angegeben werden, da diese sonst nicht ins Internet geht, ebenfalls ist es daher notwendig da sonst die Security Applikationen wie AntiVir, AntiSpam und Weblocker keine Updates laden können.
Ich werde das morgen mal so versuchen, andernfalls muss ich die beiden Server jeweils im DNS so knigurieren das diese auf die DNS des ISP verweisen.
Und dann geht es an die Firewall, das wird bestimmt auch ein Spaß, zu mal ich bis jetzt noch nicht durchgestiegen bin wie ich einen ganz simplen Port, z.b. 3391 an 3390 auf IP Adresse 192.168.2.2 weiterleiten kann. Hab schon in den der NAT mal drüber geschaut aber noch nicht den Blick wie das funktionieren soll.
An beiden 1 und 2 hängen jeweils ein Server als Doämencontroller inkl. DHCP und DNS.
Auf der Watchguard zu mindest bei der XTM 330 muss auf dem WAN Port ein DNS (max 3) angegeben werden, da diese sonst nicht ins Internet geht, ebenfalls ist es daher notwendig da sonst die Security Applikationen wie AntiVir, AntiSpam und Weblocker keine Updates laden können.
Ich werde das morgen mal so versuchen, andernfalls muss ich die beiden Server jeweils im DNS so knigurieren das diese auf die DNS des ISP verweisen.
Und dann geht es an die Firewall, das wird bestimmt auch ein Spaß, zu mal ich bis jetzt noch nicht durchgestiegen bin wie ich einen ganz simplen Port, z.b. 3391 an 3390 auf IP Adresse 192.168.2.2 weiterleiten kann. Hab schon in den der NAT mal drüber geschaut aber noch nicht den Blick wie das funktionieren soll.
Sorry, das mit dem Trusted hab ich glatt überlesen.
Wie konfigurierst Du denn die Watchguard? Webinterface oder Watchguard System Manager?
Wegen dem Portforwarding musst Du eine Regel erstellen die:
From: Any-External (oder wenn du es auf eine feste öffentliche IP einschränken willst, dann über Add Other)
To: Add NAT (hier die öffentliche IP auswählen und als Ziel den internen Host und Port eintragen)
Ich hoffe das hilft etwas, ich habe leider keinen System Manager mehr im Zugriff um zu schauen wie die Begriffe genau heißen.
Wie konfigurierst Du denn die Watchguard? Webinterface oder Watchguard System Manager?
Wegen dem Portforwarding musst Du eine Regel erstellen die:
From: Any-External (oder wenn du es auf eine feste öffentliche IP einschränken willst, dann über Add Other)
To: Add NAT (hier die öffentliche IP auswählen und als Ziel den internen Host und Port eintragen)
Ich hoffe das hilft etwas, ich habe leider keinen System Manager mehr im Zugriff um zu schauen wie die Begriffe genau heißen.
Ich mach das mit dem System Manager. Möchtest Du einen haben
...da diese sonst nicht ins Internet geht, Diese Aussage ist technischer Unsinn, denn wenn du mit nackten Internet IP Adresssen arbeitest, dann geht sie schon ins Internet.
Sie benötigt die DNS IP lediglich um die Namensauflösung zu machen ! Mit "ins Internet gehen" hat das rein gar nichts zu tun, da irrst du also oder dir fehlt der Durchblick.
Es zeigt aber das die Watchguard dann tatsächlich wohl nicht als DNS Proxy arbeitet oder arbeiten kann. Das müsste das Handbuch klären !
Deshalb ist es dann so das du eine statische Weiterleitung in den Servern auf diese Provider DNS eintragen musst und dann die Clients in beiden Segmenten deinen jeweiligen Server als DNS eingetragen haben müssen.
Ein klassisches simples Standard DNS Szenario.
Besser also du liest wirklich nochmal die Doku wenn es schon an solchen simplen Dingen wie Port Forwarding scheitert. Besser wäre so oder so ein VPN Zugang statt Löcher in die Firewall zu bohren...aber egal, das ist eine andere Baustelle.
Sie benötigt die DNS IP lediglich um die Namensauflösung zu machen ! Mit "ins Internet gehen" hat das rein gar nichts zu tun, da irrst du also oder dir fehlt der Durchblick.
Es zeigt aber das die Watchguard dann tatsächlich wohl nicht als DNS Proxy arbeitet oder arbeiten kann. Das müsste das Handbuch klären !
Deshalb ist es dann so das du eine statische Weiterleitung in den Servern auf diese Provider DNS eintragen musst und dann die Clients in beiden Segmenten deinen jeweiligen Server als DNS eingetragen haben müssen.
Ein klassisches simples Standard DNS Szenario.
Besser also du liest wirklich nochmal die Doku wenn es schon an solchen simplen Dingen wie Port Forwarding scheitert. Besser wäre so oder so ein VPN Zugang statt Löcher in die Firewall zu bohren...aber egal, das ist eine andere Baustelle.
Ich hatte ja geschrieben, das Sie DNS Server benötigt da sonst die Security Apps nicht bedient werden können.
Das mit den ISP DNS Einträgen habe ich schon erledigt und funktioniert wunderbar.
Du das ist das erste mal das ich vor einer Watchguard sitze und da heisst es wohl erstmal das System zu verstehen
Das mit den ISP DNS Einträgen habe ich schon erledigt und funktioniert wunderbar.
Du das ist das erste mal das ich vor einer Watchguard sitze und da heisst es wohl erstmal das System zu verstehen
So in groben Zügen läuft die XTM schon mal.
Habe heute den Log Server installiert und das Logging auf ein paar Policy aktiviert.
Was mir aber bis jetzt nicht gelungen ist, auf der http-proxy Policy das so einzustellen das ich
auf dem LogServer bzw. Report sehe welche URL´s so extern besucht wurden.
Kann mir hier jemand ein paar Tips geben oder sagen was dafür gemacht werden muss.
Habe heute den Log Server installiert und das Logging auf ein paar Policy aktiviert.
Was mir aber bis jetzt nicht gelungen ist, auf der http-proxy Policy das so einzustellen das ich
auf dem LogServer bzw. Report sehe welche URL´s so extern besucht wurden.
Kann mir hier jemand ein paar Tips geben oder sagen was dafür gemacht werden muss.
