Watchguard XTM 330 in zwei unterscheidlichen Netzen betreiben
Hallo, ich habe eine Watchguard XTM 330 vor mir, welche ich für zwei Netze nutzen möchte.
Leider raubt das Teil mir den letzten Nerv, da ich es nicht schafffe die beiden Netze an der Firewall ans laufen zu bekommen.
Hier mal die Konfig
Wachguard (192.168.1.1) hat an ETH0 (extern) ein Modem hängen und die PPOE Daten sind eingetragen und Sie geht auch Online.
An ETH 1 (intern 1) hat folgendes Netz 192.168.1.0/24 mit Gateway
(192.168.1.1). Server und alle PC die dort dran hängen laufen wundebar.
An ETH 2 (intern 2) soll folgendes Netz mit 192.168.2.0/24.
Ich bekomme auf der Watchguard einfach die Route nicht hin das alles was
an ETH 2 hängt ebenfalls WAN Zugang bekommt und über die Watchguard läuft.
Die nächste Frage wäre, was muss als Gateway bei dem zweiten Netz eingetragen werden.
Die beiden Server haben je nur eine NIC
Ich hoffe ihr könnt mir hier weiterhelfen.
Uli
Leider raubt das Teil mir den letzten Nerv, da ich es nicht schafffe die beiden Netze an der Firewall ans laufen zu bekommen.
Hier mal die Konfig
Wachguard (192.168.1.1) hat an ETH0 (extern) ein Modem hängen und die PPOE Daten sind eingetragen und Sie geht auch Online.
An ETH 1 (intern 1) hat folgendes Netz 192.168.1.0/24 mit Gateway
(192.168.1.1). Server und alle PC die dort dran hängen laufen wundebar.
An ETH 2 (intern 2) soll folgendes Netz mit 192.168.2.0/24.
Ich bekomme auf der Watchguard einfach die Route nicht hin das alles was
an ETH 2 hängt ebenfalls WAN Zugang bekommt und über die Watchguard läuft.
Die nächste Frage wäre, was muss als Gateway bei dem zweiten Netz eingetragen werden.
Die beiden Server haben je nur eine NIC
Ich hoffe ihr könnt mir hier weiterhelfen.
Uli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186868
Url: https://administrator.de/forum/watchguard-xtm-330-in-zwei-unterscheidlichen-netzen-betreiben-186868.html
Ausgedruckt am: 04.04.2025 um 13:04 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
ETH1 hat dann wohl die IP 192.168.1.1?
ETH2 hat dann wohl die IP 192.168.2.1?
Diese beiden Adressen sind dann das Gateway für das jeweilige Netz.
Kannst ja testweise eine AnyPort-Regel definieren die "any-internal -> any-external Allow" enthält. ACHTUNG! Damit erfolgt für ausgehenden Verkehr keine Filterung!
Routen brauchst Du imho nicht einstellen, das macht die WG selbst.
Gruß
Marcus
ETH1 hat dann wohl die IP 192.168.1.1?
ETH2 hat dann wohl die IP 192.168.2.1?
Diese beiden Adressen sind dann das Gateway für das jeweilige Netz.
Kannst ja testweise eine AnyPort-Regel definieren die "any-internal -> any-external Allow" enthält. ACHTUNG! Damit erfolgt für ausgehenden Verkehr keine Filterung!
Routen brauchst Du imho nicht einstellen, das macht die WG selbst.
Gruß
Marcus
Die Watchguard hat in jedem IPSegment ja eine eigene IP Adresse. Angenommen das ist die 192.168.1.1 respektive die 192.168.2.1 dann haben die jeweiligen Endgeräte in diesen IP Segmenten jeweils immer die .1.1 oder die .2.1 als Default Gateway IP.
Die Watchguard selber hat ja immer nur eine Default Route zum ISP.
Auf der Watchguard sind keinerlei weitere Routen erforderlich, wohl aber entsprechende Firewall Regeln, das ist klar.
Wie sowas aussehen kann zeigt dir dieses Tutorial mal zur Information:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Watchguard selber hat ja immer nur eine Default Route zum ISP.
Auf der Watchguard sind keinerlei weitere Routen erforderlich, wohl aber entsprechende Firewall Regeln, das ist klar.
Wie sowas aussehen kann zeigt dir dieses Tutorial mal zur Information:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zuerst mal, bevor die nächste Verzweiflung auftaucht, mein letzter Stand war, dass eine Watchguard kein DNS kann, somit sollte man sie auf Clients nicht als DNS eintragen. Das ist je kein Speedport ;)
Dann zurück zum eigentlichen Thema:
Wenn ich das noch richtig weiß, habe in meinem aktuellen Job keine Watchguards mehr, dann steht ETH2 standardmäßig auf "Optional", richtig?
Das müsstest Du ändern in "Trusted". Damit ziehen alle Regeln mit "Any-Trusted" für beide Interfaces.
Für die "Optional"-Interfaces existieren meines Wissens im Standard keine Regeln.
Dann zurück zum eigentlichen Thema:
Wenn ich das noch richtig weiß, habe in meinem aktuellen Job keine Watchguards mehr, dann steht ETH2 standardmäßig auf "Optional", richtig?
Das müsstest Du ändern in "Trusted". Damit ziehen alle Regeln mit "Any-Trusted" für beide Interfaces.
Für die "Optional"-Interfaces existieren meines Wissens im Standard keine Regeln.
Hat er ja gemacht wie man oben sieht "ETH 2 ein IP Bereich 192.168.2.1 (intern 2 Trusted)"
Die IP Adressierung der Clients ist absolut sauber so.
Wie gesagt DNS ist etwas tricky.
Wenn die Watchguard kein DNS Proxy ist oder sein kann, dann musst du zwangsweise dort die DNS IP(s) deines Providers eintragen die man problemlos auf dessen Webseite findet !
Oder auf beiden Interfaces ETH1 und 2 die deines Servers 192.168.1.2 der dann wiederum aber zwingend eine Weiterleitung auf die DNS IP deines Providers haben muss.
Beim Server musst du dann sicherstellen das eine Kommunikation von DNS (TCP/UDP 53) über die Interfaces ETH1 und 2 in den FW Regeln erlaubt ist, weil dann Clients in ETH2 den Server in ETH1 fragen müssen... Das muss die FW erlauben, logisch !
Damit wäre das dann ganz wasserdicht und richtig !
Abgesehen davon kannst du auch von den Clients in ETH1 und 2 immer mit "nackten" IP Adressen im Internet arbeiten (Ping) wie z.B. 82.149.225.18 (administrator.de) oder 193.99.144.85 (heise.de)
Wenn du diese beim Pingen benutzt umgehst du so erstmal ganz sicher etwaige DNS Problematiken !!
Die IP Adressierung der Clients ist absolut sauber so.
Wie gesagt DNS ist etwas tricky.
Wenn die Watchguard kein DNS Proxy ist oder sein kann, dann musst du zwangsweise dort die DNS IP(s) deines Providers eintragen die man problemlos auf dessen Webseite findet !
Oder auf beiden Interfaces ETH1 und 2 die deines Servers 192.168.1.2 der dann wiederum aber zwingend eine Weiterleitung auf die DNS IP deines Providers haben muss.
Beim Server musst du dann sicherstellen das eine Kommunikation von DNS (TCP/UDP 53) über die Interfaces ETH1 und 2 in den FW Regeln erlaubt ist, weil dann Clients in ETH2 den Server in ETH1 fragen müssen... Das muss die FW erlauben, logisch !
Damit wäre das dann ganz wasserdicht und richtig !
Abgesehen davon kannst du auch von den Clients in ETH1 und 2 immer mit "nackten" IP Adressen im Internet arbeiten (Ping) wie z.B. 82.149.225.18 (administrator.de) oder 193.99.144.85 (heise.de)
Wenn du diese beim Pingen benutzt umgehst du so erstmal ganz sicher etwaige DNS Problematiken !!
Sorry, das mit dem Trusted hab ich glatt überlesen.
Wie konfigurierst Du denn die Watchguard? Webinterface oder Watchguard System Manager?
Wegen dem Portforwarding musst Du eine Regel erstellen die:
From: Any-External (oder wenn du es auf eine feste öffentliche IP einschränken willst, dann über Add Other)
To: Add NAT (hier die öffentliche IP auswählen und als Ziel den internen Host und Port eintragen)
Ich hoffe das hilft etwas, ich habe leider keinen System Manager mehr im Zugriff um zu schauen wie die Begriffe genau heißen.
Wie konfigurierst Du denn die Watchguard? Webinterface oder Watchguard System Manager?
Wegen dem Portforwarding musst Du eine Regel erstellen die:
From: Any-External (oder wenn du es auf eine feste öffentliche IP einschränken willst, dann über Add Other)
To: Add NAT (hier die öffentliche IP auswählen und als Ziel den internen Host und Port eintragen)
Ich hoffe das hilft etwas, ich habe leider keinen System Manager mehr im Zugriff um zu schauen wie die Begriffe genau heißen.
...da diese sonst nicht ins Internet geht, Diese Aussage ist technischer Unsinn, denn wenn du mit nackten Internet IP Adresssen arbeitest, dann geht sie schon ins Internet.
Sie benötigt die DNS IP lediglich um die Namensauflösung zu machen ! Mit "ins Internet gehen" hat das rein gar nichts zu tun, da irrst du also oder dir fehlt der Durchblick.
Es zeigt aber das die Watchguard dann tatsächlich wohl nicht als DNS Proxy arbeitet oder arbeiten kann. Das müsste das Handbuch klären !
Deshalb ist es dann so das du eine statische Weiterleitung in den Servern auf diese Provider DNS eintragen musst und dann die Clients in beiden Segmenten deinen jeweiligen Server als DNS eingetragen haben müssen.
Ein klassisches simples Standard DNS Szenario.
Besser also du liest wirklich nochmal die Doku wenn es schon an solchen simplen Dingen wie Port Forwarding scheitert. Besser wäre so oder so ein VPN Zugang statt Löcher in die Firewall zu bohren...aber egal, das ist eine andere Baustelle.
Sie benötigt die DNS IP lediglich um die Namensauflösung zu machen ! Mit "ins Internet gehen" hat das rein gar nichts zu tun, da irrst du also oder dir fehlt der Durchblick.
Es zeigt aber das die Watchguard dann tatsächlich wohl nicht als DNS Proxy arbeitet oder arbeiten kann. Das müsste das Handbuch klären !
Deshalb ist es dann so das du eine statische Weiterleitung in den Servern auf diese Provider DNS eintragen musst und dann die Clients in beiden Segmenten deinen jeweiligen Server als DNS eingetragen haben müssen.
Ein klassisches simples Standard DNS Szenario.
Besser also du liest wirklich nochmal die Doku wenn es schon an solchen simplen Dingen wie Port Forwarding scheitert. Besser wäre so oder so ein VPN Zugang statt Löcher in die Firewall zu bohren...aber egal, das ist eine andere Baustelle.