11
ZyWall: Router zwischen 2 lokalen Subnetzen einrichten
Hallo Administratoren
Wir haben unser Testnetzwerk neu aufgebaut. Neu besteht es aus 3 verschiedenen Subnetzen, welche von der ZyWall geroutet werden sollen. Die ZyWall liegt hinter einem gebridgen Router und bezieht via WAN1 mit PPPOE eine Public IP vom Provider.
ZyWall USG-200
Port 1 (Clients): 192.168.1.0/24 (Angeschlossen ist ein Layer-2+ Switch)
Port 2 (Management): 192.168.0.1/24 (Angeschlossen ist ein weiterer Layer-2+ Switch)
Port 3 + 4 (WLAN): 192.168.2.1/24 (Hier sind die Access Points angeschlossen)
Die Verbindung ins Internet funktioniert aus allen Netzen. Allerdings funktioniert der Traffic zwischen den Netzwerken momentan noch nicht.
Google sagt, man muss nur eine Firewallregel für die einzelnen Netze konfigurieren. Allerdings kann ich trotz solcher Regel (LAN 1 zu LAN2, Any zu Any und umgekehrt) kein Gerät im anderen Netzwerk anpingen.
Was muss ich genau konfigurieren, damit die ZyWall zwischen den lokalen Netzwerken routet?
Vielen Dank für eure Antworten.
Gruss nextized
Wir haben unser Testnetzwerk neu aufgebaut. Neu besteht es aus 3 verschiedenen Subnetzen, welche von der ZyWall geroutet werden sollen. Die ZyWall liegt hinter einem gebridgen Router und bezieht via WAN1 mit PPPOE eine Public IP vom Provider.
ZyWall USG-200
Port 1 (Clients): 192.168.1.0/24 (Angeschlossen ist ein Layer-2+ Switch)
Port 2 (Management): 192.168.0.1/24 (Angeschlossen ist ein weiterer Layer-2+ Switch)
Port 3 + 4 (WLAN): 192.168.2.1/24 (Hier sind die Access Points angeschlossen)
Die Verbindung ins Internet funktioniert aus allen Netzen. Allerdings funktioniert der Traffic zwischen den Netzwerken momentan noch nicht.
Google sagt, man muss nur eine Firewallregel für die einzelnen Netze konfigurieren. Allerdings kann ich trotz solcher Regel (LAN 1 zu LAN2, Any zu Any und umgekehrt) kein Gerät im anderen Netzwerk anpingen.
Was muss ich genau konfigurieren, damit die ZyWall zwischen den lokalen Netzwerken routet?
Vielen Dank für eure Antworten.
Gruss nextized
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247937
Url: https://administrator.de/contentid/247937
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Hast du Routen hinterlegt? Hast du auf die Reihenfolge der Firewallregeln geachtet? (Accept vor Deny)
lg
Hast du Routen hinterlegt? Hast du auf die Reihenfolge der Firewallregeln geachtet? (Accept vor Deny)
lg
Hallo Flatcher
Routen sind keine momentan keine hinterlegt.
Die Routen habe ich letztes Mal folgendermassen gesetzt:
From: LAN1
Subnet: LAN1_Subnet (192.168.1.0/24)
To: LAN2
Subnet: LAN2_Subnet (192.168.0.0/24)
Next Hop: 192.168.0.1/24
Die Firewall ändert den Eintrag "Next Hop" anschließend auf Interface LAN2.
Die Regel steht vor allen anderen Regeln - wird also priorisiert behandelt. Dazu gibt es noch keine Deny-Regeln, welche diese Interfaces betreffen würden.
Routen sind keine momentan keine hinterlegt.
Die Routen habe ich letztes Mal folgendermassen gesetzt:
From: LAN1
Subnet: LAN1_Subnet (192.168.1.0/24)
To: LAN2
Subnet: LAN2_Subnet (192.168.0.0/24)
Next Hop: 192.168.0.1/24
Die Firewall ändert den Eintrag "Next Hop" anschließend auf Interface LAN2.
Die Regel steht vor allen anderen Regeln - wird also priorisiert behandelt. Dazu gibt es noch keine Deny-Regeln, welche diese Interfaces betreffen würden.
Zitat von @nextized:
Google sagt, man muss nur eine Firewallregel für die einzelnen Netze konfigurieren.
Google sagt, man muss nur eine Firewallregel für die einzelnen Netze konfigurieren.
Was auch stimmt. Zusätzliche Routen sind normalerweise nicht erforderlich.
Zeigen denn die Standardgateways der Hosts in den Netzen auf die jeweilige IP der Zywall?
Welche Firmwareversion ist installiert? Je nach FW-Stand hat man unterschiedliche Möglichkeiten, sich das Defaultverhalten der USG "kaputtzukonfigurieren"...
Gruß
sk
Hallo sk
Vielen Dank für deine Antwort.
Ja, die ZyWall ist als Defaultgateway auf allen Netzwerken gesetzt (DHCP).
Auf der ZyWall ist die FW-Version 3.2 installiert. Ich habe am Freitag alle aktiven Netzwerkkomponenten aktualisiert.
Firewallmässig wurde bisher keine Regeln gesetzt - ausser zum Test zwischen allen Netzen (LAN1 <-> LAN2, WLAN <-> LAN1). Diese wurden dann aber auch wieder gelöscht, da es so nicht funktioniert hat.
Freundliche Grüsse
nextized
Vielen Dank für deine Antwort.
Ja, die ZyWall ist als Defaultgateway auf allen Netzwerken gesetzt (DHCP).
Auf der ZyWall ist die FW-Version 3.2 installiert. Ich habe am Freitag alle aktiven Netzwerkkomponenten aktualisiert.
Firewallmässig wurde bisher keine Regeln gesetzt - ausser zum Test zwischen allen Netzen (LAN1 <-> LAN2, WLAN <-> LAN1). Diese wurden dann aber auch wieder gelöscht, da es so nicht funktioniert hat.
Freundliche Grüsse
nextized
Dieses Tutorial erklärt dir die Grundlagen zu sowas:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit solltest du es eigentlich im handumdrehen zum Fliegen bekommen...?!
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit solltest du es eigentlich im handumdrehen zum Fliegen bekommen...?!
ZLD 3.20 gab es nicht. Ich nehme an, Du meinst 3.30...
Lässt sich die Zywall anpingen, wenn Du kurz die Firewall deaktivierst?
Welche Policyrouten existieren?
Lässt sich die Zywall anpingen, wenn Du kurz die Firewall deaktivierst?
Welche Policyrouten existieren?
@..sk..
Momentan gibt's noch keine Policyrouten auf der ZyWall. Das Gateway im anderen Netz lässt sich manchmal anpingen, manchmal nicht. Und wenn man das Gateway im anderen Netz pingen kann ist trotzdem kein Zugriff auf die Geräte im anderen Netz möglich.
Stimmt es war Version 3.3 - ich hatte mich vertippt.
@aqui
Vielen Dank für die Grundlagen - Allerdings hab ich weder Windows noch Linux Hosts welche das Routing übernehmen könnten (ausser vielleicht auf der ZyWall selbst (Linux?).
Normalerweise klappt die Einrichtung von Routen bzw. am selben Gateway sollte die ZyWall doch merken, dass 2 Netzwerke angeschlossen sind (da Sie selbst jeweils 1 Interface im selben Subnetz hat).
Momentan gibt's noch keine Policyrouten auf der ZyWall. Das Gateway im anderen Netz lässt sich manchmal anpingen, manchmal nicht. Und wenn man das Gateway im anderen Netz pingen kann ist trotzdem kein Zugriff auf die Geräte im anderen Netz möglich.
Stimmt es war Version 3.3 - ich hatte mich vertippt.
@aqui
Vielen Dank für die Grundlagen - Allerdings hab ich weder Windows noch Linux Hosts welche das Routing übernehmen könnten (ausser vielleicht auf der ZyWall selbst (Linux?).
Normalerweise klappt die Einrichtung von Routen bzw. am selben Gateway sollte die ZyWall doch merken, dass 2 Netzwerke angeschlossen sind (da Sie selbst jeweils 1 Interface im selben Subnetz hat).
Klingt verdächtig. Stell erstmal sicher, dass zwischen Firewall und den Hosts im jeweiligen Subnetz überhaupt Konnnektivität besteht, indem Du Dich per SSH auf die Zywall setzt und über das CLI die Hosts anpingst.
Gruß
sk
Hallo ..sk..
Hab ich sichergestellt - von der Firewall aus lassen sich alle Hosts der einzelnen Subnetze anpingen.
Wenn ich allerdings von einem Gerät mit Adresse aus dem Netz 192.168.1.0/24 das Gateway aus dem Subnetz 192.168.0.0/24 (also 192.168.0.1) anpingen will, wird mit eine Zeitüberschreitung gemeldet.
Freundliche Grüsse
nextized
Hab ich sichergestellt - von der Firewall aus lassen sich alle Hosts der einzelnen Subnetze anpingen.
Wenn ich allerdings von einem Gerät mit Adresse aus dem Netz 192.168.1.0/24 das Gateway aus dem Subnetz 192.168.0.0/24 (also 192.168.0.1) anpingen will, wird mit eine Zeitüberschreitung gemeldet.
Freundliche Grüsse
nextized
Hallo,
Hab erst vorige Woche einen ähnlichen Fall gehabt.
Neue Firmware drauf, danach komplett reset 2x.
Am besten du rufst beim Zyxel Support an, da gibts dann einen Downloadlink zu einem FTP Server wo du dir die aktuellste Firmware ziehen kannst.
lg Flatcher
Hab erst vorige Woche einen ähnlichen Fall gehabt.
Neue Firmware drauf, danach komplett reset 2x.
Am besten du rufst beim Zyxel Support an, da gibts dann einen Downloadlink zu einem FTP Server wo du dir die aktuellste Firmware ziehen kannst.
lg Flatcher
Zitat von @nextized:
Wenn ich allerdings von einem Gerät mit Adresse aus dem Netz 192.168.1.0/24 das Gateway aus dem Subnetz 192.168.0.0/24 (also
192.168.0.1) anpingen will, wird mit eine Zeitüberschreitung gemeldet.
Wenn ich allerdings von einem Gerät mit Adresse aus dem Netz 192.168.1.0/24 das Gateway aus dem Subnetz 192.168.0.0/24 (also
192.168.0.1) anpingen will, wird mit eine Zeitüberschreitung gemeldet.
Liegt entweder an der Konfiguration der Zywall oder an den Settings des Hosts. Der nächste Step wäre sicherzustellen, dass dieser Traffic überhaupt bei der Zywall ankommt. Am sichersten wäre es, hierzu auf der Zywall ein Capture zu ziehen und mit Wireshark auszuwerten (Maintenance-->Diagnostics-->Packet Capture).
Gruß
sk
