6
Zyxel Firewall einrichten
Hallo,
ich Habe einen Zyxel SBG5500 Router über den 3 VLANS angelegt sind. Diese sollen untereinander nicht bzw. Nur teilweise miteinander kommunizieren. Dazu habe ich mehrere Regeln in der Firewall eingerichtet. Screenshot habe ich beigefügt, weil das aussagekräftiger ist, als wenn ich das beschreibe.
Mein akutes Problem ist ein Receiver eines Fernsehers, der im VLAN 30 ist. Dieser erhält eine korrekte IP, die ich über die Firewall abgreife. Allerdings erhält dieser nur eine Internetverbindung, wenn ich die Firewall Regel auf den Router deaktiviere. Schalte ich Sie ein, ist die Verbindung sofort weg. Hänge ich mich an den Port mit einem Notebook, komme ich ins Internet, trotz eingeschalteter Regel.
Nach meinem Verständnis ist die ROUTER Regel doch nur da um nicht auf die Oberfläche des Gateways zu kommen. Wieso braucht der Fernsher hierauf zugriff? Hat jemand Erfahrungen mit der Zyxel Firewall?
Danke und Gruß
ich Habe einen Zyxel SBG5500 Router über den 3 VLANS angelegt sind. Diese sollen untereinander nicht bzw. Nur teilweise miteinander kommunizieren. Dazu habe ich mehrere Regeln in der Firewall eingerichtet. Screenshot habe ich beigefügt, weil das aussagekräftiger ist, als wenn ich das beschreibe.
Mein akutes Problem ist ein Receiver eines Fernsehers, der im VLAN 30 ist. Dieser erhält eine korrekte IP, die ich über die Firewall abgreife. Allerdings erhält dieser nur eine Internetverbindung, wenn ich die Firewall Regel auf den Router deaktiviere. Schalte ich Sie ein, ist die Verbindung sofort weg. Hänge ich mich an den Port mit einem Notebook, komme ich ins Internet, trotz eingeschalteter Regel.
Nach meinem Verständnis ist die ROUTER Regel doch nur da um nicht auf die Oberfläche des Gateways zu kommen. Wieso braucht der Fernsher hierauf zugriff? Hat jemand Erfahrungen mit der Zyxel Firewall?
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 555978
Url: https://administrator.de/contentid/555978
Printed on: April 18, 2024 at 05:04 o'clock
6 Comments
Latest comment
Nach meinem Verständnis ist die ROUTER Regel doch nur da um nicht auf die Oberfläche des Gateways zu kommen.
Wenn sie denn richtig wäre ja.Das Regelwerk des VLAN 30 oben ist auch recht unsinnig. Sieh dir das doch mal selber an.
Beide "Internet Regeln sind gleich" immer das VLAN 30 IP Netz 10.1.30.0 /24 an any
Ein paar Zeilen später kommt unsinnigerweise exakt die Gleiche Regel nochmal.
Wenn es den Zugriff auf das WebGUI regeln soll dann muss dort logischerweise ein deny auf die WAN IP Host Adresse implementiert sein was es aber nicht ist !
Die zusätzliche Regel "vlan30-vlan30" ist so oder so dann völliger Unsinn, denn lokaler Layer 3 Traffic innerhalb des VLAN 30 rennt doch niemals über die Firewall des Routers sondern immer direkt zwischen den Endgeräten. Folglich ist diese Regel also völliger Quatsch, da die FW überhaupt gar nicht involviert ist !
Du solltest also erstmal das Regelwerk auf Vordermann bringen bevor wir hier weitermachen.
Schön geschrieben, um meine Unkenntnis in Worte zu fassen. 
Ich werde einmal einen Antritt machen meine Unkenntnis zu korrigieren:
Regel 3:
Regel 5:
Regel 6:
Regel 10:
Kann man in Ansätzen Erkenntnis erkennen oder kann man mich aufgeben?
Danke und Gruß
Ich werde einmal einen Antritt machen meine Unkenntnis zu korrigieren:
Regel 3:
- Sollte zunächst einmal den Zugriff aufs Internet regeln und habe dies durch "Accept" erlaubt, bevor die Regel 6 greift und den Zugriff auf alles verbietet
- Es macht vermutlich wenig sinn, als Regel alle Gateways freizuschalten und würde anstatt Any das Ziel auf das Gateway des VLANs setzen 10.1.30.1/24
Regel 5:
- Hier wollte ich erreichen, dass das VLAN30 untereinander kommunizieren darf, bevor ich dies mit Regel 6 den Zugriff auf alles verbiete. Dies hatte ich so eingestellt, da der Router die Netze doch routet und so den Zugriff auf andere Netze zulassen würde.
- Ich würde diese Regel nun löschen, da der Traffic von VLAN30 zu VLAN30 ja generell gestattet ist.
Regel 6:
- Hier fällt mir leider nichts zu ein, wie ich den Traffic zwischen den Netzen sonst unterbinden könnte.
Regel 10:
- Hier würde ich auch von Any auf die IP des Gateways im VLAN30 umstellen 10.1.30.1/24
Kann man in Ansätzen Erkenntnis erkennen oder kann man mich aufgeben?
Danke und Gruß
Hallo,
nach viel lesen habe ich nun meine Firewll Regeln angepasst. Ich bin mir aber nicht sicher ob es in Ansätzen richtig ist. Dass ich durch die Firewall im Router nicht den verkehr innerhalb der VLANS im Switch regeln kann habe ich nun verstanden. Hier habe ich jetzt zumindest über die Access Points eine Layer2 Isolation aktiviert für die Gast SSID.
Ich traue mich nur nicht, die Any Regeln zu aktivieren, weil ich Angst habe mich auszusperren. Insbesondere weil ich immer noch nicht ganz verstehe, wo mein Problem bei meiner ursprünglichen Frage bestand. Warum kam ich per LAN Kabel an dem Access Port ins Internet, aber der Sky Receiver nicht.
Ich wäre dankbar wenn Ihr euch nachfolgende Regeln noch einmal anschauen könntet und mir einen Wink geben könntet.
Grundsätzlich will ich, dass das VLAN 20 ins Internet kommt, aber nicht zu anderen VLANS geroutet wird oder Zugriff auf den Router erhält. Das Managment VLAN 90 und VLAN 10 allerdings schon.
Danke und Gruß
nach viel lesen habe ich nun meine Firewll Regeln angepasst. Ich bin mir aber nicht sicher ob es in Ansätzen richtig ist. Dass ich durch die Firewall im Router nicht den verkehr innerhalb der VLANS im Switch regeln kann habe ich nun verstanden. Hier habe ich jetzt zumindest über die Access Points eine Layer2 Isolation aktiviert für die Gast SSID.
Ich traue mich nur nicht, die Any Regeln zu aktivieren, weil ich Angst habe mich auszusperren. Insbesondere weil ich immer noch nicht ganz verstehe, wo mein Problem bei meiner ursprünglichen Frage bestand. Warum kam ich per LAN Kabel an dem Access Port ins Internet, aber der Sky Receiver nicht.
Ich wäre dankbar wenn Ihr euch nachfolgende Regeln noch einmal anschauen könntet und mir einen Wink geben könntet.
Grundsätzlich will ich, dass das VLAN 20 ins Internet kommt, aber nicht zu anderen VLANS geroutet wird oder Zugriff auf den Router erhält. Das Managment VLAN 90 und VLAN 10 allerdings schon.
Danke und Gruß
Grundsätzlich will ich, dass das VLAN 20 ins Internet kommt, aber nicht zu anderen VLANS geroutet wird
DENY Source: 10.1.20.0 /24 - Destination: 10.0.0.0 /8PASS Source: 10.1.20.0 /24 - Destination: any
Wäre so eine einfache Liste. Sie verbietet alles vom VLAN 20 in jeglicher 10er Netze und erlaubt den Traffic ins Internet. Wenn du noch andere VLAN mit privaten RFC 1918 IP Adressen hast kannst du die auch komplett aussperren:
DENY Source: 10.1.20.0 /24 - Destination: 10.0.0.0 /8
DENY Source: 10.1.20.0 /24 - Destination: 172.16.0.0 /12
DENY Source: 10.1.20.0 /24 - Destination: 192.168.0.0 /16
PASS Source: 10.1.20.0 /24 - Destination: any
Vielen Dank. Aber noch eine Rückfrage:
Dies wäre der Ansatz, wenn das ganze als Whitelist ausgelegt ist und ich am Ende meiner Regeln noch die o. a. Any - Any Regel aktiviere. Korrekt? Da ich nicht so viele Einträge haben werde, wird es vermutlich übersichtlicher das als Blacklist zu machen. Somit würde dann ja folgendes reichen, oder:
Dann noch eine Regel, nach obigem Schema mit dem Router und das 20 Netz kann nur noch ins Internet oder untereinander kommunizieren durch den Switch.
Gruß
DENY Source: 10.1.20.0 /24 - Destination: 10.0.0.0 /8
PASS Source: 10.1.20.0 /24 - Destination: any
PASS Source: 10.1.20.0 /24 - Destination: any
Dies wäre der Ansatz, wenn das ganze als Whitelist ausgelegt ist und ich am Ende meiner Regeln noch die o. a. Any - Any Regel aktiviere. Korrekt? Da ich nicht so viele Einträge haben werde, wird es vermutlich übersichtlicher das als Blacklist zu machen. Somit würde dann ja folgendes reichen, oder:
//DENY Source: 10.1.20.0 /24 - Destination: 10.0.0.0 /8
Dann noch eine Regel, nach obigem Schema mit dem Router und das 20 Netz kann nur noch ins Internet oder untereinander kommunizieren durch den Switch.
Gruß
In bin einfach zu doof. Was mache ich falsch? Sobald ich die Regel für den Zugriff auf den Router einschalte, komme ich nicht mehr ins Internet. Aber das habe ich doch vor der Router Regel freigegeben.
Was ist in diesem Fall die WAN IP Host Adresse? Die des VLAN Gateways (10.0.20.1/32)? Nur dann müsste ich ja pro Gateway/VLAN eine Regel schreiben, was sich nicht richtig anfühlt.
Gruß
Wenn es den Zugriff auf das WebGUI regeln soll dann muss dort logischerweise ein deny auf die WAN IP Host Adresse implementiert sein was es aber nicht ist !
Was ist in diesem Fall die WAN IP Host Adresse? Die des VLAN Gateways (10.0.20.1/32)? Nur dann müsste ich ja pro Gateway/VLAN eine Regel schreiben, was sich nicht richtig anfühlt.
Gruß
