Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zyxel USG 40 Zugriff auf NAS funktioniert nicht

Mitglied: Alexwehle

Alexwehle (Level 1) - Jetzt verbinden

29.09.2016 um 08:40 Uhr, 1990 Aufrufe, 7 Kommentare

Guten Morgen liebe Gemeinde
ich habe bei mir zuhause eine Zyxel USG 40 hinter einem T-online Router stehen. Zudem eine Qnap NAS auf der alle Daten gespeichert sind.
Auf der USG sind Regeln für HTTP, HTTPS, IMAPS und SMTPS definiert so das E-mails und Web funktionieren. Zum Testen wurde auch noch von any zu any allow mit log gesetzt.

Derzeit sind an der USG nur 2 Geräte angeschlossen. PC mit 192.168.3.3 und NAS mit 192.168.3.2 die von der USG per DHCP zugeteilt werden. Beide hängen direkt an der USG im LAN1.
Leider kann ich weder direkt über die IP auf die NAS zugriffen noch findet der Qfinder die NAS.

Leider bin ich in diesem Gebiet neu und kenne mich noch nicht gut aus. Sollten Infos fehlen bitte um konstruktive Meldungen.

Das Endstadium wollte ich die NAS auf LAN2 setzen um eine gleichbleibende IP zuhaben und eine nochmal abgeschirmte Insel vom LAN1 mit den restlichen PC's. Um nur den Datenaustausch zu erlauben und alles andere dicht zu machen. Haltet Ihr das für sinnvoll um Daten zu schützen??

Vielen Dank schon mal für alle Lösungen
Gruß Alex
Mitglied: aqui
29.09.2016, aktualisiert um 09:04 Uhr
NAS mit 192.168.3.2 die von der USG per DHCP zugeteilt werden.
Ein erster Kardinalsfehler ! Server IPs wie auch Infrastruktur Adressen sind in einem Netzwerk immer statisch, niemals dynamisch. Goldene Regel eines jeden verantwortungsvollen Netzwerkers !
Der Sinn leuchtet ein. Gerade wenn man von außen auf diese Resourcen zugreifen will und feste Port Forwarding Zuordnungen braucht liegt es auf der Hand das diese Adressen sich niemals ändern dürfen. Bei dir machen sie das aber durch die Dynamik von DHCP.
Leider kann ich weder direkt über die IP auf die NAS zugriffen noch findet der Qfinder die NAS.
Dann hast du vermutlich diese beiden Ports NICHT als Layer 2 Switch definiert in der USG Konfig !
Das müssen sie aber denn du bist mit diesen Ports ja in konfigtechnisch einer gemeinsamen Layer 2 Collision Domain.
Die USG sieht diese Ports im Default als dedizierte IP Segente an und versieht siw wie es für eine Firewall üblich ist mit einer deny any any Regel.
Das ist vermutlich die Falle in die du getappt bist ?!
Wenn du mal einen Wireshark auf deinem Laptop angeschmissen hättest, hättest du das auch sofort ohne den Thread hier gesehen...
Grundlagen zu der Thematik Bridging von 2 FW Interfaces findest du auch in diesem Forumstutorial:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Alexwehle
29.09.2016 um 10:45 Uhr
Vielen Dank für die Info. Das mit der statischen IP ist mir bewusst und möchte ich dann auch mit der Variante mit LAN2 so realisieren, damit die PC's weiterhin über DHCP angesprochen werden. Zugang soll die NAS von außen (WAN) nicht bekommen, nur das was sie selber benötigt (Zeit, Updat ecc.)

Das mit dem Layer 2 Switch war mir so nicht bewusst. Gehe ich richtig der Annahme das ich hier eine Bridge einrichten muss um zwischen LAN1 und LAN 2 zu kommunizieren. Das habe ich jetzt auch probiert allerdings komme ich leider nicht weiter.
Kannst du mir vielleicht eine Anleitung geben wie ich diese einzurichten habe damit ich die NAS in LAN 2 von LAN1 aus finde uns bedienen kann??
Vielen Dank schon mal im vorraus
Bitte warten ..
Mitglied: aqui
29.09.2016 um 13:21 Uhr
Das mit dem Layer 2 Switch war mir so nicht bewusst.
Ist doch aber klar wenn du Ports in einem gemeinsamen IP Segment hast. Ansonsten machst du ja ein IP Routing, was dann aber umgekehrt wieder 2 unterschiedliche IP Segmente erfordert.
Das ist nun simpelste Netzwerk Kunde erste Klasse....
das ich hier eine Bridge einrichten muss um zwischen LAN1 und LAN 2 zu kommunizieren
Sofern die Firewall diese beiden Ports im Default als separate IP Ports sieht ja. Andererseits müsstes du ja dann routen.
http://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=00 ...
http://www.dslreports.com/forum/r21451613-USG-bridging-ports
http://www.zyxeltech.de/snotezw5_362/app/bridge.htm
https://www.youtube.com/watch?v=A6AbjU1dVdo
Bitte warten ..
Mitglied: Alexwehle
29.09.2016 um 16:17 Uhr
Leider komme ich auf keine funktionierende Lösung
Deswegen wenn es möglich wäre bitte mit eigenen Worten beschreiben.
Ich würde gern von LAN1 (PC) auf LAN2 (NAS) zugreifen. Habe schon versucht eine Bridge einzurichten so wie oben beschrieben, das hat aber leider nicht funktioniert. Die NAS nimmt jeweils die neue eingestellte IP an aber leider kann ich sie weder anpingen noch das Web terminal aufrufen.
Ist hier Bridge überhaupt die richtige Wahl oder etwas anderes?
Ziel ist es das die NAS auf LAN 2 mit fester IP läuft und der Rest in LAN1 über DHCP.
Bitte warten ..
Mitglied: sk
LÖSUNG 29.09.2016, aktualisiert um 22:10 Uhr
Zitat von Alexwehle:
Zugang soll die NAS von außen (WAN) nicht bekommen, nur das was sie selber benötigt (Zeit, Updat ecc.)
...
Das Endstadium wollte ich die NAS auf LAN2 setzen um eine gleichbleibende IP zuhaben und eine nochmal abgeschirmte Insel vom
LAN1 mit den restlichen PC's. Um nur den Datenaustausch zu erlauben und alles andere dicht zu machen. Haltet Ihr das für sinnvoll
um Daten zu schützen??

Zuhause? Eher nein. Was soll das bringen? Wenn man von einzelnen PCs aus nicht aufs NAS zugegreifen können soll, dann kann man das selbstverständlich mittels der Firewall regeln. Dafür müssten die PCs aber auch alle feste IP-Adressen haben und diese von den Usern nicht geändert werden können. Ohnehin bräuchte es dafür die Firewall nicht, denn IP-basierte Filterung kann auch das QNAP selbst. Letztlich sehe ich aber auch darin wenig Sinn - wenn unterschiedliche Zugriffsrechte bestehen, dann bilde diese doch einfach über die Benutzerverwaltung des QNAP ab.


Zitat von Alexwehle:
Ist hier Bridge überhaupt die richtige Wahl oder etwas anderes?
Ziel ist es das die NAS auf LAN 2 mit fester IP läuft und der Rest in LAN1 über DHCP.

Um die PCs per DHCP und das QNAP per statischer IP betreiben zu können, braucht es weder eine Bridge noch muss dafür das QNAP nach LAN2.


Zitat von Alexwehle:
Derzeit sind an der USG nur 2 Geräte angeschlossen. PC mit 192.168.3.3 und NAS mit 192.168.3.2 die von der USG per DHCP zugeteilt werden.
Beide hängen direkt an der USG im LAN1. Leider kann ich weder direkt über die IP auf die NAS zugriffen noch findet der Qfinder die NAS.

Wenn beide Geräte wie beschrieben an der Firewall hängen und von dieser eine IP aus dem gleichen Netz zugewiesen bekommen, dann hängen diese definitiv bereits im gleichen Layer2-Segment. Wenn Du zudem zu diesem Zeitpunkt noch nicht viel von der Default-Config der Zywall abgeändert hattest - insbesondere noch keine wilden Experimente à la Bridge etc. veranstaltet hast, dann kann die Ursache eigentlich nicht die Firewall sein, denn sie arbeitet in diesem Fall wie ein dummer Switch.

Vielleicht mal ein paar Erläuterungen zum besseren Verständnis:
Die Firmware der USG40 basiert auf einer speziellen Linux-Anpassung, die prinzipiell sehr mächtig ist. Den vollen Funktionsumfang gibt es aber erst ab den wesentlich teureren Modellen der 3xx-Reihe und höher. Auch Zyxel möchte Geld verdienen. Also war (vor etlichen Jahren) ein Entwicklungsziel für die Firmware der ersten kleineren Linux-Modelle, deren Funktion gegenüber den größeren schon länger im Markt befindlichen Linux-Modellen künstlich zu beschneiden.
Ein weiteres Ziel war es offenkundig, den Nutzern der früheren (kleinen) Zywall-Modelle, die noch auf dem alten Betriebssystem "ZyNOS" basierten (bspw. die Zywall 5), durch eine gewisse Angleichung einiger Bezeichnungen in der GUI den Umstieg auf die neuen Linux-Geräte zu erleichtern. Während man den Käufern der größeren Modelle also durchaus etwas Gehirnschmalz zubilligte, hat man dies den typischen Nutzern der kleinen Modelle nicht zugetraut. Möglicherweise nicht ganz zu Unrecht und eigentlich wäre es auch nicht zu beanstanden, wenn man es denn gut gemacht hätte.
Statt dessen hat man wohl Entwickler, Marketingleute usw. in einen Raum gesperrt und es ordentlich rauchen lassen. Leider waren das offenkundig nicht die Köpfe, sondern die Joints! Heraus kam jedenfalls ziemlicher Schwachsinn: Und zwar die Übernahme der ZyNOS-typischen Bezeichnungen LAN1, DMZ, WAN1, WAN2 usw. Genau genommen war das noch nicht wirklich die schlechte Idee, sondern die Gleichbenennung und Zwangsbündelung von Portgruppen und Firewallzonen.

Wie jede Firewall hat auch die Zywall selbstverständlich physische Ethernetports. Diese kann man jedoch auch nur hinsichtlich ihrer physischen Eigenschaften wie Linkspeed, Duplexmode etc. konfigurieren. IP-Adressvergaben z.B. finden hier nicht statt. Dafür gibt es repräsentative (Ehternet-)Interfaces. Letzteren werden die physischen Ports zugeordnet. Dabei kann ein solches repräsentatives Interface genau einem physischen Port entsprechen oder auch einer Gruppe von physischen Ports (dann Portgrouping genannt).
Bei den größeren Modellen bis ZLD3.x (ab 4.x ist das über die GUI leider nicht mehr konfigurierbar) kann man diese Zuordnungen völlig frei gestalten und die repräsentativen Interfaces auch frei benennen. Bei den kleinen Modellen geht das nicht. Der erste physische Port an Deiner Büchse ist zwangsweise dem repr. Interface "wan1" (klein geschrieben!) zugeordnet. Weitere Ports kann man darin auch nicht aufnehmen. Dieses repr. Interface "wan1" ist hardcodiert als Typ "external" gelabelt (woran gewisse Eigenschaften und Verhaltensweisen der Box hängen) sowie zwangsweise der Firewallzone "WAN" (groß geschrieben) zugeordnet. Damit hat man sichergestellt, dass die Multi-WAN-Möglichkeiten der USG40 weitgehend beschnitten sind und sie den größeren Modellen diesbezüglich keine Konkurrenz macht.
In gleicher Manier geht es weiter: So gibt es weitere vordefinierte repr. Interfaces wie z.B. "lan1". Dieses kann dann immerhin schon ein Portgrouping sein. Welche Ports darin aber aufgenommen werden können, ist bei den kleinen Modellen letztlich doch wieder restriktiert (bei der 40er vermutlich Port 2-4). Auch gehört dieses Interface bei den kleinen Zywalls damit automatisch wieder zu einer vordefinierten Firewallzone, ist zwangsweise vom Typ "internal" usw.

Auf den ersten Blick scheint es also bei den kleinen Zywalls egal zu sein, ob man von "lan1" (=repräsentatives Interface/Portgrouping) oder "LAN1" ("=Firewallzone) spricht. Ist es aber nicht, weil dies das Verständnis der Arbeitsweise des Gerätes erschwert!
Traffic zwischen den physischen Ports derselben Portgruppe durchläuft nicht den IP-Stack der Zywall und ebenso auch NICHT das Firewallregelwerk und kann deshalb weder per Firewall beregelt noch im Echtzeitlog der Firewall angezeigt werden. Deshalb kann in dem hier vorliegenden Fall die Firewall auch nicht die Ursache für das "Nichtsehen" des QNAP sein, wenn beide Hosts an Ports der selben Portgruppe angeschlossen sind!

Das Firewallregelwerk der Zywall bietet optional die Möglichkeit, auf sog. Zonen abzustellen. Firewallzonen sind nichts anderes, als eine Gruppierungsmöglichkeit für Interfaces. Beregeln kann man sowohl Traffic innerhalb einer Firewallzone als auch zwischen verschiedenen Firewallzonen.Damit wird das Firewallregelwerk flexibler und mächtiger, als wenn man (wie z.B. bei pfSense) direkt auf Interfaces abstellen würde. Neben den bereits angesprochenen repräsentativen Ethernetinterfaces/Portgroupings können z.B. auch VLAN-Interfaces, Tunnel-Interfaces oder
PPP-Interfaces in Zonen aufgenommen/gruppiert werden.
Damit die Firewall zwischen den Interfaces routen kann, benötigt jedes Interface eine überschneidungsfreie IP-Konfiguration. Indirekt bedeutet dies, dass die Firewall (zunächst) nur dann wirken kann, wenn die Zywall auch zwischen verschiedenen IP-Netzen routet. In gewissen Szenarien ist es jedoch durchaus gewünscht, Layer2-Traffic mit der Firewall beregeln zu können. Hier kommt die von Aqui erwähnte Bridge ins Spiel: Man entfernt die IP-Konfig von zwei oder mehr Interfaces und fasst diese zu einer Bridge zusammen. Diese Bridge erhält dann eine IP-Konfiguration, die auf alle Member-Interfaces wirkt. Alle beteiligten Interfaces liegen dann also im gleichen IP-Netz und dennoch kann der Traffic dazwischen per Firewall beregelt werden. Damit mutiert die Zywall partiell zur Layer2-Firewall. Allerdings wirkt sich eine solche Bridge u.U. negativ auf die Performence aus, weil alles über die CPU der Zywall läuft. Die Gruppierung von physischen Ports zu einer Portgruppe umgeht hingegen nicht nur den IP-Stack und das Firewallregelwerk der Zywall, sondern läuft i.d.R. auch auf dem Switchchip ab, was die CPU gar nicht belastet.

Ich hoffe, ich konnte ein wenig zur Verwirrung beitragen...


Gruß
sk
Bitte warten ..
Mitglied: aqui
30.09.2016, aktualisiert um 09:21 Uhr
Ansonsten nimm eine pfSense Firewall:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Dort ist das mit 3 Mausklicks im Handumdrehen konfiguriert. (Wenn man denn unbedingt bridgen will...?!)
Bitte warten ..
Mitglied: Alexwehle
30.09.2016 um 09:43 Uhr
Morgen,
vielen Dank für diese super Auskunft. Jetzt verstehe ich den ganze Aufbau und Funktionsweise der ganzen Technik wesentlich besser. Betreibe das ganze jetzt im gleichen Netz (LAN1) mit einer festen IP für die NAS und alles funktioniert so wie es soll und ich mir gedacht habe.
Vielen Dank noch einmal für die Auskunft
Bitte warten ..
Ähnliche Inhalte
Firewall

Zyxel usg 40 mail versenden funktioniert nicht

gelöst Frage von AlexwehleFirewall9 Kommentare

Servus, Trotz Suche bin ich leider nicht fündig geworden. Ich habe eine zyxel usg 40, nach der Einrichtung habe ...

Router & Routing

OpenVpn Verbindung Synology NAS hinter Zywall USG 40

Frage von TirgelRouter & Routing2 Kommentare

Hi Leute, Ich bin momment kurz vor der Verzweiflung. Ich habe das folgende Setup installiert: Zywall USG40 Firewall: Virtuelles ...

DSL, VDSL

Fritzbox mit ZyXEL USG

Frage von seiimonnDSL, VDSL2 Kommentare

Hallo zusammen, bei einem Kunde in Deutschland ist eine Fritbox im Einsatz. Nun wünscht sich der Kunde eine Zyxel ...

Router & Routing

ZyXEL ZyWALL USG 20 Routing

Frage von Oggy01Router & Routing42 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Neue Wissensbeiträge
Windows Server
Windows DNS Server Denial of Service Vulnerability
Information von Dani vor 1 TagWindows Server

Moin, Microsoft is aware of a vulnerability involving packet amplification that affects Windows DNS servers. An attacker who successfully ...

Batch & Shell

Automatisches Mailing im Batch mit mit sTunnel und Blat.exe

Anleitung von JHB-Kaltduscher vor 1 TagBatch & Shell3 Kommentare

Ich habe die Lösung für die Frage: Ich kann GoogleMail SMTP nicht einrichten? Folgende Teile nötig: sTunnel + blat.exe ...

Entwicklung
NVIDIA KI programmiert PacMan neu
Information von lcer00 vor 2 TagenEntwicklung

Hallo, Das dürfte ein wichtiger Meilenstein in der Evolution von KI sein. Die Matrix und Skynet lassen schon mal ...

Windows Tools
Windows Terminal 1.0 erschienen
Information von Frank vor 5 TagenWindows Tools

Auf der Microsoft Build hat Microsoft Windows Terminal Version 1.0 veröffentlicht. Die finale Version kann entweder über den Windows ...

Heiß diskutierte Inhalte
Hardware
Gaming-Laptop
Frage von MrLabelHardware42 Kommentare

Hallo, ich würde mir gerne meinen ersten Gaming Laptop kaufen. Meine Frage ist, komme ich mit maximal 1000,- hin ...

Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!!
Frage von MysticFoxDEMicrosoft36 Kommentare

Moin Zusammen, ich bin dem Letzt beim Debuggen einer Netzwerkproblematik auf ein meiner Ansicht nach sehr kritisches Problem in ...

LAN, WAN, Wireless
WLAN-Reichweite verstärken
Frage von f3nrIsLAN, WAN, Wireless20 Kommentare

Hallo, ich habe von einem Bekannten den Auftrag bekommen, mich ein bisschen schlau zu machen, wie man auf seinem ...

Datenbanken
Oracle Standard Lizenzierung - Trennung von der VMWare Farm
Frage von inspiratioDatenbanken15 Kommentare

Hallo zusammen, die Thematik ist einwenig komplex. Wir haben einen Server worauf eine Oracle Datenbank läuft. Dieser Server ist ...