ral9004
Goto Top

Zyxel USG100 Portforwarding

Guten Tag

Zyxel USG100 neueste Firmware installiert.
Gemäss dieser Anleitung das Portforwarding für TCP Port (HTTP Service) eingerichtet.

"USG-Serie Port-Forwarding (Virtual Server) ab FW 2.20"
https://www.zyxel.ch/de/support/download/58494_1

Auf 2 verschiedenen Computern (1x Linux / 1x Win 10) einen Nachrichten-Server installiert.
Dieser kommuniziert einmal über Port 9000 und der zweite über Port 9999 Protokoll HTTP.
In beiden Fällen gelang der Zugriff nicht. Wenn ich einen regulären ISP Router verwende klappt es.

Meine Frage:
Dieser Sachverhalt muss doch in den Logfiles der USG protokolliert sein.
In der USG - Abschnitt Monitor - Menupunkt Log - "Tab View Log" wie setze ich die Parameter um die Ursache einzugrenzen bzw. zu identifizieren?

Besten Dank für jede Hilfe.

Grüsse
RAL9004

Content-ID: 363574

Url: https://administrator.de/contentid/363574

Ausgedruckt am: 26.11.2024 um 01:11 Uhr

chgorges
chgorges 06.02.2018 aktualisiert um 20:43:45 Uhr
Goto Top
Zitat von @ral9004:

Guten Tag
Hi,
Dieser Sachverhalt muss doch in den Logfiles der USG protokolliert sein.
Wenn du das Logging für die Regel aktivierst (deine Anleitung, letzte Seite, letztes Bild, unterster Eintrag), dann wird das auch geloggt. Wenn du das Log auf No lässt (exakt wie im Bild), wird natürlich nichts geloggt.
Was die Firewallregeln deiner zwei Forwards angeht, die Regel muss in der Liste natürlich über der "deny any any" Regel stehen.
ral9004
ral9004 06.02.2018 um 21:00:17 Uhr
Goto Top
Hallo chgorges

Danke für Deine Antwort.

Punkt 1
Login aktivieren. Gehe davon aus, dass ich die Anleitung 1:1 umgesetzt habe. Heisst das nun, dass das logging aktiv ist?

Punkt 2
Die Regel steht über der "deny any any" Regel.

Gerne poste ich Dir als Bestätigung dazu einen Screenshot.

Angenommen das logging ist aktiv, wie kann ich der im Post geschilderten Maske die Gründe für den fehlgeschlagenen Zugriff finden?

Grüsse
RAL9004
chgorges
chgorges 06.02.2018 um 23:28:37 Uhr
Goto Top
Zitat von @ral9004:
Punkt 1
Login aktivieren. Gehe davon aus, dass ich die Anleitung 1:1 umgesetzt habe. Heisst das nun, dass das logging aktiv ist?
Eben nicht. Das Bild zeigt dir ja "Log: No" und wenn Log auf No steht, wird natürlich nichts geloggt.
Punkt 2
Die Regel steht über der "deny any any" Regel.

Gerne poste ich Dir als Bestätigung dazu einen Screenshot.
Jup, schick mal am besten mal die Policy-Control-Seite durch
Angenommen das logging ist aktiv, wie kann ich der im Post geschilderten Maske die Gründe für den fehlgeschlagenen Zugriff finden?
Unter Monitor->Log siehst du alle Blocks und Accepts von allen Regeln, an denen das Log aktiviert ist.
Pjordorf
Pjordorf 06.02.2018 um 23:48:01 Uhr
Goto Top
Hallo,

Zitat von @ral9004:
Login aktivieren. Gehe davon aus, dass ich die Anleitung 1:1 umgesetzt habe
Hast du?

Heisst das nun, dass das logging aktiv ist?
Wenn du obige Frage mit "Ja" beantwortest, dann nein.

Angenommen das logging ist aktiv, wie kann ich der im Post geschilderten Maske die Gründe für den fehlgeschlagenen Zugriff finden?
Wenn und falls du das Logging eingeschaltet hättest, würdest du in dein Handbuch Kapitel 51.1 dort schon einiges über das Logging gelesen haben. Hier nochmals der Link zum [ftp://ftp.zyxel.com/ZYWALL_USG_200/user_guide/ZYWALL%2520USG%2520200_2.20_ed2.pdf Handbuch]

Gruß,
Peter
ral9004
ral9004 07.02.2018 um 05:56:55 Uhr
Goto Top
Hallo Peter

Heute Morgen bin ich nicht vor Ort. Heute Abend werde ich die Deinen Vorschlag (RTFM) umsetzen face-wink

Der Link zum Handbuch ist jedoch ungültig:
ftp://ftp.zyxel.com/ZYWALL_USG_200/user_guide/ZYWALL%2520USG%2520200_2.20_ed2.pdf

Ich werde mich heute Abend im Inet auf die Suche machen.

Grüsse
RAL9004
Pjordorf
Pjordorf 07.02.2018 um 12:12:07 Uhr
Goto Top
Hallo,

Zitat von @ral9004:
Der Link zum Handbuch ist jedoch ungültig:
Nimm
ftp://ftp.zyxel.com/ZYWALL_USG_100/user_guide/ZYWALL USG 100_2.20.pdf
(enthält 2 leerzeichen)

Gruß,
Peter
ral9004
ral9004 07.02.2018 um 19:13:41 Uhr
Goto Top
Hallo chgorges

Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
usg100-ipv4 rule summary

Ich habe das Loging aktiviert. Nach was muss ich suchen im Logfile View?

Grüsse
RAL9004
ral9004
ral9004 07.02.2018 um 19:17:14 Uhr
Goto Top
Hallo Peter

Danke für den Link.
Ist meiner Handbuchsammlung hinzugefügt.
Lese es heute Abend.

Grüsse
RAL9004
Pjordorf
Pjordorf 07.02.2018 um 19:20:51 Uhr
Goto Top
Hallo,

Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Ich habe das Loging aktiviert. Nach was muss ich suchen im Logfile View?

Nicht ganz. Du loggst nicht alles bzw. gar nichts was mit dein E-Mail zu tun hat oder läuft dein SMTP Verkehr auch über dein WAN zum LAN1 und nur für calibrehp und dessen dienst? Oder du verheimlichst hier etwas...

Gruß,
Peter
ral9004
ral9004 07.02.2018 um 19:31:33 Uhr
Goto Top
Hallo Peter

Warum den neuen Bezugspunkt E-Mail bzw. E-Mail Protokolle?
Es geht um das den Aufruf eines Dienstes über das HTTP Protokoll und eine Portweiterleitung.

Somit bitte ich Dich Deine Frage zu erklären oder zu präzisieren?

Grüsse
RAL9003
Pjordorf
Pjordorf 07.02.2018 um 22:29:24 Uhr
Goto Top
Hallo,

Zitat von @ral9004:
Warum den neuen Bezugspunkt E-Mail bzw. E-Mail Protokolle?
Sorry, war aus einen anderen Thread. Sorry.

Gruß,
Peter
sk
sk 07.02.2018 um 23:32:39 Uhr
Goto Top
Deine Regel loggt aber auch nur, wenn sie wirklich greift.
Im Zweifel aktiviere also auch das Logging auf der Default-Regel ganz unten.

Gruß
sk
ral9004
ral9004 08.02.2018 um 08:23:49 Uhr
Goto Top
Hallo sk

Die Regel für ein Portforwarding ist simpel.
Natürlich greift die Regel. Ausser die Anleitung die ich in der Eingangsfrage gestellt habe , ist falsch, veraltet, etc.

Seit 3 Tagen ist meine Frage offen. Ausser dem Hinweis das die Logfunktion in der Regel nicht eingeschalten war, habe ich keinen zielführenden Hinweis erhalten. Muss ich jetzt wirklich Geld in die Hand nehmen und den Remotesupport einer Telematikfirma fragen, wie man auf einer USG das Portforwarding zum funktionieren bringt?

Grüsse
RAL9004
sk
sk 08.02.2018 aktualisiert um 09:35:27 Uhr
Goto Top
Zitat von @ral9004:
Natürlich greift die Regel.

Wenn ich jedes Mal einen Hunni bekommen hätte, wenn sich diese Annahme später als Fehlannahme herausgestellt hatte, wäre ich sehr vermögend.


Zitat von @ral9004:
Ausser die Anleitung die ich in der Eingangsfrage gestellt habe , ist falsch, veraltet, etc.

Oder Du hast sie auf Dein Szenario nicht richtig adaptiert.


Zitat von @ral9004:
Seit 3 Tagen ist meine Frage offen. Ausser dem Hinweis das die Logfunktion in der Regel nicht eingeschalten war, habe ich keinen zielführenden Hinweis erhalten.

Du hast ja auch ausschließlich danach gefragt, wie Du die Box zum Loggen bringst. Worin hingegen der eigentliche Konfigurationsfehler besteht, war nicht die Fragestellung. Du behauptest einfach, Du hättest alles richtig gemacht, obwohl das Ergebnis diese Annahme widerlegt. Auch hast Du uns keine Infos geliefert, anhand derer wir Deine Konfiguration prüfen könnten. Die NAT/vServer-Konfig fehlt völlig und auch der Screenshot von Teilen des Firewallregelwerkes ist ungeeignet, da niemand weiss, was sich hinter den Adress- und Serviceobjekten verbirgt.


Zitat von @ral9004:
Muss ich jetzt wirklich Geld in die Hand nehmen und den Remotesupport einer Telematikfirma fragen, wie man auf einer USG das Portforwarding zum funktionieren bringt?

Wenn Du so weitermachst, dann ja.


Gruß
sk
chgorges
Lösung chgorges 08.02.2018 um 14:22:26 Uhr
Goto Top
Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
usg100-ipv4 rule summary
Die Seite ist richtig, bei der USG20 heißt die Seite "Policy-Control".
Bitte gib uns mal noch mehr Infos über dein Netzwerk, vor Allem der Aufbau vom Internetzugang bis hin zu den Nachrichtenservern, inkl. IP-Adressen von WAN, LAN und den Nachrichtenservern.
Ich habe das Loging aktiviert. Nach was muss ich suchen im Logfile View?
Du musst nach Blocks suchen. Das Log zeigt dir zeilenweise an, von wo was kommt und ob es an der Destination akzeptiert oder geblockt wird.
Seit 3 Tagen ist meine Frage offen. Ausser dem Hinweis das die Logfunktion in der Regel nicht eingeschalten war, habe ich keinen zielführenden > Hinweis erhalten. Muss ich jetzt wirklich Geld in die Hand nehmen und den Remotesupport einer Telematikfirma fragen, wie man auf einer USG > das Portforwarding zum funktionieren bringt?
Wenn es dir nicht schnell genug geht, dann ja. Das hier ist Forum, was von freiweiligen Helfern befüllt wird. Ohne SLA oder irgendetwas in ähnlicher Richtung (Reaktionszeit etc.). Und öfters kommt man hier auch zu keiner Lösung. Dementsprechend entscheide bitte du, wie kritisch dein Problem ist, oder ob es reicht, wenn es halt erst in ein bis zwei Wochen gelöst ist.
ral9004
ral9004 08.02.2018 um 15:17:36 Uhr
Goto Top
Hallo sk

Ausgangslage (Wiederholung):
  • USG ist neu aufgesetzt
*Anleitung nach der ich die Regel erstellt habe ist dokumentiert
*Hinweis das das loggen in der Anleitung nicht aktiv geschalten ist umgesetzt: loggen ist aktiv.
*Screenshot der Regelreihenfolge für Priorität wurde gewünscht und geliefert.
*Handbuch downgeloaded und durchgelesen.

Deine erweiterte Liste mit neuen Anforderungen fehlt der Punkt, dass Du ein Foto wünscht die USG wirklich eingeschalten ist und mit Strom versorgt ist...

Also bitte, wer immer auch konkrete Erfahrung mit USG konfigurieren hat, soll so freundlich sein mit präzisen Anweisungen / Informationen den Sachverhalt eingrenzen / lösen.

Wenn Portforwarding auf einer USG eine so komplexe und schwierige Angelegenheit ist, dann akzeptiere ich das da die Mehrheit der Teilnehmer des Forums mit diesem Thema mehr Erfahrung hat. Dann will die nicht noch mehr Forumszeit (Lebenszeit) der Teilnehmer verschwenden. Natürlich werde ich eine kurze Doku schreiben, wenn es dann nächste Woche läuft. Für den nächsten Fragesteller.

Grüsse
RAL9004
Pjordorf
Pjordorf 08.02.2018 aktualisiert um 15:49:14 Uhr
Goto Top
Hallo,

Zitat von @ral9004:
Also bitte, wer immer auch konkrete Erfahrung mit USG konfigurieren hat, soll so freundlich sein mit präzisen Anweisungen / Informationen den Sachverhalt eingrenzen / lösen.
Dies hier ist ein Forum wo alle Freiwillig Information von sich geben, ob richtig oder falsch sei mal dahin gestellt, und jeder sich selbst entscheiden kann ob er etwas zu dein Problem beitragen will oder dir helfen will. Es ist ein Forum und wird nicht seitens des Herstelllers (Zyxel) unterstützt.

Wenn Portforwarding auf einer USG eine so
Wenn du besser mit einer FritzBox klar kommst... Aber Consumer Hardware ist nicht zwingend Business Hardware, dort wird sogar heute noch eher die Kommandoziele bevorzugt und keine Bunten Bilder wo Mausschubsen angesagt ist.

Dann will die nicht noch mehr Forumszeit (Lebenszeit) der Teilnehmer verschwenden. Natürlich werde ich eine kurze Doku schreiben, wenn es dann nächste Woche läuft. Für den nächsten Fragesteller.
Vielleicht hast du nur falsch gefragt oder die anderen Themen vergessen zu erwähnen die meistens bei solchen Produkten zum Portfreigeben nötig sind. Du hast es ja nioch nicht geschafft uns darzustellen das auf diesen Ports / IPs auch gelauscht wird und mit welchem Protokoll das passiert...

Gruß,
Peter
ral9004
ral9004 08.02.2018 um 15:34:25 Uhr
Goto Top
Hallo chgorges

Punkt1 (Netzwerk)

USG100 (Lan Port 4) -> LAN Port 4 -> Ethernetkabel -> TP Switch - : 1 x Linux mit Server / 1 x Win mit Server
Da ich gerade vor Ort bin und alle Geräte am gleichen Ort sind, hänge ich Internet und Switch-Kabel wieder an den Zyxel Router wo ich über PPP die IP vom ISP abhole. Ich habe auch ein kleines Foto der Geräte geschossen, damit es plastischer wird.

Werde nach dem Test - ca. 10 Min - den Rest Deiner Fragen beantworten.

Grüsse
RAL9004
sk
sk 09.02.2018 aktualisiert um 17:23:43 Uhr
Goto Top
Zitat von @ral9004:
Deine erweiterte Liste mit neuen Anforderungen fehlt der Punkt, dass Du ein Foto wünscht die USG wirklich eingeschalten ist und mit Strom versorgt ist...

Du solltest einfach nur in nachvollziehbarer Form die Einstellungen posten, die Du analog der von Dir verwendeten Anleitung vorgenommen hast (analog deshalb, weil Du einige Parameter auf Deine konkreten Rahmenbedingungen und Anforderungen hin anpassen musst). Einzig relevant sind die zwei Konfigurationsschritte NAT-/vServer-Policy und Firewall-Policy mit allen diesbezüglichen Parametern. Diese müssen überprüft werden, denn die verwendete Anleitung erfasst eben nicht exakt Dein Anliegen.
Der Umstand, dass Du dies nicht verstehst und hier stattdessen unrelevante Details mitteilst, wie beispielsweise welche Betriebssysteme auf den Zielsystemen laufen und von welchem Hersteller der eingesetzte Switch ist, belegt leider deutlich Deine Überforderung.


Zitat von @ral9004:
Wenn Portforwarding auf einer USG eine so komplexe und schwierige Angelegenheit ist, dann akzeptiere ich das da die Mehrheit der Teilnehmer des Forums mit diesem Thema mehr Erfahrung hat. Dann will die nicht noch mehr Forumszeit (Lebenszeit) der Teilnehmer verschwenden.

Die gewünschte Konfiguration ist simpel! Deine und unsere Zeit wird ausschließlich durch Deine Unfähigkeit oder zumindest Deinen Unwillen, die nötigen Informationen zu liefern, verschwendet.


Zitat von @ral9004:
Also bitte, wer immer auch konkrete Erfahrung mit USG konfigurieren hat, soll so freundlich sein mit präzisen Anweisungen / Informationen den Sachverhalt eingrenzen / lösen.

Bei aller Bescheidenheit: ich arbeite seit ca. 14 Jahren mit Firewalls von ZyXEL (damals gab es noch nicht mal das derzeitige Linux-basierte Firewall-OS namens ZLD) und setze diese durchaus auch in größeren Umgebungen und komplexeren Konfigurationen ein. Ich habe alle Produktentwicklungsschritte mitgemacht, mich an Beta-Tests beteiligt und Input für die Weiterentwicklung geliefert, habe an diversen Schulungen teilgenommen und entsprechende Zertifizierungslevel erreicht. Seit Jahren teile und vertiefe ich dieses Wissen auch gerne in diversen Foren. Es kann niemand ernsthaft behaupten, ich würde mich nicht bemühen, anderen zu helfen.
Meine Bereitschaft zur Hilfestellung endet jedoch, wenn der Hilfesuchende sich renitent weigert, die benötigten Informationen zu liefern. Zum Rumraten fehlt mir leider die Zeit.


Zitat von @ral9004:
Natürlich werde ich eine kurze Doku schreiben, wenn es dann nächste Woche läuft. Für den nächsten Fragesteller.

Die Welt ist gespannt, welche bahnbrechenden neuen Erkennisse uns hinsichtlich dieser Trivialkonfiguration offeriert werden, die in den unzähligen verfügbaren User-Guides, KB-Artikel, Youtube-Tutorials usw. zu diesem Thema bisher fehlen.


Gruß
sk
sk
sk 09.02.2018 um 18:31:13 Uhr
Goto Top
Zitat von @chgorges:
Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Die Seite ist richtig, bei der USG20 heißt die Seite "Policy-Control".

@chgorges: Nein Du hast keine USG20, sondern eine USG20-VPN face-wink
Nur die mit dem Zusatz "-VPN" unterstützt die Firmware ZLD4.x und damit "Unified Security Policy". Siehe https://www.youtube.com/watch?v=Jcl2cwtPQcg
Der TO hat hingegen eine veraltene USG100. Letzte Firmware dafür war ZLD3.30. Damals wurden die Einstellungen der UTM-Features noch komplett getrennt von der "klassischen" Firewallkonfiguration in separaten Policies vorgenommen.

Gruß
sk
ral9004
ral9004 10.02.2018 um 17:05:38 Uhr
Goto Top
@chgorges

Hallo chgorges

Nur ein kurzes Lebenszeichen, da es mit den 10 Min gestern nicht geklappt hat face-wink

Morgen Sonntagabend schaue ich mir das Thema nochmals an.

Ich werde eine Referenzinstallation mit einem sehr einfachen Server machen.
Dann spiele ich das ganze zuerst mit einem Standard ISP Router durch.
Danach mit einem Zyxel Router.
Danach das dritte Szenario mit der gebrigden Modem und der USG

Infos über die Art und Weise wie die Zyxelgeräte für Portforwarding konfiguriert werden müssen, habe ich jetzt ja einiges. Feedback folgt.

Grüsse
RAL9004
Pjordorf
Pjordorf 10.02.2018 um 21:54:41 Uhr
Goto Top
Hallo,

Zitat von @ral9004:
Dann spiele ich das ganze zuerst mit einem Standard ISP Router durch.
Dann aber auch das Model benennen

Danach das dritte Szenario mit der gebrigden Modem und der USG
Wenn du ein Modem Bridged bleibt nur ein Stück Draht übrig. Du meinst sicherlich ein Router im Bridgmode zu betreiben da dann nur ein Modem (Modulator/Demodulator) daraus wird. Ein Modem kennt auch keine IPs und ein Router kann eigentlich nur Routen, daher sind Consumer DSL/Kabel Router Kombigeräte und je nach Modell unterschiedlich Konfigurierbar.

https://de.wikipedia.org/wiki/Modem
https://de.wikipedia.org/wiki/DSL-Modem
Dann gibt es noch z.B. LTE Modem, UMTS Modem, Fax Modem ...

https://de.wikipedia.org/wiki/Router
Dann gibt es sogenannte DSL Router, SoHo Router usw. Diese sind unterschiedlichst meistens in ein Plastikgehäuse untergebracht und beinhalten z.B. ein Modem, einen Switsch, ein Router, ein WebServer und evtl. noch anderes Geraffel.

Gruß,
Peter
ral9004
ral9004 11.02.2018 um 20:38:33 Uhr
Goto Top
Hallo Peter

Danke für Deine Informationen.
Deine Informationen sind mir bekannt.

Das Problem ist gelöst.
Die Dokumentation braucht noch etwas Zeit.
Und Zeit ist die rarste Ressource.

Grüsse
RAL9004
chgorges
chgorges 13.02.2018 um 11:06:31 Uhr
Goto Top
Zitat von @sk:

Zitat von @chgorges:
Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Die Seite ist richtig, bei der USG20 heißt die Seite "Policy-Control".

@chgorges: Nein Du hast keine USG20, sondern eine USG20-VPN face-wink
Bah, wie Recht du hast :D Aber ja, ich hab leider grundsätzlich immer nur die VPN-Varianten von Zyxel in der Hand. Dass Zyxel hier die Betitelungen der Menüpunkte so stark variiert, hatte ich nicht aufm Schirm, Portforwards etc. haben aber dennoch immer das gleiche Konstrukt.

@ral9004
Was war denn jetzt letztendlich die Lösung?
ral9004
ral9004 14.02.2018 um 04:30:16 Uhr
Goto Top
@chgorges

Guten Morgen

Zwei Konstante kenne ich in der IT:
1. Fluchen ist die Sprache die man am Besten behrscht
2. Nie genug Zeit, um etwas wirklich zu durchdenken

Lösung war:
Neustarten / Resen / Objekte neu erstellen / durchspielen / etc.
Der Sonntagnachmittag war um und plötzlich ging es.

Ich habe noch die Schulungsunterlagen von der USG.
Ein dicker Ordner, der eigenlich schon lange eingescannt sein sollte.
Wer weiss, vielleicht an einem regnerischen Tag lässt mich der Gott der IT ein wenig hinter den Vorhang schauen face-wink

Grüsse
RAL9004