Zyxel USG100 Portforwarding
Guten Tag
Zyxel USG100 neueste Firmware installiert.
Gemäss dieser Anleitung das Portforwarding für TCP Port (HTTP Service) eingerichtet.
"USG-Serie Port-Forwarding (Virtual Server) ab FW 2.20"
https://www.zyxel.ch/de/support/download/58494_1
Auf 2 verschiedenen Computern (1x Linux / 1x Win 10) einen Nachrichten-Server installiert.
Dieser kommuniziert einmal über Port 9000 und der zweite über Port 9999 Protokoll HTTP.
In beiden Fällen gelang der Zugriff nicht. Wenn ich einen regulären ISP Router verwende klappt es.
Meine Frage:
Dieser Sachverhalt muss doch in den Logfiles der USG protokolliert sein.
In der USG - Abschnitt Monitor - Menupunkt Log - "Tab View Log" wie setze ich die Parameter um die Ursache einzugrenzen bzw. zu identifizieren?
Besten Dank für jede Hilfe.
Grüsse
RAL9004
Zyxel USG100 neueste Firmware installiert.
Gemäss dieser Anleitung das Portforwarding für TCP Port (HTTP Service) eingerichtet.
"USG-Serie Port-Forwarding (Virtual Server) ab FW 2.20"
https://www.zyxel.ch/de/support/download/58494_1
Auf 2 verschiedenen Computern (1x Linux / 1x Win 10) einen Nachrichten-Server installiert.
Dieser kommuniziert einmal über Port 9000 und der zweite über Port 9999 Protokoll HTTP.
In beiden Fällen gelang der Zugriff nicht. Wenn ich einen regulären ISP Router verwende klappt es.
Meine Frage:
Dieser Sachverhalt muss doch in den Logfiles der USG protokolliert sein.
In der USG - Abschnitt Monitor - Menupunkt Log - "Tab View Log" wie setze ich die Parameter um die Ursache einzugrenzen bzw. zu identifizieren?
Besten Dank für jede Hilfe.
Grüsse
RAL9004
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 363574
Url: https://administrator.de/contentid/363574
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
25 Kommentare
Neuester Kommentar
Hi,
Was die Firewallregeln deiner zwei Forwards angeht, die Regel muss in der Liste natürlich über der "deny any any" Regel stehen.
Dieser Sachverhalt muss doch in den Logfiles der USG protokolliert sein.
Wenn du das Logging für die Regel aktivierst (deine Anleitung, letzte Seite, letztes Bild, unterster Eintrag), dann wird das auch geloggt. Wenn du das Log auf No lässt (exakt wie im Bild), wird natürlich nichts geloggt.Was die Firewallregeln deiner zwei Forwards angeht, die Regel muss in der Liste natürlich über der "deny any any" Regel stehen.
Zitat von @ral9004:
Punkt 1
Login aktivieren. Gehe davon aus, dass ich die Anleitung 1:1 umgesetzt habe. Heisst das nun, dass das logging aktiv ist?
Eben nicht. Das Bild zeigt dir ja "Log: No" und wenn Log auf No steht, wird natürlich nichts geloggt.Punkt 1
Login aktivieren. Gehe davon aus, dass ich die Anleitung 1:1 umgesetzt habe. Heisst das nun, dass das logging aktiv ist?
Punkt 2
Die Regel steht über der "deny any any" Regel.
Gerne poste ich Dir als Bestätigung dazu einen Screenshot.
Jup, schick mal am besten mal die Policy-Control-Seite durchDie Regel steht über der "deny any any" Regel.
Gerne poste ich Dir als Bestätigung dazu einen Screenshot.
Angenommen das logging ist aktiv, wie kann ich der im Post geschilderten Maske die Gründe für den fehlgeschlagenen Zugriff finden?
Unter Monitor->Log siehst du alle Blocks und Accepts von allen Regeln, an denen das Log aktiviert ist.
Hallo,
Hast du?
Gruß,
Peter
Hast du?
Heisst das nun, dass das logging aktiv ist?
Wenn du obige Frage mit "Ja" beantwortest, dann nein.Angenommen das logging ist aktiv, wie kann ich der im Post geschilderten Maske die Gründe für den fehlgeschlagenen Zugriff finden?
Wenn und falls du das Logging eingeschaltet hättest, würdest du in dein Handbuch Kapitel 51.1 dort schon einiges über das Logging gelesen haben. Hier nochmals der Link zum [ftp://ftp.zyxel.com/ZYWALL_USG_200/user_guide/ZYWALL%2520USG%2520200_2.20_ed2.pdf Handbuch]Gruß,
Peter
Hallo,
Nimm(enthält 2 leerzeichen)
Gruß,
Peter
Nimm
ftp://ftp.zyxel.com/ZYWALL_USG_100/user_guide/ZYWALL USG 100_2.20.pdf
Gruß,
Peter
Hallo,
Nicht ganz. Du loggst nicht alles bzw. gar nichts was mit dein E-Mail zu tun hat oder läuft dein SMTP Verkehr auch über dein WAN zum LAN1 und nur für calibrehp und dessen dienst? Oder du verheimlichst hier etwas...
Gruß,
Peter
Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Ich habe das Loging aktiviert. Nach was muss ich suchen im Logfile View?
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Ich habe das Loging aktiviert. Nach was muss ich suchen im Logfile View?
Nicht ganz. Du loggst nicht alles bzw. gar nichts was mit dein E-Mail zu tun hat oder läuft dein SMTP Verkehr auch über dein WAN zum LAN1 und nur für calibrehp und dessen dienst? Oder du verheimlichst hier etwas...
Gruß,
Peter
Hallo,
Sorry, war aus einen anderen Thread. Sorry.
Gruß,
Peter
Sorry, war aus einen anderen Thread. Sorry.
Gruß,
Peter
Wenn ich jedes Mal einen Hunni bekommen hätte, wenn sich diese Annahme später als Fehlannahme herausgestellt hatte, wäre ich sehr vermögend.
Zitat von @ral9004:
Ausser die Anleitung die ich in der Eingangsfrage gestellt habe , ist falsch, veraltet, etc.
Ausser die Anleitung die ich in der Eingangsfrage gestellt habe , ist falsch, veraltet, etc.
Oder Du hast sie auf Dein Szenario nicht richtig adaptiert.
Zitat von @ral9004:
Seit 3 Tagen ist meine Frage offen. Ausser dem Hinweis das die Logfunktion in der Regel nicht eingeschalten war, habe ich keinen zielführenden Hinweis erhalten.
Seit 3 Tagen ist meine Frage offen. Ausser dem Hinweis das die Logfunktion in der Regel nicht eingeschalten war, habe ich keinen zielführenden Hinweis erhalten.
Du hast ja auch ausschließlich danach gefragt, wie Du die Box zum Loggen bringst. Worin hingegen der eigentliche Konfigurationsfehler besteht, war nicht die Fragestellung. Du behauptest einfach, Du hättest alles richtig gemacht, obwohl das Ergebnis diese Annahme widerlegt. Auch hast Du uns keine Infos geliefert, anhand derer wir Deine Konfiguration prüfen könnten. Die NAT/vServer-Konfig fehlt völlig und auch der Screenshot von Teilen des Firewallregelwerkes ist ungeeignet, da niemand weiss, was sich hinter den Adress- und Serviceobjekten verbirgt.
Zitat von @ral9004:
Muss ich jetzt wirklich Geld in die Hand nehmen und den Remotesupport einer Telematikfirma fragen, wie man auf einer USG das Portforwarding zum funktionieren bringt?
Muss ich jetzt wirklich Geld in die Hand nehmen und den Remotesupport einer Telematikfirma fragen, wie man auf einer USG das Portforwarding zum funktionieren bringt?
Wenn Du so weitermachst, dann ja.
Gruß
sk
Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Die Seite ist richtig, bei der USG20 heißt die Seite "Policy-Control".Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Bitte gib uns mal noch mehr Infos über dein Netzwerk, vor Allem der Aufbau vom Internetzugang bis hin zu den Nachrichtenservern, inkl. IP-Adressen von WAN, LAN und den Nachrichtenservern.
Ich habe das Loging aktiviert. Nach was muss ich suchen im Logfile View?
Du musst nach Blocks suchen. Das Log zeigt dir zeilenweise an, von wo was kommt und ob es an der Destination akzeptiert oder geblockt wird.Seit 3 Tagen ist meine Frage offen. Ausser dem Hinweis das die Logfunktion in der Regel nicht eingeschalten war, habe ich keinen zielführenden > Hinweis erhalten. Muss ich jetzt wirklich Geld in die Hand nehmen und den Remotesupport einer Telematikfirma fragen, wie man auf einer USG > das Portforwarding zum funktionieren bringt?
Wenn es dir nicht schnell genug geht, dann ja. Das hier ist Forum, was von freiweiligen Helfern befüllt wird. Ohne SLA oder irgendetwas in ähnlicher Richtung (Reaktionszeit etc.). Und öfters kommt man hier auch zu keiner Lösung. Dementsprechend entscheide bitte du, wie kritisch dein Problem ist, oder ob es reicht, wenn es halt erst in ein bis zwei Wochen gelöst ist.
Hallo,
Gruß,
Peter
Zitat von @ral9004:
Also bitte, wer immer auch konkrete Erfahrung mit USG konfigurieren hat, soll so freundlich sein mit präzisen Anweisungen / Informationen den Sachverhalt eingrenzen / lösen.
Dies hier ist ein Forum wo alle Freiwillig Information von sich geben, ob richtig oder falsch sei mal dahin gestellt, und jeder sich selbst entscheiden kann ob er etwas zu dein Problem beitragen will oder dir helfen will. Es ist ein Forum und wird nicht seitens des Herstelllers (Zyxel) unterstützt.Also bitte, wer immer auch konkrete Erfahrung mit USG konfigurieren hat, soll so freundlich sein mit präzisen Anweisungen / Informationen den Sachverhalt eingrenzen / lösen.
Wenn Portforwarding auf einer USG eine so
Wenn du besser mit einer FritzBox klar kommst... Aber Consumer Hardware ist nicht zwingend Business Hardware, dort wird sogar heute noch eher die Kommandoziele bevorzugt und keine Bunten Bilder wo Mausschubsen angesagt ist.Dann will die nicht noch mehr Forumszeit (Lebenszeit) der Teilnehmer verschwenden. Natürlich werde ich eine kurze Doku schreiben, wenn es dann nächste Woche läuft. Für den nächsten Fragesteller.
Vielleicht hast du nur falsch gefragt oder die anderen Themen vergessen zu erwähnen die meistens bei solchen Produkten zum Portfreigeben nötig sind. Du hast es ja nioch nicht geschafft uns darzustellen das auf diesen Ports / IPs auch gelauscht wird und mit welchem Protokoll das passiert...Gruß,
Peter
Zitat von @ral9004:
Deine erweiterte Liste mit neuen Anforderungen fehlt der Punkt, dass Du ein Foto wünscht die USG wirklich eingeschalten ist und mit Strom versorgt ist...
Deine erweiterte Liste mit neuen Anforderungen fehlt der Punkt, dass Du ein Foto wünscht die USG wirklich eingeschalten ist und mit Strom versorgt ist...
Du solltest einfach nur in nachvollziehbarer Form die Einstellungen posten, die Du analog der von Dir verwendeten Anleitung vorgenommen hast (analog deshalb, weil Du einige Parameter auf Deine konkreten Rahmenbedingungen und Anforderungen hin anpassen musst). Einzig relevant sind die zwei Konfigurationsschritte NAT-/vServer-Policy und Firewall-Policy mit allen diesbezüglichen Parametern. Diese müssen überprüft werden, denn die verwendete Anleitung erfasst eben nicht exakt Dein Anliegen.
Der Umstand, dass Du dies nicht verstehst und hier stattdessen unrelevante Details mitteilst, wie beispielsweise welche Betriebssysteme auf den Zielsystemen laufen und von welchem Hersteller der eingesetzte Switch ist, belegt leider deutlich Deine Überforderung.
Zitat von @ral9004:
Wenn Portforwarding auf einer USG eine so komplexe und schwierige Angelegenheit ist, dann akzeptiere ich das da die Mehrheit der Teilnehmer des Forums mit diesem Thema mehr Erfahrung hat. Dann will die nicht noch mehr Forumszeit (Lebenszeit) der Teilnehmer verschwenden.
Wenn Portforwarding auf einer USG eine so komplexe und schwierige Angelegenheit ist, dann akzeptiere ich das da die Mehrheit der Teilnehmer des Forums mit diesem Thema mehr Erfahrung hat. Dann will die nicht noch mehr Forumszeit (Lebenszeit) der Teilnehmer verschwenden.
Die gewünschte Konfiguration ist simpel! Deine und unsere Zeit wird ausschließlich durch Deine Unfähigkeit oder zumindest Deinen Unwillen, die nötigen Informationen zu liefern, verschwendet.
Zitat von @ral9004:
Also bitte, wer immer auch konkrete Erfahrung mit USG konfigurieren hat, soll so freundlich sein mit präzisen Anweisungen / Informationen den Sachverhalt eingrenzen / lösen.
Also bitte, wer immer auch konkrete Erfahrung mit USG konfigurieren hat, soll so freundlich sein mit präzisen Anweisungen / Informationen den Sachverhalt eingrenzen / lösen.
Bei aller Bescheidenheit: ich arbeite seit ca. 14 Jahren mit Firewalls von ZyXEL (damals gab es noch nicht mal das derzeitige Linux-basierte Firewall-OS namens ZLD) und setze diese durchaus auch in größeren Umgebungen und komplexeren Konfigurationen ein. Ich habe alle Produktentwicklungsschritte mitgemacht, mich an Beta-Tests beteiligt und Input für die Weiterentwicklung geliefert, habe an diversen Schulungen teilgenommen und entsprechende Zertifizierungslevel erreicht. Seit Jahren teile und vertiefe ich dieses Wissen auch gerne in diversen Foren. Es kann niemand ernsthaft behaupten, ich würde mich nicht bemühen, anderen zu helfen.
Meine Bereitschaft zur Hilfestellung endet jedoch, wenn der Hilfesuchende sich renitent weigert, die benötigten Informationen zu liefern. Zum Rumraten fehlt mir leider die Zeit.
Zitat von @ral9004:
Natürlich werde ich eine kurze Doku schreiben, wenn es dann nächste Woche läuft. Für den nächsten Fragesteller.
Natürlich werde ich eine kurze Doku schreiben, wenn es dann nächste Woche läuft. Für den nächsten Fragesteller.
Die Welt ist gespannt, welche bahnbrechenden neuen Erkennisse uns hinsichtlich dieser Trivialkonfiguration offeriert werden, die in den unzähligen verfügbaren User-Guides, KB-Artikel, Youtube-Tutorials usw. zu diesem Thema bisher fehlen.
Gruß
sk
Zitat von @chgorges:
Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Die Seite ist richtig, bei der USG20 heißt die Seite "Policy-Control".Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
@chgorges: Nein Du hast keine USG20, sondern eine USG20-VPN
Nur die mit dem Zusatz "-VPN" unterstützt die Firmware ZLD4.x und damit "Unified Security Policy". Siehe https://www.youtube.com/watch?v=Jcl2cwtPQcg
Der TO hat hingegen eine veraltene USG100. Letzte Firmware dafür war ZLD3.30. Damals wurden die Einstellungen der UTM-Features noch komplett getrennt von der "klassischen" Firewallkonfiguration in separaten Policies vorgenommen.
Gruß
sk
Hallo,
Dann aber auch das Model benennen
https://de.wikipedia.org/wiki/Modem
https://de.wikipedia.org/wiki/DSL-Modem
Dann gibt es noch z.B. LTE Modem, UMTS Modem, Fax Modem ...
https://de.wikipedia.org/wiki/Router
Dann gibt es sogenannte DSL Router, SoHo Router usw. Diese sind unterschiedlichst meistens in ein Plastikgehäuse untergebracht und beinhalten z.B. ein Modem, einen Switsch, ein Router, ein WebServer und evtl. noch anderes Geraffel.
Gruß,
Peter
Dann aber auch das Model benennen
Danach das dritte Szenario mit der gebrigden Modem und der USG
Wenn du ein Modem Bridged bleibt nur ein Stück Draht übrig. Du meinst sicherlich ein Router im Bridgmode zu betreiben da dann nur ein Modem (Modulator/Demodulator) daraus wird. Ein Modem kennt auch keine IPs und ein Router kann eigentlich nur Routen, daher sind Consumer DSL/Kabel Router Kombigeräte und je nach Modell unterschiedlich Konfigurierbar.https://de.wikipedia.org/wiki/Modem
https://de.wikipedia.org/wiki/DSL-Modem
Dann gibt es noch z.B. LTE Modem, UMTS Modem, Fax Modem ...
https://de.wikipedia.org/wiki/Router
Dann gibt es sogenannte DSL Router, SoHo Router usw. Diese sind unterschiedlichst meistens in ein Plastikgehäuse untergebracht und beinhalten z.B. ein Modem, einen Switsch, ein Router, ein WebServer und evtl. noch anderes Geraffel.
Gruß,
Peter
Zitat von @sk:
@chgorges: Nein Du hast keine USG20, sondern eine USG20-VPN
Bah, wie Recht du hast :D Aber ja, ich hab leider grundsätzlich immer nur die VPN-Varianten von Zyxel in der Hand. Dass Zyxel hier die Betitelungen der Menüpunkte so stark variiert, hatte ich nicht aufm Schirm, Portforwards etc. haben aber dennoch immer das gleiche Konstrukt.Zitat von @chgorges:
Zitat von @ral9004:
Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
Die Seite ist richtig, bei der USG20 heißt die Seite "Policy-Control".Was verstehst Du unter "Policy-Control Seite"? Die "IPv4 Rule Summary" sieht so aus:
@chgorges: Nein Du hast keine USG20, sondern eine USG20-VPN
@ral9004
Was war denn jetzt letztendlich die Lösung?