Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 3380 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Anleitung entwerfen, Stichpunkte gesucht!!

tom2139
Hallo allerseits!


Bin absoluter Neuling in Sachen Astaro und noch in Ausbildung zum Fachinformatiker. Nun habe ich den Auftrag erhalten, zu Testzwecken 2 Standorte mit Astaro miteinander zu verbinden. An beiden Standorten ist jeweils ein Windows Server 2008 DC in Betrieb, an jedem hängen ca. 15-20 Clients. Beide Standorte sind per ADSL2+ 16Mbit Down und 1Mbit Up mit dynamischen IP's mit dem Internet verbunden. Es handelt sich um eine Art Testnetzwerk, sprich die Azubis arbeiten damit um sich die Fertigkeiten von AD anzueignen, aber es arbeiten auch ganz normale Benutzer damit, um per Outlook ihre E-mails von öffentlichen Providern (GMX, Web.de, T-Online) abzuholen, ein interner Mailserver ist ebenfalls vorhanden. Internet soll von beiden Standorten aus erreichbar sein, bzw. eigentlich sollte alles so möglich sein, als wären diese Standorte direkt per LAN miteinander verbunden. Diese Standorte sollen nun miteinander verbunden werden, ein Azubi kümmert sich darum, die 2 Domänen miteinander zu verbinden, sprich es soll über eine VPN Verbindung über das Internet eine Serverreplikation stattfinden, mein Auftrag ist, dies per 2 Astaro Software Gateways zu lösen. Beide sind direkt per ADSL2+ Modem verbunden, an beiden sollen je ein Server 2008 DC hängen und sich über den VPN replizieren, an den Servern hängen die Clients.

Ich steht nun vor dem Problem, dass ich zwar Grundlagen der Netzwerktechnik und Informatik beherrsche, habe auch das Astaro Fundmental Training absolviert, aber zum einrichten langts halt nicht ganz [:D]

Könntet ihr mir bitte helfen, Astaro Handbuch und Guide für VPN IPsec Verbindung habe ich schon, aber ist halt doch sehr umfangreich,  ich bräcuhte halt eine Art Stichpunktliste was zu tun ist, sollte ungefähr so aussehen.


1. Astaro installieren und mit Modem vebinden.
2. Basic System Setup durchführen, DynDNS Namen beantragen, und DynDNS einschalten sowie konfigurieren
3.NAT einschalten und konfigurieren
4. Routing konfígurieren


Vielleicht könnt ihr mir Schritt für Schritt helfen eine solche Anleitung zu entwerfen, würde vielleicht anderen Usern auch sehr viel helfen, das ganz dient zu Testzwecken, mein Erfolg oder Misserfolg entscheidet, ob die Astaro eingeführt wird oder nich (Momentan 30 Tage Trial Version)

Folgendes funktioniert bereits: PPPoE Zugang über ADSL2+ Modem, DynDNS Aktualisierung, einzelner Client ohne Serveranbindung hat Internetzugriff (seltsamerweise erst, seit Aktivierung des HTTP/S Proxy's) Login Skripte funktionieren nicht, z.B kann ich mich nicht bei DynDNS anmelden per Browser...

Und zum Schluss: Bitte keine Antworten, wie vergiss, oder lies das Handbuch,  wenn dann was konkretes, bin gerne bereit mich zu bilden und einzulesen, also wenn ihr meint ihr könnt mir helfen, dann sage ich jetzt schon mal danke, und ich freue mich darauf mit euch zu arbeiten [:)]


This thread was automatically locked due to age.
Parents
  • 0
    Hallo Tom,

    wenn Du das Produkt wirklich _sinnvoll_ evaluieren möchtest und gut erklärt bekommen magst, dann wende Dich doch an einen der zahlreichen Vertriebspartner von Astaro. Diese sind auf das Produkt geschult und da Astaro keinen Direktvertrieb anbietet, musst Du eh über einen solchen Partner beziehen.
    Selbst ausprobieren geht zwar auch, aber wenn Du Dich nicht umfangreich in Firewallprodukten auskennst und über Troubleshooting-Fähigkeiten verfügst, wird das Ganze sicherlich a) langwierig und b) vielleicht das Produkt in einem schlechteren Licht dastehen lassen, als es eigentlich verdient.

    That said:

    wenn Du neu in der Materie bist, mache doch bitte folgende Dinge:

    a) erstelle Dir einen Netzplan, in dem Du die unterschiedlichen Netzwerkbereiche einzeichnetst. Das hilft immer sehr gut.
    b) schreibe von Hand auf, welche Firewallregeln, Routings und VPN Verbindungen Du benötigst. Mach das BEVOR Du die ASG konfigurierst auf Papier.
    c) installiere noch einmal und nutze NICHT den Wizzard. Richte das Produkt auf Basis Deiner Aufzeichnungen weiter oben von Hand ein. Dann wird Dir deutlich, was Du da gerade machst.
    d) Don't overenigneer. Versuche nicht, jede Funktion der ASG zu nutzen.
    e) zur Standortvernetzung: Nutz' am Besten SSL VPN, das ist einfacher einzurichten als IPSec.

    Letzte Worte:
    Achte auf ein gutes NTP, Monitoring und DNS Konzept; das wird gerade von "Anfängern" in der Ausbildung vernachlässigt bzw. als nicht so wichtig angesehen, ist aber etwas, was ich als große Problemquelle in meiner Projekterfahrung (allgemein, nicht nur mit Astaro) erlebt habe. DNS ist beispielsweise für ein funktionierendes AD elementar.

    PS: was genau meinst Du mit "kann ich mich nicht bei DynDNS anmelden per Browser..."?

    Liebe Grüße
    Christian
Reply
  • 0
    Hallo Tom,

    wenn Du das Produkt wirklich _sinnvoll_ evaluieren möchtest und gut erklärt bekommen magst, dann wende Dich doch an einen der zahlreichen Vertriebspartner von Astaro. Diese sind auf das Produkt geschult und da Astaro keinen Direktvertrieb anbietet, musst Du eh über einen solchen Partner beziehen.
    Selbst ausprobieren geht zwar auch, aber wenn Du Dich nicht umfangreich in Firewallprodukten auskennst und über Troubleshooting-Fähigkeiten verfügst, wird das Ganze sicherlich a) langwierig und b) vielleicht das Produkt in einem schlechteren Licht dastehen lassen, als es eigentlich verdient.

    That said:

    wenn Du neu in der Materie bist, mache doch bitte folgende Dinge:

    a) erstelle Dir einen Netzplan, in dem Du die unterschiedlichen Netzwerkbereiche einzeichnetst. Das hilft immer sehr gut.
    b) schreibe von Hand auf, welche Firewallregeln, Routings und VPN Verbindungen Du benötigst. Mach das BEVOR Du die ASG konfigurierst auf Papier.
    c) installiere noch einmal und nutze NICHT den Wizzard. Richte das Produkt auf Basis Deiner Aufzeichnungen weiter oben von Hand ein. Dann wird Dir deutlich, was Du da gerade machst.
    d) Don't overenigneer. Versuche nicht, jede Funktion der ASG zu nutzen.
    e) zur Standortvernetzung: Nutz' am Besten SSL VPN, das ist einfacher einzurichten als IPSec.

    Letzte Worte:
    Achte auf ein gutes NTP, Monitoring und DNS Konzept; das wird gerade von "Anfängern" in der Ausbildung vernachlässigt bzw. als nicht so wichtig angesehen, ist aber etwas, was ich als große Problemquelle in meiner Projekterfahrung (allgemein, nicht nur mit Astaro) erlebt habe. DNS ist beispielsweise für ein funktionierendes AD elementar.

    PS: was genau meinst Du mit "kann ich mich nicht bei DynDNS anmelden per Browser..."?

    Liebe Grüße
    Christian
Children
  • 0 in reply to christianlouis
    Hi Christian,

    er meint, er konnte erst ins Internet nach Aktivierung vom Proxy. Klingt nachvollziehbar, da er ja im PF sicher keine Regeln für HTTP und HTTPS stehen hat und die ASG ja erstmal alles dropt, was nicht explizit erlaubt ist. Nach dem Aktivieren des Proxy konnte er per HTTP zur DynDNS-Webseite. Wenn diese bei Login dann auf HTTPS umstellt, dann kann das Login nciht klappen, da er entweder im Proxy HTTPS-Scanning einschalten muss oder aber zumindest eine Paketfilterregel existieren muss.

    Also Tom, im Proxy HTTPS-Scanning einschalten oder unter Ntwork Security -> Packet Filter Rules eine Regel für HTTPS erstellen:

    Source: LAN
    Service: HTTPS
    Destination: ANY
    Allow
    Time: Always
    Log aktivieren

    Damit sollten HTTPS-Seiten erreichbar sein. Für andere Dienste kannst du analog vorgehen. Betrifft eine Regel nur einen oder ausgewählte Computer kannst du auch diese als Source oder Destination angeben.

    Zu beachten ist noch: HTTPS-Scanning funktioniert wie MITM (Man-in-the-middle) Angriffe. Hier ist es aber GsD nur ein Eingriff. Allen Clients die mit HTTPS (auch im Hintergrund, bspw. WSUS) arbeiten, sollte das Zertifkat der ASG bekannt sein oder du musst Exeptions definieren.
    -- 
    HTH & MfG, Steffen
  • 0 in reply to trialrider
    Hi,

    erstmal vielen Dank für eure Antworten, und Trialrider hat genau ins schwarze getroffen mit seiner Antwort, aber auch Danke an Christian, bin gerade dabei deinen Rat zu befolgen. Mache gerade einen Netzplan und werde ihn noch heute hier reinstellen. Meine Anleitung ist auch schon fortgeschritten, ich stell sie mal gleich hier rein....


    Wo ich jetzt noch Probleme hab ist folgendes:

    Ich habe keinerlei statische Routingeinträge gesetzt, und trotzdem kann ein Client mit privater Class C Adresse im Internet surfen, wie ist das möglich? Ich weiß zwar mittlerweile viel Theorie über Routing, Link State, Distanzvektor, ein Router vermittelt immer zwischen 2 Netzen.. und und ... aber warum dann mein Client ins Internet kommt, ist mir nicht klar
    Léider funktioniert das Erstellen von Paketfilterregeln bei mir nicht, wie bereits gesagt, Web Zugriff nur möglich wenn HTTTP Proxy aktiv, seit der Einstellung HTTPS scannen, gehen auch Anmeldeskripte mit SSL, wie z.B. DynDNS Anmeldung...

    Und könnte mir jemand schnell eine Hilfetellung zu NAT geben?
    Ich meine ich kenne die NAT Arten(SNAT; DNAT; Full Cone NAT; Restricted Nat, PRCN, usw. ) aber wie gesagt, das ganze dann umsetzen ist doch nicht so einfach...

    Vielen Dank für eure Antworten schon im Voraus
  • 0 in reply to tom2139
    Hi Tom,

    für was brauchst du ne Route? Wichtig ist, dass du dein LAN mit dem externen Interface maskierst oder entpsrechend SNAT-Regeln verwendest.

    Für eingehende Dienste/Pakete, die an der ASG aufschlagen und ins LAN weiter gereicht werden müssen, ist dann DNAT sinnvoll.

    Da deine ASG sicherlich im Routing Modus läuft, weiss sie, wo sie was hin schicken muss. Ist ja Sinn und Zweck eines Routers. Benötigst für manche Anwendungen einen anderen "Ausgang", dann ist eine (statische) Route sinnvoll.

    Was klappt bei deinen Paketfilterregeln nciht mit Anlegen? Zeig her mit Screenshots. Die PFR legst du an und musst dann natürlich auf "Grün" setzen (anklicken)...
    -- 
    MfG, Steffen
  • 0 in reply to trialrider
    Naja, ich dachte immer, wenn ich zwei Subnetze verbinden will, (mein privates Class C Netzwerk, und das Internet)
    brauche ich einen Router? Läuft denn die Astaro, wenn ich Bridging nicht aktiviert habe, immer im Routing Modus, und wenn ja, im Handbuch heißt es doch, die Standarte Routen würden automatisch angelegt? Warum finde ich sie dann nicht unter statische Routen?

    Und das mit den Paktefilterregeln funktioniert jetzt, aber erst seitem ich die Maskierungsregel Any to Wan angelegt habe [:D]
    Bin ich in der Annahme richtig, da es sich ja bei der Astaro um eine Stateful Inspection Firewall handelt, dass, wenn ich 2 Paketfilterregeln Intern to Any HTTP und HTTPS, aber keine Any to Intern, die Firewall automatisch eingehende Pakete mit HTTP/S durchlässt, wenn sie vorher initiert wurden?
  • 0 in reply to tom2139
    Hi Tom,

    ja, und damit du an den ASG eigenen Routen nichts änderst, sind sie nicht sichtbar *g*. Ist so. Im Menü unter Support kannst du dir die vorhandenen Routen anzeigen lassen oder über die Konsole.

    Wenn du beim Maskieren statt ANY dein LAN nimmst, reicht das auch.

    Ich denke schon, dass die ASG eine SIF ist. Es wird grundsätzlich alles gedropt, was eben nciht durch Systemeinstellungen (ICMP, Traceroute, PING...), Proxys oder Regeln abgedeckt ist. Du benötigst bei Verwendung des Webproxys _keine_ Regel für HTTP, oder du deaktivierst den Proxy wieder. Wenn der Proxy HTTPS scannt (im transparenten Modus) benötigst du auch keine Filterregel. Der HTTP/S-Proxy greift vorher. Wenn du die Regel verwenden willst, schalt das HTTPS-Scanning wieder ab. So machen wir das hier: HTTP-Proxy (transparent) und HTTPS-REgel.
    -- 
    HTH & MfG, Steffen
  • 0 in reply to trialrider
    Hi,

    also derzeitiger Status ist:

    Standort1: Windows Server 2008 DC, mit DHCP, DNS, und DNS Weiterleitung auf die Astaro, Clients haben vollen Internetzugriff, Update, alles möglich,
    aber halt nur weil alles erlaube und meine Maskierungsregel auch alles zulässt, 
    jetzt mache ich mich mal an den SSL oder IPSEC Site to Site Tunnel und schaue, ob ich es hinkriege mich über das Internet am AD anzumelden, 

    aber wie könnte ich jetzt sinnvoll die Regeln einschränken, wie gesagt, LAN mäßig soll alles so möglich sein, als wäre man nicht geographisch getrennt, aber Sicherheit soll schon vorhanden sein, sprich alles was die Clients über die AD treiben, soll so möglich sein, als wären sie nicht getrennt, alles andere soll sehr sicher und eingeschränkt sein, kein Instant Messaging, kein Social Networking, usw, usw.
  • 0 in reply to tom2139
    Habe noch eine Frage zur DNS Konfig:

    Auszug aus dem Handbuch:

    Angenommen, Sie betreiben Ihren eigenen internen DNS-Server, dann kann
    dieser Server dazu verwendet werden, als alternativer Server DNS-Anfragen
    für Domänen aufzulösen, die Sie nicht von DNS-Forwarders auflösen lassen
    wollen. Auf der Registerkarte Netzwerkdienste >> DNS >> Anfragerouten
    können Sie Routen zu eigenen DNS-Servern definieren.

    Bei mir ist folgende Konfig:

    Clients erhalten per DCHP (vom DC) ihre IP Konfig, als Gateway die Astaro IP, und als DNS die IP vom DC, auf dem DC ist eine Weiterleitung auf die Astaro IP und von dort auf die vom ISP zugewiesenen DNS Server, dann brauche ich diese Anfragerrouten nicht oder, und haltet ihr meine Konfig für sinnvoll, oder würdet ihr es anders machen?
  • 0 in reply to tom2139
    Hi Tom,

    wir haben es ähnlich wie bei dir.

    Unsere Clients verwenden feste IPs, ASG ist Gateway und die DCs sind DNS.

    In den DNS ist die Astaro als Ziel für DNS-Anfragen definiert.

    In den Einstellungen zum DNS stehen als zulässige Netze unsere DNS-Server drin und der SSL-VPN-Pool.

    Als Forwarders habe ich ein paar definiert und eingetragen.

    Unter Request Routing stehen die Pfade drin zu unseren DNS-Server zur Auflösung interner IPs.

    Als Static Entries haben wir nur einen, der ausgehenden Traffic an unseren OWA abfängt und an die interen IP zurückschickt.

    DynDNS machen wir nciht über die Astaro.

    Ich nehme an, "Anfragerouten" sind die "Forwarders". Ich hätte es als "Weiterleiten an" übersetzt. Wenn deine Astaro die Einwahl macht, dann kannst du die vom Provider verwenden (Häkchen setzen), du kannst aber auch andere verwenden.
    -- 
    MfG, Steffen
  • 0 in reply to tom2139
    Tom,

    wenn die IM und P2P einschränken willst, da aktivier doch die entsprechenden Module.

    Um den Traffic zu kontrollieren kannst auch das IPS aktivieren und dabei die Pattern verwenden, die du tatsächlich benötigst.
    -- 
    MfG, Steffen
  • 0 in reply to trialrider
    Hi,

    erstmal Danke Trialrider für deine häufigen und konstant guten Antworten!

    Könntest du mir bei der Aufstellung der Filterregeln und Nat Regeln noch behilflich sein?

    Und noch ein Problem habe ich, zur Zeit ist das noch alles über VmWare virtualisiert, wird erst nach erfolgreicher Virtualisierung in die Realität umgesetzt: So siehts momentan aus:


    Astaro hat 3 virtuelle Netzwerkadapter:
    eth0: Custom VmNet 5, Host only, Interne Schnittstelle
    eth1  VmNet 1, Bridged zum Intel Netzwerkadapter, ADSL PPPoE Schnittstelle, funktioniert     
    eth2 VmNet 8, Bridged zum Realtek Netzwerkadapter, hier sollte eigentlich der W-LAN Access Point mit der IP 192.168.2.1 dranhängen, IP der Schnittstelle ist 192.168.2.101, aber ich kann auf dem Client der an der eth0 hängt nicht auf den Access Point zugreifen, weiß jemand warum? Und wie würde ich am sichersten eine Access Point, WLAN Anbindung realisieren, in ein anderes Subnetz packen?


    Ich muss gestehen ich habe enorme Verständnissprobleme bei dem VMWare Virtual Network Adapters, seitdem ich VmNet 8 und 0 anders konfiguriert habe, sind diese nicht mehr beim Host System unter Netzwerkverbindungen zu sehen, vorher waren sie das schon, und da funktioniert das gebridgte DSL nur, wenn ich VmNet 8 eine feste IP 192.168.2.*** gegeben habe, bin mittlerweile total verwirrt