Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 11677 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Erreichbarkeit eines Routers am WAN-Port vor der UTM

pro_mrjetter
Hallo zusammen,

ich habe folgendes Problem, ich möchte gerne auf das WebInterface des Routers zugreifen, welcher vor der UTM am WAN-Interface steht. Der Router hat die IP-Adresse 192.168.1.1. Ich habe den Router als "additional address" zum WAN-Port hinzugefügt. Der Router ist von der UTM aus auch per PING zu erreichen. Eine Firewallregel erlaubt Verkehr vom lokalen Netz (192.168.76.1/24) für alle Dienste auf den Router (192.168.1.1/32). Diese Regel greift auch, das kann man im Live Log der Firewall sehen. Nur im Browser aus dem lokalen Netz öffnet sich das WebInterface nicht. Der Router ist ein Zyxel VMG1312-B30A.

Hat jemand eine Idee was ich vergessen oder falsch gemacht habe?

Danke für eure Bemühungen.

- pro_mrjetter -


This thread was automatically locked due to age.
  • 0
    Hallo,

    vermutlich ist auf dem Router keine oder eine Default-Route Richtung Internet eingetragen. Die UTM kann den Router anpingen, weil das Subnetz ja am Router direkt gebunden ist und er somit weiß, wohin er die Antwort zurück schicken soll.

    Wenn aber aus dem lokalen LAN gepingt wird oder das Webinterface des Routers aufgerufen werden soll, schickt der Router die Rückantworten über seine Default-Route Richtung Internet.

    Zwei Lösungsmöglichkeiten gibt es für dieses Problem:

    1. der saubere Weg: Auf dem Router wird eine Route für das lokale Netz über die UTM eingetragen.

    2. der Workaround: Alle Pakete aus dem lokalen LAN werden per NAT von der UTM auf ihre Interface-Adresse im Router-Netz umgesetzt.

    MfG
    Manuel
  • 0 in reply to m.fischer
    Hallo Manuel,

    vielen Dank für deine schnelle Antwort, Möglichkeit 1 kommt im Moment für mich nicht in Frage, weil ich per Remote Desktop in dem lokalen Netz arbeite und keine direkte Zugriffsmöglichkeit auf den Router habe.

    Also bleibt nur Möglichkeit 2 - der Workaround, mit dem man ja im nachhinein Möglichkeit 1 realisieren könnte. Kannst Du mir die Einstellungen für das NAT auf der UTM etwas näher erläutern, ich stehe da glaube ich etwas auf dem Schlauch.

    Danke.

    - pro_mrjetter -
  • 0 in reply to pro_mrjetter
    Das einfachste ist eine NAT-Hiding-Regel, zu finden unter

    Network Protection -> NAT -> Masquerading:

    Network: das lokale LAN, aus dem die Webzugriffe erfolgen sollen
    Position: Top
    Interface: Das Interface zum Router
    Use address: nicht Primary, sondern die virt. Adresse aus dem zusätzlich gebundenem Netz für die Verbindung zum Router

    MfG
    Manuel
  • 0
    Der Router hat die IP-Adresse 192.168.1.1. Ich habe den Router als "additional address" zum WAN-Port hinzugefügt.

    Hast du dich hier verschrieben oder hast du der UTM als Additional Address wirklich die gleiche IP gegeben, die der Router hat?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    @m.fischer:
    Vielen Dank für die kleine Anleitung, ich habe das Masquerading so eingestellt, jetzt kann ich zwar den Router per Ping aus dem Netz erreichen, aber alle anderen Clients aus dem Netz kommen nicht mehr ins Internet, weil die nachfolgende Maskierungsregel nicht mehr greift. Per Browser kann ich leider immer noch nicht auf den Router. Was kann da noch nicht in Ordnung sein?

    @scorpionking:
    Ich habe der UTM als additional address tatsächlich die gleiche IP-Adresse zugewiesen, aber mit einer 24er Netzmaske, das müsste doch eigentlich funktionieren, oder?

    - pro_mrjetter -
  • 0
    Jetzt sehe ich gerade, was scorpionking meint. Aus Deinem Ursprungsposting: "Der Router hat die IP-Adresse 192.168.1.1. Ich habe den Router als "additional address" zum WAN-Port hinzugefügt."

    Was soll das, wozu machst Du das? Als Additional Address werden zusätzliche Interface-Adressen der UTM hinzugefügt, darüber kannst Du keine externen IPs, die anderen Geräten gehören, hinzufügen.

    Du hast von Anfang an die eigene UTM angepingt, da diese ja durch Deine Additional-IP-Konfig selber die IP 192.168.1.1 bekommen hat. Oder hast Du das anders gemeint?

    Lös das erstmal auf und wirf selber mal einen Blick in das Paketfilter-Log, wenn der Zugriff auf die Weboberfläche immer noch nicht geht.

    MfG
    Manuel
  • 0
    Dann wollen wir das Ganze mal aufdröseln:

    Wie ist denn dein WAN Interface generell konfiguriert?
    Ethernet statisch in einem anderen IP-Netz als der Router?

    Auf keinen Fall dürfen zwei Geräte in einem Netz die gleiche IP-Adresse haben, sonst gibt's nen Adresskonflikt.
    Gib der UTM auf dem WAN-Port als zusätzliche Adresse z.B. die 192.168.1.2/24.
    dann konfigurierst du kein Masquerading, sondern im Reiter NAT ein SNAT.

    For Traffic from: Internal Network
    Using Service: Any (oder was auch immer du brauchst)
    Going To: Router (192.168.1.1)
    Change the source to: Additional Address UTM WAN (also in unserem Bsp. 192.168.1.2)
    And the service to: leer lassen

    Damit sollte es funktionieren.
    Die sauberere Methode ist aber trotzdem eine Rückroute auf dem Router (die du ja dann dank SNAT setzen kannst und daraufhin das SNAT wieder ausschalten [;)])

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to m.fischer
    Oh Mann, ja wie peinlich, ich habe mich tatsächlich die ganze Zeit selbst angepingt, super...[:$]

    So nun nochmal im Einzelnen:

    - Der Router steht vor dem WAN-Interface (Router-IP Adresse 192.168.1.1)
    - Das WAN-Interface selbst hat die externe IP-Adresse 217.x.x.x des ISP und ist als PPPoE konfiguriert
    - Die UTM hat die IP-Adresse 192.168.76.200 am LAN-Interface
    - Das gesamte Netz am LAN-Interface ist 192.168.76.0/24
    - eine Firewall-Regel erlaubt den Traffic vom LAN zur IP-Adresse der Routers (wird auch entsprechend grün im Live-Log angezeigt)

    @scorpionking
    Was soll ich sagen, das mit dem SNAT funktioniert! Ich bin total begeistert. Das rettet mir den Tag. Vielen Dank! 

    - pro_mrjetter -
  • 0
    Hallo zusammen,

    ich habe das umgekehrte Problem! Sprich, ich kann nach der Standardinstallation auf das Webinterface meiner Fritzbox noch zugreifen, als wäre keine UTM dazwischen!

    Habe folgende Config:

    Client (192.168.1.0/24) -- UTM LAN (192.168.1.2) - UTM WAN (192.168.0.209) - FritzBox (192.168.0.2).

    Habe die Standardinstallation und noch nichts geschraubt, eingestellt, umkonfiguriert. Außer Lizenz einspielen (Home / Privat) und die Clients und Server in meinem Netz unter Definitionen und Benutzer ist noch nichts passiert...ok, Ländersperren aktiviert, aber ansonsten Standard vom ISO;-).

    Gibt es dafür ne Erklärung? jetzt bin ich mir natürlich mal so gaaar nicht mehr sicher, ob zwischen meinen Clients und der FritzBox nicht doch noch was an der UTM vorbei rennt! Was ja eigentlich nicht kann, da ich ne eigene Appliance zwischen LAN und Fritzbox habe mit 2 physikalischen Netzwerkkarten, eine ins LAN, eine zur Fritzbox...:kopfschüttel:...

    Danke und Gruß
    Hexenhammer
  • 0
    Natürlich gibt's dafür eine Erklärung. Die FritzBox wird über eine HTTP-Seite konfiguriert. Für die UTM ist die IP 192.168.0.x extern, d.h. es greift entweder eine Firewall-Regel oder der WebFilter. Da du HTTP vermutlich nicht geblockt hast (du willst ja sicher auch im restlichen Internet surfen können!?), kannst du die Webseite der FritzBox wie jede andere Webseite auch aufrufen... [;)]

    edit: Wie unhöflich von mir: Willkommen im Sophos User BB!

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner