Webfilter verhinter komplettes Internet surfen

Achja noch eine Info zu meiner Konfiguration. Meine Astaro hängt hinter einer Fritz box. 

Kabelanschluss
|
Fritzbox als Router mit der IP 192.168.178.1
|
Astaro extern dynamische IP von der Fitzbox
|
Astaro intern IP 192.168.178.111
|
Netzwerk über Switch. 

Ist das so sinnvoll oder sollte ich lieber für das Netzwerk mit dem Switch ein andere Subnetz wählen?

Hallo,
für das Netzwerk am Switch solltest Du unbedingt ein eigenes Netzwerk verwenden !

Ah ok danke,

ich überlege auch meine Fritzbox zu "hacken" und den bridge Modus zu aktiveren, das die Fritzbox quasi als Modem läuft. Ist denke ich die beste Möglichkeit.

Kann dies schon der Grund seinen warum ich so Probleme mit dem Web surfen habe?

Kann es erst in 3 Wochen testen, da ich gerade auf Geschäftsreise bin, werde aber Feedback geben was sich getanen hat bei mir.

Hallo Bongartz, 
Du hast zwei Möglichkeiten für den Betrieb: 

 1. Du betreibst die UTM komplett im TransparentMode (Bridge), dann darf auf beiden Seiten das selbe Netz anliegen  

2. Du betreibst den StandardMode, das bedeutet die UTM verhält sich wie ein Router. Das ist wohl bei >90% hier Fall. 
Somit musst Du unterschiedliche Netze vor und hinter der Firewall benutzen, sonst bekommst Du Routing Probleme. 

 Du musst Deine FritzBox nicht unbedingt hacken. Du kannst die äußere IP der UTM, die zur FritzBox zeigt, dort als "Exposed Host" eintragen, dann werden alle Pakete weitergeleitet. 
Funktioniert bei mir seit Jahren ohne Probleme  .
Grüße Karsten

Edit: Rechtschreibfehler ;-)

Das mit dem Exposed Host hatte ich schon eingetragen, aber ich Depp hatte die interne und nicht die externe IP der UTM verwendet, hatte gelesen das durch das weiterleiten der Daten zwei mal genatet wird was zu Performance Einbrüchen führen kann. Daher dachte ich mir das ich es mit dem Bridge Modus in der Fritzbox versuche.

Wie muss ich die externe und interne Netzwerkkarte der UTM einstellen, damit es mit den zwei unterschiedlichen Netzwerken und dem Exposed Host sauber läuft?

Wenn ich das mit den zwei unterschiedlichen Netzwerken machen, muss ich den DynDNS von der Fritzbox nutzen oder?

Danke

Hallo bongartz20,

der Vorschlag von KKnecht mit dem Exposed Host sollte eigentlich klappen. Ich hatte damit auch noch keine Probleme. Bei anderen Leuten scheint es aber welche gegeben zu haben (Klick mich). Hast halt ein Doppel-NAT, aber mit den richtigen Forwardings sollten alle Programme klarkommen.

Alternativ könntest du unter "Internet -> Zugangsart -> Bridge-Anschlüsse" einen LAN2-4 Port als Bridge nutzen. Oder per ar7cfg .export die FritzBox als Modem laufen lassen "mode = dsldmode_bridge". Klappt aber nicht mit jedem Kabelanbieter und nicht mit jedem Tarif (voip).

Hab selbst KBW mit voip und bin auf business + LAN2-Bridge umgestiegen, da der "Hack" nicht immer zuverlässig funktioniert hat.

Edit: DynDNS könntest du auch in der UTM nutzen ("first public IP on the default route")

@bongartz120

Also dass 2 mal genattet wird ist korrekt.

Eingehende Verbindungen werden per DNAT an deine UTM weitergeleitet.

Ausgehende Verbindungen in Richtung Internet werden durch deine FritzBox maskiert,
es wird also ein SNAT auf die externe IP-Adresse deiner FritzBox durchgeführt.

Dein externes Interface kannst du so konfiguriert lassen wie es ist,
ein Gateway ( also die 192.168.178.1 ) sollte dieses Interface ja dann auch von der FritzBox zugewiesen bekommen.

Das interne Interface dagegen musst du anpassen.

Ändere am Besten einfach die IP-Adresse des internen Interfaces auf die Adresse 192.168.179.1, wichtig ist halt nur, dass du als 3. Zahl nicht die 178 einträgst,
sondern eine andere ( zwischen 0 und 254, außer halt 178 ).

Desweiteren solltest du eine Maskierungsregel erstellen,
die dein internes Netz ( 192.168.179.0/24 ) mit der externen IP-Adresse deiner UTM maskierst.

Das kannst du unter "Network Protection" -> "NAT" -> "Masquerading" machen.

Wie KKnecht bereits geschrieben hat funktioniert diese Konfiguration sehr gut,
das ist auch meine Erfahrung.

Gruß, Datax

@bongartz120

Hatte vergessen auf DynDNS einzugehen ^^.

Das DynDNS muss wie du korrekt geschrieben hast auf deiner FritzBox eingerichtet werden.

Auf deiner UTM befindet sich ja sowieso kein Interface, dem deine öffentliche IP-Adresse zugewiesen ist.

Dieses Interface befindet sich auf deiner FritzBox,
entsprechend muss DynDNS auf der FritzBox konfiguriert werden.

Gruß, Datax

Ok verstehe. Vielen Dank. 

Kann es Probleme beim VPN geben wenn ich zwei mal durch den NAT muss? Oder benötigt der NAT extra Rechenleistung oder so?

@bongartz120

Ja gut, wenn viel Traffic über deine Internetleitung geht hat deine FritzBox halt viel zu dnatten, sollte aber kein Problem sein.

Die FritzBox bringt ja extra die Möglichkeit mit einen "Exposed Host" einzutragen,
sollte also auch für Einsatzzwecke wie deinen ausreichend Performance biete.

Ich habe noch nie ( auch von keinem Geschäftskunden ) gehört,
dass er Performanceprobleme durch eine vorgeschaltete FritzBox hatte.

Das ist meine Erfahrung, lasse mich gerne belehren [:D].

Falls du SSL-VPN meinst, dann sollten damit keine Probleme auftreten.

Der Port 443 ( das ist der Standardport für SSL-VPN, den du aber auch abändern kannst ) wird an deine UTM weitergeleitet ( DNAT ), so dass du dich problemlos per SSL-VPN-Client mit deiner UTM verbinden können solltest.

Gruß, Datax