Namensauflösung

Vermutlich fehlt
A) eine Maskierungsregel nach nach extern (Masquerading)
B) Die zugehörigen Paketfilterregeln
C) Falls die UTM DNS Forwarder spielt, das neue Netz in den allowed networks

Ich tippe auf A) - der übkiche Verdächtige ;o)

Sorry for short answers and typos. was written on mobile using astaro.org app.

HI,

danke für die schnelle Antwort. Aber wie gesagt diese Regel habe ich schon. Damit funktioniert der Ping. Also Lanport für Internet im Haus -> Wan. Im DNS Forwader hab ich ihn auch eingetragen.
Muss ich vielleicht ne richtige NAT Regel erstellen?

thx
matt

@MattAKAG

Damit DNS auf dem Client korrekt funktioniert musst du natürlich erstmal wissen wie DNS auf dem Client konfiguriert ist.

Hat der Client als DNS-Server die UTM eingetragen oder sind dort öffentliche DNS-Server ( z.B. die des Providers oder die Google-DNS-Server ) eingetragen?

Falls die UTM eingetragen ist sollte DNS funktionieren ( wenn auf der UTM keine DNS-Forwarder eingetragen sind, dann fragt die UTM die Root-Server ).

Wichtig ist halt, dass das entsprechende Netz ( Netz des Clients ) auf der UTM in den "Allowed Networks" ( DNS-Einstellungen ) eingetragen ist.

Falls auf dem Client öffentliche DNS-Server eingetragen sind musst du eine entsprechende Firewall-Regel erstellen, die für das betreffende Netz den Dienst "DNS" in Richtung Internet erlaubt.

Desweiteren brauchst du natürlich noch Firewallregeln, die WebSurfing erlauben.

Falls du den WebProxy benutzt musst du folgende Firewallregeln erstellen:

Beim WebProxy im Transparenten Modus: Regel, die HTTPS in Richtung Internet erlaubt

Beim WebProxy im Standard Modus: keine weitere Regel notwendig

Falls du den WebProxy gar nicht nutzt ( Modul ist deaktiviert ),
dann brauchst du natürlich Regeln für HTTP UND HTTPS-Verkehr.

An deiner Stelle würde ich einmal auf einem Client eine Internetseite aufrufen und mir parallel dazu das Firewall-LiveLog anschauen, dort siehst du dann genau was noch geblockt wird.

Wenn du weißt was geblockt wird brauchst du nur noch entsprechende Firewallregeln erstellen und dann sollte der Internetzugang funktionieren,

Gruß, Datax

Super @Datax.
Ich habe im DNS Forwarder den lokalen DNS mal rausgeschmissen und im Proxy die Rechenr als Ausnahmen hinzugefügt. Jetzt läuft es. FW Regel hatte ich vorher schon. Danke Dir!!!

@MattAKAG

Ich weiß jetzt nicht genau, warum bei den DNS-Forwardern auch euer lokaler DNS-Server eingetragen wurde!?

War er eingetragen, um Namen innerhalb eurer Domäne aufzulösen ( falls ihr eine Domäne einsetzt!? )?

Falls dies der Fall ist, dann solltest du den lokalen DNS-Server aus den DNS-Forwardern entfernen ( hast du ja bereits gemacht ) und stattdessen eine Anfrageroute für deine Domäne erstellen.

Das kannst du über "Netzwerkdienste" -> "DNS" -> "Anfragerouten" machen.

Ich weiß jetzt nicht, ob ich dich bezüglich des WebProxys richtig verstanden habe.

Hast du die Rechner bei den "Transparenzmodus-Ausnahmen" eingetragen?

Falls ja, beachte bitte, dass diese Rechner nicht von den Vorteilen des WebProxys profitieren,
vor allem nicht vom AV-Scan, sprich WebTraffic wird für diese Rechner nicht auf Schadsoftware gescannt.

Empfehlenswerter ( aus Sicherheitsgründen ) ist es, diese Rechner ebenfalls über den Proxy gehen zu lassen und ( beim Einsatz des Transparenten Modus ) eine zusätzliche HTTPS-Regel ( in Richtung Internet ) zu erstellen.

Rechner vom WebProxy auszunehmen sollte man nur, wenn es unbedingt sein muss ( wenn wichtige Webseiten trotz konfigurierter Ausnahmen par tout nicht korrekt aufgerufen werden können oder beispielsweise Anwendungen, die auf Webseiten zugreifen müssen wegen des Proxys dabei Probleme haben o.ä. ), denn der WebProxy kann vor allem für Clients, die keinen lokalen AV-Scanner mit WebSchutz installiert haben, sicherheitstechnisch unerlässlich sein.

Gruß, Datax