UF-xx Best Practice

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

UF-xx Best Practice

Beitrag von UKernchen »

Hallo,
wie nutzt ihr die UF-Firewalls optimal?

* Grundinstallation, WAN, LANs, DNS, NTP usw. ist klar
* Firewallregeln, Verbindung zwischen Desktop-Objekten geht klar und logisch

* HTTP-Proxy aktivieren -> hier geht der Ärger los
- Zertifikate ausrollen, kein Problem
- Proxy transparent aktivieren, HTTP/S-Proxy in allen Verbindungen aktivieren
Nur mit aktivem Proxy greifen Antivirus und URL-/Contentfilter, er ist also ein MUSS. Oder?
Mit Proxy geht kein Google/Maps/Earth, kein Elster, Sfirrm, Lancom Firmwareupdate, Windows- /Office-Aktivierung, Grundbuch-Portal, Behördenpostfach, Wettbewerbsregister, Signal Desktopclient, Geoportal......
Diese Domains nehme ich in die Whitelist des HTTP-Proxy, richtig? Syntax: ".signal.org" für Domäne incl. Unterdomäne?
Das funktioniert bei mir nur sporadisch.
Mal haben die Damains gar kein Zertifikat mehr, mal das Original-Zertifikat, manchmal geht es und mal nicht.
Die Google-Domains funktionieren auf einmal besser, wenn ich sie nicht vom Proxy ausnehme, d.h. mit Lancom Zertifikat.
Alle DNS-Abfragen gehen über die Firewall.

* URL-/Contentfilter hilft mir hier nicht weiter, richtig?
Mit Proxy ja/nein/vielleicht hat das nichts zu tun?

* Reverse Proxy genau so?

Hat von euch jemand den HTTP-Proxy im Griff, wenn ja wie, oder macht ihr ihn aus?
Der E-Mail Proxy funktioniert ohne Probleme.

Ich bin dankbar für jeden Erfahrungsaustausch.
VG Uwe
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

Hallo Uwe,

lass uns mal eine Best Practises Anleitung und ggf. Script Sammlung für die UF erstellen.
So das man sicher und reproduzierbar eine UF einrichten kann.

Dazu fallen wir zwei Dinge ein:

1. Was sollge man einstellen für welchen Zweck?
2. Wie lässt sich das reproduzierbar auf eine neue UF übertragen?

zu 1. was stelle ich ein?

a) HTTPS Proxy ist ein muss, um den HTTPS Web Content scannen zu können und dennoch möglicherweise ein No-Go wegen Aufbrechen persönlicher schützenswerter Kommunikation.
Also das ist ein technisches (Root CA ausrollen) und ein rechtliches und organisatorisches Problem.

b) Bei sporadisch funktionierendem Confentfilter würde ich mal auf DNS Delays tippen. Du nimmst schon die aktuelle UF Firmware mit dem auf Bitdefender basierenden Contentfilter oder?
Der alte Cyren basierende Contentfilter ist unbenutzbar, da Cyren insolvent ist.

Und ich kenne Bitdefender als AS / AV Service aus anderen Produkten. Da ist DNS Speed kritisch.
Schon wenn der Bitdefender Service einen internen DNS Server nutzt, der dann zum Provider weiterleitet, kann das zu diesen sporadischen Ausfällen führen.
Also die UF sollte als primären DNS Server einen sehr schellen profiver DNS Server nehmen oder z.b. dem Schweizer Quad9 (9.9.9.9) https://www.quad9.net/

Reverse Proxy nehme ich auch. Beim konfigurieren von Hosts die nicht im LAN der UF stehen, habe ich aber noch Probleme,
da fehlen wir wohl noch passende Firewall Regeln und die Logs helfen mir grad nicht weiter.

zu 2. letzendlich steht alles auf der UF im Verzeichnis opt\gateprotect\etc

Die Firewall Rules zum Beispiel in der gprules.ini und der x-rulesd.json
Hier benötigen wir eine genaue Doku oder zumindest eine CLI Doku, um Regeln und Objekte per Script anlegen zu können.

Kennt da jemand eine Doku? Vielleicht steht das in alten Gateprotect Dokumenten?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von UKernchen »

Hallo Thomas,
bei der Anleitung bin ich gerne dabei!

Einen besseren DNS werde ich gleich testen.
Bis jetzt hatte ich den Telekom VDSL DNS.
Ich versuche mal den Company Connect DNS in Leipzig und den 9.9.9.9.
Es wäre schön wenn das was bringt.

Die FW 10.11RU1 habe ich schon.

Schöne Pfingsten
Uwe
Zerwas
Beiträge: 13
Registriert: 15 Nov 2017, 08:41

Re: UF-xx Best Practice

Beitrag von Zerwas »

Guten Morgen,

die Fragen in diesem Beitrag stelle ich mir gerade auch. Seit https ist der transparente Proxy m.E. leider nicht mehr nutzbar, da bei https zu viele Seiten, Anwendungen (Outlook) und möglicherweise ich selbst, ein Problem mit dem Aufbrechen der Verschlüsselung haben. Vielleicht ist der intransparente Proxy (nur für den Browser auf einem Port <> 443 eine Lösung?).
Ich hatte auf den DNS-Filter gehofft, welcher mir auch das Blockieren der Seiten meldet, aber am Client dann trotzdem öffnet. Die Clients nutzen den internen DNS-Server des Windows DCs, welcher die Firewall anfragt.

Der Application-Filter auf der Verbindung von den Clients in das Internet hingegen scheint zuverlässig zu funktionieren. Der Content-Filter (DNS) auf der Verbindung zwischen DC und Internet hingegen nicht.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: UF-xx Best Practice

Beitrag von C/5 »

Hallo,

an einer Best-Practice-Anleitung wäre ich auch überaus interessiert.

Die UF ist aktuell bei mir nicht im Einsatz (eine UF200). Im Zuge der Cyren-Thematik hatte ich sie offline genommen, aber auch, weil sonst noch einige Probleme in der Konstellation auftraten, die ich für mein Szenario gewählt hatte.

Inzwischen ist die aktuelle Firmware drauf, Werkseinstellung hergestellt, aber noch nicht wieder für den Einsatz konfiguriert. Auch wird das Szenario jetzt anders aufgesetzt.

Was hat überhaupt nicht funktioniert?
Für mich war die attraktivste Variante als Bridge gegeben (exotisch, ich weiß). Damit und ich schätze grundsätzlich gibt es ein erhebliches Ressourcen-Problem in Punkto Mail-Proxy. Jeder Mail-Client, u. U. auch jeder Mail-Client mit mehreren Threads gleichzeitig, stößt Prozesse (pro Thread) auf der UF an, die nicht unerheblich Ressourcen belegen. Das führte dann dazu, das ich selbst mit nur einem PC massiv Timeouts beim Mailabruf bekommen habe, weil die UF das nicht adäquat abarbeiten kann. Es crashten dann auch Prozesse auf der UF, sprich, es fing sich nicht mehr ein paar Augenblicke später, nein, wenn's ganz ungünstig lief, musste die UF neugestartet werden. Mehrere eingerichtete Mailkonten genügen schon, um das zu reproduzieren, wobei da dann schon auch Abrufvolumen anstehen muss. Ich frage mich, wie das in einem kleineren Unternehmen ohne Mailgateway gehen soll, wenn eine gewisse Anzahl PCs mit dem IMAP-Abruf loslegt.

Mit dem Transparenten Proxy habe ich hingegen weniger Probleme gehabt, die sich nicht durch die schon genannten Ausnahmen beheben ließen. Einige Websites detektieren den man-in-the-middle und blocken dann. Einige der aufgezählten Seiten kann ich bestätigen. Wie gesagt, nach dem Wechsel zu Bitdefender ist die UF noch nicht wieder soweit eingerichtet, so dass ich zu 'eingeschleift' oder 'Transfernetz' noch nicht sagen kann, ob sich grundsätzlich etwas in die eine oder andere Richtung verändert hat.

CU
C/5

P.S.: Die Empfindlichkeit in Punkto DNS kann ich ebenfalls bestätigen samt intermittierendem Verhalten 'geht', 'geht nicht', 'geht vielleicht (langsamer)', 'geht erst im zweiten Anlauf', 'geht auch im x-ten Anlauf nicht trotz /flushdns und Browser-Cache löschen'. Nochmals: kann auch an der Bridge-Konfiguration gelegen haben.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

C/5 hat geschrieben: 05 Jun 2023, 11:42 P.S.: Die Empfindlichkeit in Punkto DNS kann ich ebenfalls bestätigen samt intermittierendem Verhalten 'geht', 'geht nicht', 'geht vielleicht (langsamer)', 'geht erst im zweiten Anlauf', 'geht auch im x-ten Anlauf nicht trotz /flushdns und Browser-Cache löschen'. Nochmals: kann auch an der Bridge-Konfiguration gelegen haben.
Hast Du bei Deiner UF Implementation dann noch einen Lancom Router als DNS Server / Forwarder genutzt?
Wenn ja, wie hat der seine DNS Server bekommen? DHCP vom Provider oder fest eingetragen?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: UF-xx Best Practice

Beitrag von C/5 »

Hallo ts,
tstimper hat geschrieben: 05 Jun 2023, 12:50 Hast Du bei Deiner UF Implementation dann noch einen Lancom Router als DNS Server / Forwarder genutzt?
Wenn ja, wie hat der seine DNS Server bekommen? DHCP vom Provider oder fest eingetragen?
Ja, als Gateway und Router war und ist ein Lancom in dem Netzwerksegment. Die Bridge arbeitet von der Idee her transparent und hatte den Lancom als GW aber nicht als DNS gesetzt. DNS war weder durch die Bridge noch durch den Lancom hindurch erlaubt, einzig die UF war für die Clients als DNS zulässig und nur die UF durfte ihre DNS-Anfragen über den Lancom forwarden*. Die UF hat dann aber letztlich auch über den DNS des Providers aufgelöst, wie oben von UKernchen skizziert. Kann sein, dass zwischenzeitlich mal mit 8.8.8.8 und auch mit 9.9.9.9 getestet wurde (ist im Detail zu lange her), aber schlussendlich die ganz überwiegende Zeit des Einsatzes waren es DNS aus dem Backbone von EWE.

CU
C/5

*Anfänglich schon, erst später ist mir klargeworden, dass es vielleicht Anwendungen gibt, die einen DNS 'festverdrahtet' haben und die somit an der UF vorbeigekonnt hätten. Daraufhin habe ich dann den Port 53 dichtgemacht. Gibt aber ja auch noch so Sachen wie QUIC oder DNS over HTTPS/TLS. Alles 'schöne' Themen für eine UF und einen Best-Practice-Guide.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

C/5 hat geschrieben: 05 Jun 2023, 15:19 Hallo ts,
tstimper hat geschrieben: 05 Jun 2023, 12:50 Hast Du bei Deiner UF Implementation dann noch einen Lancom Router als DNS Server / Forwarder genutzt?
Wenn ja, wie hat der seine DNS Server bekommen? DHCP vom Provider oder fest eingetragen?
Ja, als Gateway und Router war und ist ein Lancom in dem Netzwerksegment. Die Bridge arbeitet von der Idee her transparent und hatte den Lancom als GW aber nicht als DNS gesetzt. DNS war weder durch die Bridge noch durch den Lancom hindurch erlaubt, einzig die UF war für die Clients als DNS zulässig und nur die UF durfte ihre DNS-Anfragen über den Lancom forwarden*. Die UF hat dann aber letztlich auch über den DNS des Providers aufgelöst, wie oben von UKernchen skizziert. Kann sein, dass zwischenzeitlich mal mit 8.8.8.8 und auch mit 9.9.9.9 getestet wurde (ist im Detail zu lange her), aber schlussendlich die ganz überwiegende Zeit des Einsatzes waren es DNS aus dem Backbone von EWE.

CU
C/5

*Anfänglich schon, erst später ist mir klargeworden, dass es vielleicht Anwendungen gibt, die einen DNS 'festverdrahtet' haben und die somit an der UF vorbeigekonnt hätten. Daraufhin habe ich dann den Port 53 dichtgemacht. Gibt aber ja auch noch so Sachen wie QUIC oder DNS over HTTPS/TLS. Alles 'schöne' Themen für eine UF und einen Best-Practice-Guide.
wir machen heute 16:00 Uhr ein Community Meetig,willst Du dabei sein?
lancom-lcms-lantools-lanconfig-lanmonit ... ml#p113897

Wenn ja bitte PN:

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von UKernchen »

Hallo C/5,
was ist denn ein Bridge-Mode bei der Firewall?

Ich kenne neben der normalen Kaskadierung nur das Einschleifen als "Layer-3 Schleife".
https://support.lancom-systems.com/know ... d=32982461
Meinst du das?

Das hatte ich auch mal produktiv laufen, auch mit einer UF-200.
Es war grottenlahm.
Ich kann leider nicht sicher sagen, ob es an der UF-200 oder am Einschleifen lag.

Das Mailproxy funktioniert bei mir (mit UF-360) ohne Auffälligkeiten.

Ich werde DNS nochmal prüfen/optimieren.
Gut zu hören, dass der transparente HTTP-Proxy bei dir gut lief.
Die Firewall muß direktes DNS komplett sperren und ihre DNS-Infos direkt holen, nicht beispielsweise vom vorgeschalteten Router.

Die nächste Firmware FX 10.12 hat u.a. ein Hardwaremonitoring, man kann damit hoffentlich ein paar qualifizierte Aussagen über die Auslastung der UF treffen.

Gruß Uwe
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: UF-xx Best Practice

Beitrag von C/5 »

Hallo Uwe,

nein, nicht die Layer-3-Schleife ist gemeint, sondern das hier:

https://www.lancom-systems.de/download/ ... art_DE.pdf

Ab Seite 15.

Bzw hier der Knowledgebase-Artikel: https://support.lancom-systems.com/know ... d=56165091

CU
C/5
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

C/5 hat geschrieben: 06 Jun 2023, 06:06
Bzw hier der Knowledgebase-Artikel: https://support.lancom-systems.com/know ... d=56165091

CU
C/5
Was mir da gleich auffällt ist die MTU von 1500 beim Bridge Interface.
Hier wird also eine Ethernet MTU von 1500 für
Pakete eingestellt, die letztendlich ins WAN müssen.
Also wo die MTU mit Sicherheit kleiner sein muss.

Also über die Bridge gehen LAN und WAN Pakete,
beide bekommen die MTU 1500.

Wir haben schon oft gesehen, das die Path MTU Aushandlung an Gateways fehlschlägt.

Ich würde im Fehlerfall mal die MTU auf 1250 und wenn alte LCOS UND VPN im Spiel ist testweise auf 1200
runtergehen und testen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: UF-xx Best Practice

Beitrag von C/5 »

Hallo ts,

die MTU mag eine potentielle Problemquelle sein, aber in meiner Bridge-Konstellation meiner Einschätzung nach eher nicht. Denn jede LAN-Schnittstelle in Windows-PC-Netzen hat eine MTU von 1500 und im Bridge-Mode ist die UF explizit ein Teil des LAN ohne eine WAN-Seite. In so einer Konstellation gehen die Pakete transparent durch die Bridge und dann erst zu einem Router / Gateway, dass dann seinerseits erst eine WAN-Seite und andere MTU-Werte hat.

Code: Alles auswählen

C:\Users\xxx>netsh interface ipv4 show interfaces

Idx     Met         MTU          State                Name
---  ----------  ----------  ------------  ---------------------------
  1          75  4294967295  connected     Loopback Pseudo-Interface 1
 15          25        1500  connected     Ethernet
Ich habe leider nur eine UF, so dass ich mich entscheiden muss, wie ich sie einsetze. Wenn einer von euch den Luxus mehrerer UF hat, kann derjenige vielleicht mal so eine transparente Bridge aufsetzen und auch damit Erfahrung sammeln. Interessant und lehrreich ist es allemal. Nachdem LANCOM mir allerdings mitgeteilt hat, dass eine Bridge-Konfiguration nur für ganz bestimmte Sonderfälle vorgesehen sei, ohne diese zu bennnen oder zumindest anzudeuten, frage ich mich bis heute, wofür, wenn nicht für den Uplink-Pfad eines Netzwerksegmentes. Deshalb werde ich für mich eine andere Konfiguration einsetzen. Ist echt schade, weil die Layer-3-Schleife ist .. schräg (da sträubt es sich innerlich schon beim Anschauen der Grafiken) und kaskadierte Router sind auch eher nicht optimal.
Wenn man mit anderen Admins spricht, die ähnlich positionierte Produkte von Mitbewerbern administrieren und auf das Thema Bridge kommt, gibt's regelmäßig Kommentare wie 'uh, schwierig, machen wir nicht', 'haben wir probiert, auch in Zusammenarbeit mit dem Hersteller, es dann aber anders lösen müssen', 'unser Spezialist hat bei dem Thema abgewunken'. Andererseits, der Knowledgebase-Artikel ist immer noch da und einen offiziellen Disclaimer kann ich nach wie vor nicht entdecken.

Funfact: Besagter Knowledgebase-Artikel soll bisher nur 84 mal aufgerufen worden sein. Ziehe ich meine eigenen Aufrufe gedanklich davon ab und vielleicht noch ein paar wegen dieses Thread etc. dann kann man wirklich nicht von frequentiert sprechen :)

CU
C/5
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von UKernchen »

Hallo,

ich habe beide Links gestern auch schon ergoogelt und zähle demnach bei den 84 auch schon mit. :?
Es ist mir schleierhaft wie die Firewall funktionieren soll, ohne Router und DNS-Gateway zu sein.
Dass diese Betriebsweise bremst kann ich mir kaum vorstellen, schließlich macht die Firewall (nach meiner Vorstellung) fast nichts.
Sie arbeitet eher wie ein Switch, würde ich mal ketzerisch sagen?
Ich habe das auf meiner Seite der Vollständigkeit halber mit aufgenommen, aber mir ist das sehr suspekt.
https://uwe-kernchen.de/phpmyfaq/index. ... on_id=1294

Layer-3 Schleife ist eine technische Krücke und bremst verständlicherweise, ganz klar.

Kaskadierte Router ist sicher nicht optimal, bei mir ist das so gewachsen.
Wenn der Router mal kaputt geht kommt ein Draytek Modem hin.

Grüße Uwe
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von tstimper »

UKernchen hat geschrieben: 06 Jun 2023, 19:17 Es ist mir schleierhaft wie die Firewall funktionieren soll, ohne Router und DNS-Gateway zu sein.
So wie beschrieben kann die UF Mail und Web Proxy sein. Das kann Sinn machen.
Die Clients dürfen nicht ins Internet sondern nur die UF kontaktieren. Die scannt dann den Traffic.
Haben wir mit andereren Herstellern aich sich mal so gemacht...
UKernchen hat geschrieben: 06 Jun 2023, 19:17 Dass diese Betriebsweise bremst kann ich mir kaum vorstellen, schließlich macht die Firewall (nach meiner Vorstellung) fast nichts.
Sie arbeitet eher wie ein Switch, würde ich mal ketzerisch sagen?
Die UF wird hier durch Email und HTTPS Scann belastet. Das kann schon erhebliche Last ein...
HTTPS , IMAPS, POP3S entschlüsseln, scnannen und neu verschlüsseln...

Du kannst mal auf die CLI gehen mit dem gpadmij user unt top starten. Da sieht Du die Prozesse, die Last erzeugen
Bei meiner UF-300 mit ihren 5 GB RAm und lahmer HDD ist ohne Last schon der ganze 978 MB Disk Swap Bereich belegt.
Und der Suricata Dienst läuft mit 11 % Dauer CPU Last einfach nur wenn die UF am Internet hängt.

Neuere UF's sollten wesentlich schneller sein...
UKernchen hat geschrieben: 06 Jun 2023, 19:17 Kaskadierte Router ist sicher nicht optimal, bei mir ist das so gewachsen.
Ich denke das die Path MTU Aushandlung nicht funktioniert in diesem Scenario
C/5 hat geschrieben: 06 Jun 2023, 08:46 die MTU mag eine potentielle Problemquelle sein, aber in meiner Bridge-Konstellation meiner Einschätzung nach eher nicht. Denn jede LAN-Schnittstelle in Windows-PC-Netzen hat eine MTU von 1500 und im Bridge-Mode ist die UF explizit ein Teil des LAN ohne eine WAN-Seite. In so einer Konstellation gehen die Pakete transparent durch die Bridge und dann erst zu einem Router / Gateway, dass dann seinerseits erst eine WAN-Seite und andere MTU-Werte hat.

Code: Alles auswählen

C:\Users\xxx>netsh interface ipv4 show interfaces

Idx     Met         MTU          State                Name
---  ----------  ----------  ------------  ---------------------------
  1          75  4294967295  connected     Loopback Pseudo-Interface 1
 15          25        1500  connected     Ethernet
Schau mal die MTU beim Loopback Pseudo-Interface 1 an. Da haben die vergessen, einen richtigen gültigen Wert reinzuschreiben.

Und dann knallt es vermutlich am LCOS WAN Router. Wir haben ja gelernt das der (zumindest bei VPN Verbindungen und älterer Firmware)
keine Path MTU Aushandlung konnte. Siehe https://ftp.lancom.de/Documentation/Rel ... RC3_DE.pdf
5. Historie LCOS 10.50
LCOS-Änderungen 10.50.0129 RC3
Neue Features
Allgemein
- Unterstützung von automatischer Path MTU Detection bei IPSec
Keine Ahnung, ob das im beschreibenen Szenario ein Problem darstellt, es ist mir aber suspect und ich würde testweise die MTU mal auf 1250 oder kleiner stellen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-xx Best Practice

Beitrag von UKernchen »

Hallo Thomas,

schau dir das Szenario mal genau an.
...Firewall auf Layer-2 zwischen geschaltet ... das bisherige Gateway bleibt Gateway.

Die Clients dürfen also sehr wohl ins Internet, mit ihrem normalen Gateway.
Die Firewall ist praktisch als Switch im Datenfluss.

Die MTU ist hier wirklich nicht zielführend, denke ich.

Gruß Uwe
Antworten