Zwei Firewalls hintereinander

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 11:43

Hallo,

aus diversen Gründen habe ich bei mir zwei Lancom Firewalls hintereinander geschaltet. Nun habe ich zweischen den beiden Firewalls ein Transfernetz.

Internet<--Firewall-1<--Firewall-2<--LAN

An Firewall 1 sehe ich nur den Traffic mit Source IP von Outside Interface von Frewall-2. Ich möchte aber die LAN IP Adressen dort ankommen sehen oder evtl. 1:1 umgesetzte IP Adressen vom LAN kommend.
Ginge es nicht, wenn ich bei Firewall-2 das NAT deaktiviere?

DANKE

backslash · Beitrag von **backslash** » 07 Feb 2013, 12:07

Hi flugfaust

Ginge es nicht, wenn ich bei Firewall-2 das NAT deaktiviere?

das ist sogar die einzige Möglichkeit... Bedenke dabei aber, daß du dann auch in der Firewall-1 eine Route zum LAN eintragen mu0t, die über Firewall-2 läuft...

Gruß
Backslash

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 13:48

Jetzt frag ich mich aber, wo ich das umstellen kann bzw. wie das Netz zwischen den Firewalls dann aussehen muss. Wenn z.B. das Netz 192.168.1.0/24 und 192.168.2.0/24 aus dem LAN kommt

backslash · Beitrag von **backslash** » 07 Feb 2013, 14:35

Hi flugfaust

"zwischen" den Firewalls hast du ja ein Transfernetz, z.B. 192.168.3.0/24... Da hat dan Firewall-1 z.B. die IP 192.168.3.1 und Firewall-2 z.B. die IP 192.168.3.2...

In Firewall 2 steht einfach die Default-Route *unmaskiert* auf die Gegenstelle "Fierwall1" und in der IP-Parameterliste steht für diese Gehegenstelle:

Code: Alles auswählen

Peer              IP-Address       IP-Netmask       Masq.-IP-Addr.   Gateway          DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup
--------------------------------------------------------------------------------------------------------------------------------------------------------
FIREWALL1         192.168.3.2      255.255.255.0    0.0.0.0          192.168.3.1      192.168.3.1      0.0.0.0          0.0.0.0          0.0.0.0

in Firewall-1 brauchst du dann noch die Routen zum LAN (192.168.1.0/24 und /192.168.2.0/24), d.h. (incluseive Defaultroute zum Internet und der übliochen Sperr-Routen):

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.1.0      255.255.255.0    0        192.168.3.1       0         No          No       
192.168.2.0      255.255.255.0    0        192.168.3.1       0         No          No       
192.168.0.0      255.255.0.0      0        0.0.0.0           0         No          Yes      block private networks: 192.168.x.y
172.16.0.0       255.240.0.0      0        0.0.0.0           0         No          Yes      block private networks: 172.16-31.x.y
10.0.0.0         255.0.0.0        0        0.0.0.0           0         No          Yes      block private network: 10.x.y.z
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          0        INTERNET          0         on          Yes

Gruß
Backslash

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 14:44

Das Transfernetz ist mit 192.168.3.0/24 eigentlich zu klein da ja noch meherere /24 Netze im LAN existieren die da raus müssen. Also müsste ich dann z.B. ein 172.16.0.0/16 z.B. nehmen, oder?

langewiesche · Beitrag von **langewiesche** » 07 Feb 2013, 14:49

oder ein 192.168.3.0/23 ...

backslash · Beitrag von **backslash** » 07 Feb 2013, 14:56

Hi flugfaust

was du als Transfernetz nimmst, steht dir völlig frei - solange du dort nur private Adressen verwendest und es keinen Konflikt mit deinen LAN-Netzen gibt

Gruß
Backslash

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 15:15

Aber die grösse ist doch wichtig wenn ich hier 1:1 NAT mache, oder?

backslash · Beitrag von **backslash** » 07 Feb 2013, 15:50

Hi flugfaust

wieso machst du 1:1-NAT (das heist eigentlich N:N-NAT)? Du wolltest doch in der Firewall-1 die Adressen aus dem LAN sehen. Da mußt du einfach nur in Firewall-2 de Default-Route ohne NAT betreiben und in der Firewall-1 die Rückrouten eintragen.

Als Transfernetz kannst du dann ein /28er Netz nehmen - das enthält 4 Adreseen: die Adressen der beiden Firewalls, sowie die zugehörende Netz- und Broadcastadresse...

Gruß
Backslash

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 22:22

Das hab ich schon so verstanden und eignelitch auch längst so versucht, jedoch sehe ich immer nur der Outside Interface von Firewall-2 auf Firewall-1

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 22:55

Jetz tklappt es. Ich habe die Gegenstelle INTERNET die ich über den Wizard al IPoE interface erstellt habe, gelöscht und manuell ein Interface erzeugt, maskierung abgeschaltet und schon funktioniert es.
DANKE

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 23:02

Jedoch haut das jetzt mit den Firewall Regeln nicht mehr so hin. Wie erstelle ich korrekt ein internet Interface manuell?

flugfaust · Beitrag von **flugfaust** » 07 Feb 2013, 23:26

Hat sich erledigt. geht jetz alles