xDSL.at

[herrhund]

Hallo!
Ich hab eine kleine Frage zum oben genannten Gerät:
Zur Verfügung stehen mir extern WAN1 und WAN2 und intern LAN/WLAN/DMZ.

Ich hätte gerne folgende Konfiguration:
Alle Geräte im LAN sollen sich über WAN1 zum Internet verbinden, die DMZ soll über WAN2 online gehen. Beim WLAN wäre es egal, also auch WAN1, (evtl. mit Load Balancing?).

Ist diese Konfiguration mit der Zywall möglich? Bis dato hab ich nur Load Balancing zwischen WAN1 und WAN2 geschafft, aber keine explizite Zuweisung zu den einzelnen internen Ports...

[zid]

hallo herrhund,

ich hab mich zwar noch nie mit einer zywall 70 rumgespielt, aber man kann afaik auf dem ding routing policies setzen.
du könntest also sinngemäß vielleicht folgendes versuchen:
- src-intf=lan dst-addr 0.0.0.0/0 route via wan1
- src-intf=dmz dst-addr 0.0.0.0/0 route via wan2

lg
zid

[herrhund]

Hallo!
Den Menüpunkt hab ich gefunden, werde es morgen gleich versuchen.
Was würde es alternativ nützen, wenn ich das Portforwarding von WAN2 auf die DMZ setze? Dann müsste er doch zumindest einkommende Verbindungen darüber aufbauen, oder?

So sieht der Menüpunkt aus... was soll ich da genau einstellen?

[herrhund]

Würde es so funktionieren für DMZ over WAN2?

[Viennaboy]

Ich habe selber jahrelang eine Zywall 35 gehabt bis irgend was eingegangen ist.
Wenn du magst kann ich ja mal in die GUI schauen.

[herrhund]

Danke für das Angebot! Ich werd es, wenn ich vor Ort bin mal so versuchen... (Nicht, dass auf einmal der Remotezugang weg ist... ) Falls das nicht geht, melde ich mich noch mal

[zid]

>"...Was würde es alternativ nützen, wenn ich das Portforwarding von WAN2 auf die DMZ setze? Dann müsste er doch zumindest einkommende Verbindungen darüber aufbauen, oder?..."
wenn du keine geroteten netze hast, dann mußt du sowieso die benötigten ports am wan2 zum server weiterleiten. das hat nix mim routing zu tun. der punkt ist, daß bei mehreren internetzugängen die bedingung
in-wan-intf = out-wan-intf
nicht trivial erfüllt ist.
du verbindest dich via wan2 zum server. es kommt also ein syn via wan2 rein, der server schickt sein syn-ack retour, und du mußt jetzt am router sicherstellen, daß dieses syn-ack nicht über wan1 rausgeht.
noch kitzliger wird die gschicht, wenn du beide wan-intfs für den serverzugriff verwenden wolltest. in dem fall kannst du natürlich keine routing policies auf basis src-intf oder src-ip setzen. der router muß dann in der lage sein, verbindungen verbindungstreu zu markieren, sodaß man diese markierungen dann für die routing policies verwenden kann.

>"...Würde es so funktionieren für DMZ over WAN2?..."
ja. falls keine gerouteten netze vorliegen, nicht aufs portforwarding vergessen. und wenn du routest, dann die forward chain der firewall für die serverdienste (inbound) öffnen.

lg
zid

[lordpeng]

>Ich habe selber jahrelang eine Zywall 35 gehabt bis irgend was eingegangen ist.
>Wenn du magst kann ich ja mal in die GUI schauen.

hast denn das in viewtopic.php?f=46&t=54425&p=449350&hilit=sonicwall#p449335 erwähnte sicherheitsproblem deiner zyxel box schon behoben?

[Viennaboy]

Ich verwende die USG und da kann man den Remote Zugang nicht deaktivieren.

[lordpeng]

>Ich verwende die USG und da kann man den Remote Zugang nicht deaktivieren.
hmmm - ich hab mit den zyxel boxen ja ned allzuviel zu tun, aber IMHO sollte es auf jeden fall möglich sein, den remote zugang von der WAN seite aus zu blockieren oder gezielt auf source ip's zu beschränken - alles andere würde mich doch stark wundern ...

... ich könnt jetzt ins lager um eine zywall gehen, um das oben geschriebene zu verifizieren, aber ich spar mir den weg ...

[al]

Ich verwende die USG und da kann man den Remote Zugang nicht deaktivieren.

Falsch.

/al

[zid]

>"...aber ich spar mir den weg ..."
du tust gut daran. der bub druckt da scho wieder a gschichterl...

>"...Falsch..."
völlig richtig.

bube,

welche usg hast du genau? schon mal z.b. irgendwas in der preisklasse versucht:

Code: Alles auswählen

(config)# ip http server table admin rule insert 1 access-group ALL zone LAN1 action accept
(config)# ip http server table admin rule insert 2 access-group ALL zone ALL action deny

die korrekten intf names kriegst du im privileged mode mit "show interface all".
das cli der zld hat eine große ähnlichkeit mim cisco ios. stell dir der einfachheit halber vor, daß du einen cisc konfigurierst.

lg
zid

[lordpeng]

>das cli der zld hat eine große ähnlichkeit mim cisco ios. stell dir der
>einfachheit halber vor, daß du einen cisc konfigurierst.
und du meinst, das hilft ihm? *ggg*

[herrhund]

Hallo!
Eine Frage hätte ich jetzt noch:
Könnte ich hier theoretisch eine dritte WAN-Verbindung auch noch ins Spiel bringen? Nehmen wir an, in der DMZ hängt auch ein 08/15 Router mit dem LAN Port. Wenn ich jetzt diesen als "User Defined Gateway" für bestimmte IPs angebe, Routet die Zywall dann alles über diesen ins Internet oder hab ich das falsch verstanden?

[zid]

hallo herrhund,

>"...Wenn ich jetzt diesen als "User Defined Gateway" für bestimmte IPs angebe, Routet die Zywall dann alles über diesen ins Internet oder hab ich das falsch verstanden?..."
das wär dann ein routing 3-eck, und routing 3-ecke sind ganz schlechter stil.
wenn ein router ein routing 3-eck "sieht", dann gilt folgende regelung:

1. das erste paket muß übers 3-eck geroutet werden.
2. der router muß dem verkonfigurierten knoten ein icmp redirect mit der richtigen route schicken.
3. wenn der verkonfigurierte knoten dieses icmp redirect ignoriert (ein redirect is ja nicht ganz harmlos), dann soll der router auch die folgepakete übers 3-eck routen.

und dieses "soll" in #3 ist das problem. manche router routen übers 3-eck, andre wieder nicht, bei manchen kann man das verhalten über die konfig steuern- wenn du z.b. bei den sts/tgs tcp-checks=exact setzt, dann wird nicht übers 3-eck geroutet, setzt du hingegen tcp-checks=none, dann wird das 3-eck akzeptiert- usw.
und dann gibts mit 3-ecken in lans bei schnellen rechnern und routern noch dieses "nette" kinetische prob, wenn das syn-ack schneller da ist als das icmp redirect.
unterm strich kann also ein ziemlicher sauhaufen entstehen, den du vermeiden kannst, indem du gleich auf den rechnern das richtige gate setzt. oder du ziehst mit dem andren router eine gestaffelte topologie auf und steuerst dann dort mit routing policies das wan-intf.

lg
zid

aja,
>"...und du meinst, das hilft ihm?..."
die hoffnung stirbt bekanntlich zuletzt...