Zywall 70

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Re: Zywall 70

Beitragvon herrhund » Di 09 Apr, 2013 21:23

Hallo!
Ich hab es jetzt einfach auf gut Glück versucht, es funktioniert auch soweit. Das Problem war aber, wie du schon gesagt hast, dass eingehende und ausgehende Verbindungen über die selbe IP laufen müssen. Jetzt hab ich bei allen Geräten, die von außen über den künstlichen "WAN3" erreichbar sein sollen, diesen manuell als Gateway eingetragen, sonst kommt es anscheinend zu diesem Dreiecksrouting - das funktioniert nämlich nur so lange wie von außen nichts zugänglich sein muss, ein Portforwearding kann nämlich nicht über diese Route geschickt werden (oder?).
Ich kann mir das nur so vorstellen, dass wenn der Weg für eingehende Pakete und ausgehende Pakete nicht übereinstimmt kein Traffic zustandekommt. Ist das soweit richtig?
Weiters hab ich noch die internen Zonen der Zywall beim "WAN3" als statische Route hinterlegt ( dazu musste ich das Pirelli durch ein Zyxel P660 ersetztn - so viel zum Thema 0815 Router verwenden ;) )
Seht ihr in dieser Konfiguration irgendwelche Fehlerquellen? Also der P660 ist in der DMZ der Zywall, die Geräte haben diesen als Standardgateway hinterlegt und eine statische Rout ist für alles was sonst noch intern hinter der Zywall läuft gesetzt.
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon zid » Mi 10 Apr, 2013 19:05

>"...ein Portforwearding kann nämlich nicht über diese Route geschickt werden (oder?)..."
dazu brauchte es loopback-intfs, die man auf deiner zywall afaik nicht einrichten kann. und selbst wenn man es könnte, wär dieser ansatz denkbar schwindlig. ich hab sowas mal bei einem cisc gemacht, um mit dem flußorientierten nat-konzept ein schnittstellenorientiertes nat-konzept zu emulieren. die ciscorianer, denen ich davon erzählte, fragten mich dann aber schon, ob ich noch ganz dicht in der marille sei... :D jutta war die einzige, die mitleid mit mir hatte.
also laß den quatsch, sonst bist nur mit blöden fragen zu deinem geisteszustand konfrontiert. ;) und eine sachliche notwendigkeit für derartige dreckstouren gibts bei dir btw. sowieso nicht (außer vielleicht akademisches interesse an lustigen konstruktionen).

>"...dass wenn der Weg für eingehende Pakete und ausgehende Pakete nicht übereinstimmt kein Traffic zustandekommt. Ist das soweit richtig?..."
ja.
geh z.b. nur einen inbound 3-way-handshake mit einem routing 3-eck durch- wir reden in dem fall nicht mal über alle 3, sondern nur über genau 2 pakete:

- du leitest am 0815 router hausnummer http zu einem web-server in der dmz weiter, der aber die zywall als gate eingetragen hat.

- das syn packerl auf tcp/80 kommt über l2 mal rein, weil der 0815 router den server kennt (wir befinden uns in einer bcast domain). und da das ganze über l2 rennt, wird dieses syn nicht von der firewall der zywall gesehen.

- tjo, und da der server nicht den geringsten tau hat, wo der sender des syn mit der ip bla.bla.bla.bla angesiedelt ist, nimmt er die default route und schickt sein syn-ack in richtung zywall. die zywall muß dieses packerl zwangsläufig auf l3 liften, und damit durchläuft es auch die firewall samt nebengeräuschen. und aus sicht der firewall ist dieses pakerl "new"- das syn hat sie ja nicht gesehen. das erste packerl eines verbindungsaufbaus ist also nicht ein syn, sondern ein syn-ack- eine perverse situation, perverser gehts fast nimmer.
und jetzt hängts sehr stark von implementierung/konfiguration/kastration der firewall ab, was mit diesem perversen packerl passiert...

>"...Weiters hab ich noch die internen Zonen der Zywall beim "WAN3" als statische Route hinterlegt..."
was ist dieser sog. "WAN3" jetzt genau? wie bist du bei der konfiguration vorgegangen?

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Zywall 70

Beitragvon herrhund » Mi 10 Apr, 2013 20:57

Hallo!
Danke für die ausführliche Antwort, ungefähr so hab ich es mir vorgestellt, wo die Probleme liegen.
Wegen dem WAN3 nochmals... Das ist der Router (jetzt P660-H) der in der DMZ hängt und auch einen Internetzugang für ein paar Geräte zur Verfügung stellt. Damit diese Geräte auch von außen erreichbar sind musste ich den Router als Gateway eintragen (nicht Policy Routing, dann würden sie nur hinaus kommen über den Custom Gateway). Und damit diese Geräte auch aus demLAN/WLAN der Zywall erreichbar sind hab ich die Statische Route für diese Subnets im P660 konfiguriert. Dazu hab ich vorher einiges testen müssen, weil es nicht funktioniert hat... Ich war nämlich der Meinung, dass die Antworten an eingehende Pakete aus anderen Netzen an die Adresse zurückgehen, von der sie komen (Zywall DMZ Port), es geht aber alles ausgehend an den Standardgateway.... Das war mir nicht so klar.
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon local.host » Do 11 Apr, 2013 16:41

so ganz nebenbei bemerkt sei erwähnt dass die Zywall 70 nicht unbedingt mehr als sonderlich taufrisches Produkt bezeichnet werden kann ...
local.host
 

Re: Zywall 70

Beitragvon Viennaboy » Do 11 Apr, 2013 16:45

und es gibt keine fix mehr.
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3851
Registriert: So 04 Nov, 2007 23:52

Re: Zywall 70

Beitragvon herrhund » Do 11 Apr, 2013 22:02

Naja, so lange sie das macht was sie soll... ;) und noch mehr... :D es ist kein Internetzugang >30mbit/s im Spiel, also sollte sie das schon packen ;)
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon zid » Fr 12 Apr, 2013 07:34

alt is gut und punkt. :)
wenn ich mir den "modernen" ramsch, der unter der bezeichnung "router" im blödmarkt oder bei geiz-is-geil abgesondert wird, so anschau, dann ist das für mich in gut gelaunten momenten eine euphemistische übertreibung, die ihresgleichen sucht- bei schlechter laune denk ich da aber schon in eine ganz andre richtung. dieser müll bewegt sich in netztechnischer hinsicht auf augenhöhe mit toastern oder elektrischen zahnbürsten, hat aber den nachteil, daß man damit weder brötchen aufbacken noch zähne putzen kann.

doch kommen wir zurück zu unsrer geliebten netzwerkerei, und das seh ich auch so:
>"...also sollte sie das schon packen..."
die zywall 70 mag vielleicht vom gesamtkonzept etwas starr anlegt sein- sie hat nur 2 wan-ports, und man kann einen dritten eth-port nicht bzw. zumindest nicht trivial als wan-port, den du noch brauchen würdest, konfigurieren (möglicherweise geht das sogar übers cli. ich kenn, wie bereits erwähnt, die zywall 70 nicht). dramatisch ist das nicht, weil man dieses manko durch eine geeignete konfiguration der andren komponenten ohne großen aufwand bügeln kann.
auf einem z.b. st546v5- und ja, das is auch nicht mehr ganz taufrisch- könntest du dein anforderungsprofil besser abbilden. dort is die bridge voll konfigurierbar, sodaß du ohne weiters die eth[2-4] als wan-ports anlegen und am eth1 einen trunk fürs lan und die dmz aufziehen kann. oder du verwendest das intergrierte dsl-modem (ein dsl-zugang scheint ja vorhanden zu sein) zusammen mit eth[3-4] als wan-port und eth1 sowie eth2 fürs lan bzw. für die dmz. es muß nicht immer der letzte schrei sein...

>"...Und damit diese Geräte auch aus demLAN/WLAN der Zywall erreichbar sind hab ich die Statische Route für diese Subnets im P660 konfiguriert..."
damit hast du aber wieder ein 3-eck. besser wärs, wenn du diese route direkt auf den rechnern in der dmz setzen würdest.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Zywall 70

Beitragvon herrhund » Fr 12 Apr, 2013 15:00

Danke für die Antwort. Das mit dem ST wäre eine Alternative, aber es geht nur darum, eine begrenzte Zeit zu überbrücken. Für den WAN2 kommt ein neuer Anschluss, deshalb kann ich den im Moment nicht benutzen.
Aber im Moment funktioniert alles perfekt - eingehend, ausgehend, DMZ ins LAN, sogar vom "WAN3" ins LAN und umgekehrt. Ich werd es im Moment bei der statischen Route belassen, es ist zwar, wie du sagst, ein Dreieck, aber wenigstens eingehend und ausgehend gleich, außerdem betrifft es nur die Zugriffe auf einen Host im LAN, also nicht so dramatisch :)
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon local.host » Sa 13 Apr, 2013 09:08

zid hat geschrieben:alt is gut und punkt. :)


... sagte der gelernte Österreicher.

gäähn.
local.host
 

Re: Zywall 70

Beitragvon zid » Sa 13 Apr, 2013 09:40

schlaf weiter...
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Zywall 70

Beitragvon lordpeng » Sa 13 Apr, 2013 09:56

>so ganz nebenbei bemerkt sei erwähnt dass die Zywall 70 nicht unbedingt mehr
>als sonderlich taufrisches Produkt bezeichnet werden kann ...
ich würd mal behaupten, es kommt ganz aufs einsatz-szenario drauf an ...

wenns nur drum geht das teil als router mit ein paar extras für einen privatanschluss zu verwenden wirds vermutlich genügen ...

wenn man damit aber die IT eines konzerns anbinden will könnt ich mir auch besseres vorstellen, als eine veraltete security appliance ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Zywall 70

Beitragvon local.host » Sa 13 Apr, 2013 18:31

lordpeng hat geschrieben:>so ganz nebenbei bemerkt sei erwähnt dass die Zywall 70 nicht unbedingt mehr
>als sonderlich taufrisches Produkt bezeichnet werden kann ...
ich würd mal behaupten, es kommt ganz aufs einsatz-szenario drauf an ...


das macht das Produkt per se nicht jünger. =)

wenns nur drum geht das teil als router mit ein paar extras für einen privatanschluss zu verwenden wirds vermutlich genügen ...


ja, aber das war ja nicht der Kern meiner Aussage. Ich wollte EINZIG darauf hinweisen dass das Produkt EOL ist.

wenn man damit aber die IT eines konzerns anbinden will könnt ich mir auch besseres vorstellen, als eine veraltete security appliance ...


besser als ein Stein am Schädel, sozusagen.
local.host
 

Re: Zywall 70

Beitragvon lordpeng » So 14 Apr, 2013 09:50

>Ich wollte EINZIG darauf hinweisen dass das Produkt EOL ist
und ich wollte lediglich drauf hinweisen, dass ein produkt nur weils EOL und vom hersteller nichtmehr supportet wird, deswegen nicht einfach aufhört zu funktionieren ...

wir verwenden bei uns intern auch software, die seit 15 jahren nimmer unterstützt wird, so what ... alternativen gäbs, sogar relativ günstig, aber warum sollte man die darauf abgestimmten geschäftsprozesse umschmeissen, wenns ohne probleme funktioniert ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Vorherige

Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 15 Gäste