outpost lässt nicht internet-routen

#1 hi ihr

erstmal konfiguration:
Netzwerk 2x Win98
AVM Fritzcard DSL USB an rechner A
rechner B soll über rechner A ins internet.
netzwerkfreigabe bei fritz dsl aktiviert.
interne IPs: 192.168.10.0 bis 10
dann will die fritz dsl noch als dns-server ip 192.168.122.252 und 253.

das funktioniert: drucker und dateifreigabe im netz,
internetzugang von beiden rechnern, wenn keine firewall.

aktiviere ich die firewall, kommt mein rechner B nicht mehr ins internet.
wo kann ich den datenverkehr von rechner B über die fritz dsl software (die macht ja offensichtlich meinen rechner A zum internetrouter) freigeben?

danke schon mal,
gruss
sopho

#2 Hi du

ne Outpost ist doch eigentlich recht einfach zu händeln. Die kannst du doch auf "Regel-Assistent" stellen und normalerweise fragt sie dich bei ner unbekannten Verbindung, was sie machen soll.
Eine andere Möglichkeit ist in die Logfiles zu kucken. Da steht genau was geblockt wird. Ja und das kannst du dann individuell erlauben.

Gruß Reinhart

#3 hi reinhart, danke für die schnelle antwort


das muss der hier sein:

ICMP Traffic n/a 192.168.122.252 Destination Unreachable/3 Ausgehend ICMP

diese ip habe ich bei rechner B in der DNS-konfiguration (TCP/IP->Netzwerkkarte) als DNS-server-adresse eingegeben (stand so in der anleitung)

aber genaueres steht da auch nicht da - was genau bedeutet das?
es kam auch keine anfrage, ob er blocken oder durchlassen soll.... der regel-assistent hat sich nicht gemeldet.

ich kann da noch zu fuss die icmp- einstellungen ändern - nur weiss ich nicht, was genau ich da tue... kann das das "adress mask" sein?

#4 Sopho:

Zitat

aktiviere ich die firewall, kommt mein rechner B nicht mehr ins internet.

Daraus entnehme ich, dass dein Rechner A allerdings in's WAN kommt. Dementsprechend wird die "FritzDSL.exe" also nicht von
Outpost geblockt. OK, hört sich gut an.

Schau doch mal innerhalb Outpost unter 'Optionen/System/LAN-Einstellungen' nach. Findest du dort einen Eintrag für dein 122'er Netz? Falls nicht,
klicke mal auf 'Ermitteln'.
Sofern besagtes Netz gefunden und konfiguriert wurde, solltest du mit deinen Clients Internet-Zugriff haben.

Falls nicht, bitte weiterlesen...

Stelle eine I-Net Verbindung durch Rechner A durch die Fritz-Software her und begebe dich zu Rechner B.
Auf Rechner B öffnest du eine DOS-Box und pingst bitte mal Heise's IP an:

- ping 193.99.144.71

Danach bitte nochmals

- ping 192.168.122.252

und

- ping 192.168.122.253

ausführen. Bitte poste die Ergebnisse dann ins Board.

Gruß,

Sepia

#5 Vielleicht versuchst du vorher noch mal was einfacheres

In Outpost gehe zu Optionen-->System-->ICMP Einstellungen.
Wenn dort (an zweiter Stelle glaub ich) bei "Desination unreachable" oder "Verbindungsziel unerreichbar", Typ 3, KEIN Haken bei IN und OUT ist, dann setzt du beide. Wenn schon Haken da sind, dann liest du bei @sepia weiter.

#6 habe bei Desination unreachable out haken gesetzt (war nicht da), ändert aber nix.
LAN-Einstellungen habe ich nicht, nur net-bios-einstellungen. dort habe ich den ganzen 192.168.xxx.xxx bereich als ip-adressenbereich hinzugefügt. (zugegebenermassen blind, ich weiss nicht, was outpost mit diesen ip´s anfängt und wofür es die braucht). netbios-kommunikation ist erlaubt. (aber ich glaube, das hat nix mit meinem problem zu tun - da geht eher um die kommunikation der rechner untereinander? naja - die klappt ja auch)

also: LAN-einstellungen direkt habe ich nicht zur auswahl in den optionen.
ich habe zur auswahl netbios..., ICMP, Typ der Antwort (stealth, normal) und die globalen regeln.

- ping 193.99.144.71
- ping 192.168.122.252
und
- ping 192.168.122.253
jeweils Zeitüberschreitung

(zur kontrolle: ping 192.168.10.0, =rechner A:
gesendet 4, 0ms, empfangen 0, verloren 4... dafür aber extrem schnell *g* - datenübertragung geht jedoch schnell und ohne probleme von rechner zu rechner)


jetzt kommen neue meldungen bei outpost in der blockiert-abteilung:
ICMP Traffic n/a NIKE Echo Request/0 Eingehend ICMP

(nike ist rechner B, 192.168.10.2)

nachtrag: bei dem punkt "abwehr von angriffen" wird u.a. angeführt:
12.07.04 19:39:56 Verbindungsversuch 192.168.10.2 ICMP(2048)

DAS muss es doch sein? die firewall wertet den versuch von rechner B, über rechner A ins internet zu gehen, als angriff...(dürfte die pingerei gewesen sein)!

#7

Zitat

zur kontrolle: ping 192.168.10.0, =rechner A, einwandfrei ohne probleme)

Wie ist denn deine TCP/IP Konfiguration generell? Benutzt du eine Subnetzmaske <> 255.255.255.0?? Falls nicht,
darf die IP x.x.x.0 nicht(!) vergeben werden da es die Netz-ID ist.
Ergo: Falls dein Subnetz 255.255.255.0 ist, ändere bitte zwingend die IP.

Hier (http://board.protecus.de/t10587.htm)
schreibst du, dass deine "SPF wie eine eins läuft". Aber doch nicht etwa simultan mit der A.O.?? Falls du also wider
Erwarten 2 FWs benutzt, disable (oder besser deinstalliere) eine.

Zitat

dort habe ich den ganzen 192.168.xxx.xxx bereich als ip-adressenbereich hinzugefügt.

Hmm...ist nicht nötig. Wenn ich davon ausgehe, dass deine Rechner sich im 10'er Netz befinden und die Fritz-NIC das 122'er
beansprucht reichen 2 Freigaben:

192.168.10.0 255.255.255.0 Lokal Netbios:ja Vertrauenswürdig:ja
192.168.122.0 255.255.255.0 Lokal --- dto.---

Zitat

ich weiss nicht, was outpost mit diesen ip´s anfängt und wofür es die braucht). netbios-kommunikation ist erlaubt. (aber ich glaube, das hat nix mit meinem problem zu tun - da geht eher um die kommunikation der rechner untereinander? naja - die klappt ja auch)

Da der DNS der Clients über die Fritz mit der Adresse 192.168.122.252(253) aufgelöst wird, muss A.O. dahingehend informiert werden.
Sprich, die NIC bzw. der 122'er Range muss 'freigeschaltet' sein. Dein Rechner A wird davon nicht tangiert,
da er die DNS Auflösung direkt mittels den ihm durch den ISP mitgeteilten DNS Server vornimmt.

Zitat

- ping 193.99.144.71
- ping 192.168.122.252
und
- ping 192.168.122.253
jeweils Zeitüberschreitung

Was wiederum nicht nur auf ein reines DNS-Problem hindeutet.


Was mir jetzt also letztendlich noch einfällt:

- ändere erstmal die '0' IP und weise dem Host eine andere zu.
- führe unter A.O. ( 'Optionen/System/LAN-Einstellungen') nochmals den Erkennungstest aus und markiere am besten die Option
'Neue Netzwerk-Einstellungen autom. erkennen'.

#8 hi sepia

ich geh das mal der reihe nach ab:
- ich habe subnet 255.255.255.0. werde jetzt aber die ip rechner A in 192.168.10.1 abändern.
- nein, nur EINE firewall. sygate hab ich gestern runtergeschmissen wegen eben diesem prob - ich hab gelesen, dass outpost da flexibler in den einstellungen sein soll.

zu outpost: ich habe den pfad Optionen/System/LAN-Einstellungen bei outpost nicht. vielleicht liegts daran, dass ich a.) nur die freeware-version habe oder b.) wirklich heut zu blöd zum sehen bin
kann ja mal vorkommen.
den punkt "Neue Netzwerk-Einstellungen autom. erkennen" hab ich auch nicht gefunden -
autsch - ich hab grad in der hilfe gelesen, dass das ein feature der pro-version ist....

tja...

auf jeden fall ändere ich jetzt ersma meine ip



Nachtrag:


oh sepia, verzeih! ICH HAB MÜLL ERZÄHLT!

rechner A hat 192.168.10.1
rechner B 192.168.10.2
jeweils subnet 255.255.255.0

ping von 192.168.10.2 zu 192.168.10.1 ebenfalls zeitüberschreitung!

tut mir leid...

bemerkenswert finde ich, dass A.O. den ping von rechner B als angriff wertet, normalen datenverkehr rein netzwerkmässig jedoch nicht )wegen freigegebenem netbios vielleicht?)

auszug aus dem blockiert-log:

ICMP Traffic n/a 192.168.122.252 Destination Unreachable/3 Ausgehend ICMP LocalHost

und
ICMP Traffic n/a NIKE Echo Request/0 Eingehend ICMP 192.168.122.252

das ist die reaktion auf den ping-versuch zu heise:
ICMP Traffic n/a NIKE Echo Request/0 Eingehend ICMP www.heise.de

#9 Also, deine Konfig beim Client stimmt. IP, DNS & Gateway sind defintiv ok, daran ist nichts zu rütteln.
Ansonsten hättest du bei deaktivierter A.O. ebenfalls vom Client aus nicht surfen können.

Soweit, so schlecht.

Es *muss* also an der A.O. Free liegen. Bin gerade zu Agnitum gesurft und habe mir den Vergleich zwischen der
Pro- und der Free-Version anzeigen lassen:

--snip

Packet/Application filtering Yes Yes
Network monitoring Yes Yes
Web privacy Yes Yes
Components Control (Anti-Leak) Yes No
Auto-configuration of apps/network Yes No
History of connections/events Yes No
Stateful Inspection technology Yes No
Internet Connection Sharing (ICS) Support Yes No
Automatic Online Updates Yes No
Support Service Yes No

--snap

Interessant hierbei natürlich der Eintrag mit dem 'ICS': Keine Unterstützung in der Free-Version Dies war mir neu.

Also, was *ich* nun zu Testzwecken ins Auge fassen würde, wäre das Downloaden der 30 Tage Trial Pro-Version.
Diese würde ich installieren und dann antestesten, ob der Client nun ins Netz kommt. Klappt es danach, kann mit fast
100%iger Sicherheit davon ausgegangen werden, dass die Ursache allen Übels die besagte Free-Version der A.O. ist.

Sorry, aber einen andere Lösung fällt mir als Alternative keine ein Wobei...wenn ICS mit der Free-Version nicht funktioniert,
sollte es mit einem Proxy (Jana & Co.) klappen.

Gruß,

Sepia

#10 sepia, ich danke dir vielmals!

weisst du, eigentlich ist das ärgerlich - da wird mit tollen features geprotzt und man wird mit Bergen von (zugegebenerweise wichtigen) Fachbegriffen überhäuft, egal ob outpost, sygate oder andere, aber in klaren worten, was nun nicht geht, drückt sich keiner aus - was ICS ist, weiss man doch erst nach einlesen, (bei Installation des Routers tauchte der Begriff z.B. nicht auf). Und dann mühen sich alle Einsteiger stundenlang ab, sogar Fortgeschrittene wie du müssen noch nachwühlen.....

auf jeden Fall habe ich durch diesen Beitrag mächtig viel gelernt und einiges über Netzwerkprotokolle mitbekommen - vielleicht war´s das ja sogar wert

ich schau jetzt nochmal, ob die sygate in der free-version das kann. vielleicht sehen wir uns ja bald wieder!

sepia, rherder, euch nochmal vielen Dank, es war sehr lehrreich und nett!


gruss,
sopho


zack! schon gefunden:

"Zusätzlich in der Professional Edition:

* Stealth Browsing
* VPN-Unterstützung
* Advanced Trojan Protection
* ICS-Unterstützung
* Online Intrusion Detection System"

also lags da auch nicht an mir ))
uff!

p.s.: jetzt war ich mal bei zonealarm; auch da steht nicht im klartext, ob nun die lan-weiterleitung klappt oder nicht! meine güte - das ist doch heutzutage DAS Standardbedürfnis für alle Familien mit DSL?!?
Ich probiers mal aus

noch´n nachtrag:
da können alle über zonealarm schimpfen wie sie wollen - mit ZA gehts!
von der übersicht her gefällt mir zwar outpost am besten, aber wenns freeware sein soll, komm ich wohl um ZA nicht rum.

#11 kann die kerio nicht auch als "GatewayPFW" herhalten?

Zitat

aber wenns freeware sein soll, komm ich wohl um ZA nicht rum

haste keinen alten rechner rumstehen, den du als router verwenden kannst? (Frage ohne die zusätzlichen Stromkosten zu beachten *g)

#12 Soweit ich mich erinnern kann wird ICS auch von Kerio 2.1.5 unterstützt.

#13 hmm.. ok - kerio ist runtergeladen.
allerdings: ZA läuft grad so schön stabil - spricht da wirklich noch was dagegen? (version 4.5.594)

man könnt´s ja glatt lassen - und ihr habt dann ersma ruhe vor mir

nachtrag: habs dennoch mit der kerio probiert: gefällt mir gut, hat aber gleiches prob: rechner B kommt nicht ins internet.
so: die kerio sollte das aber können!

zusatzinfo: ping von rechner B zu und über rechner A:
192.168.10.1
192.168.122.252
193.99.144.71 (www . heise.de)
funktioniert

wollen wir hier weitermachen? wäre nett!


gruss
sopho

nachtrag:
---> ich stells mal ins kerio-forum