Endian Firewall - richtige Einstellungen

#1 Guten Abend Forengemeinde!

Wünsche einen guten Abend und hätte direkt eine Frage, die mir hoffentlich ein Forenuser beantworten kann.

Es geht um die Open Source Firewall von Endian.

Ich hab diese so konfiguriert, dass ich sie über den Webbrowser erreichen kann (192.168.2.50) => IP Bereich somit 192.1682.x

Der grüne Bereich der Firewall (interne) ist somit auf die 192.1682.50 konfiguriert.

Der rote Bereich der Firewall (externe) ist statisch auf die 192.168.2.23 konfiguriert. Der Gateway dabei auf die 192.168.2.1 (mein Speedport W700V).

Wozu haben ich eigentlich diesen roten, externen Bereich konfiguriert. In meinem PC, der als Firewall gilt, hab ich zwei Netzwerkkarten eingebaut, die eine ist ja für das interne und die andere für das externe Netz.

Da ich ja nun die 192.168.2.50 für das grüne Netz habe und die 192.168.2.23 für das externe, muss ich nun jeweils ein Netzwerkkabel von den Netzwerkkarten zum WLAN Router anschließen?
Ist der mit der IP 192.168.2.23 Bereich überhaupt korrekt gewählt oder müsste das ein anderer IP Adressenbereich sein???

Als DNS hab ich die IP des Routers eingegeben.

Also zusammengefasst (bin schlechter Erklärer):

1. Ist der für die als grün gekennzeichnete Bereich, IP Adresse so ok?
2. Ist der für die als roten gekennzeichneten Bereich, IP Adresse so ok?
3. Sind die Kabel überhaupt richtig angeschlossen? Jeweils eins von der Karte zum Speedport W700V WLAN Router?
4. Ich kann komischerweise mit und ohne Proxy surfen. Möchte es aber gerne so haben, dass ich nur mit dem Proxy sufen kann.

Ich hoffe ihr könnt euch ungefähr meine Problematik vorstellen.

Vielen Dank für die Anregungen, Hilfen und Vorschläge.

Gruß

Merlin_52

#2 Hallo,
ich kenne mich ehrlich gesagt mit der endian nicht aus, aber finde die Konstellation recht putzig.
Ich hätte das ehrlich gesagt anders aufgebaut.

Internet
# Extern: dynamisch
Router
# Intern: 192.168.2.1
Endian
# Extern: 192.168.2.2
# Intern: 192.168.3.1
Client- PCs
# 192.168.3.x mit der 3.1 als Gateway

Somit verhinderst du, dass der client- PC direkt über den Router geht (was ja zu verhindern gilt).
Wie soll den die Firewall routen, wenn du beide Netzwerkkarten im selben IP- Adressbereich hast?
Das geht allerdings auch, Endian braucht dann allerdings auch nur eine Karte. Du mußt dann bei dem client- PC den Proxy forcieren, was mit dem IE per Gruppenrichtlinien geht, mit anderen Browsern evtl. über Skripte. Das allerdings braucht dann schon vermutlich eine Domäne...

Jedenfalls musst du eigentlich sicherstellen, dass JEDE Verbindung vom Client PC über Endian geht...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#3 Also sollte ich es so einstellen?

Mein Speedport hat die 192.168.2.1

Das grüne interne Netz an der Firewall setze ich auf 192.168.3.1

Das rote externe Netz an der Firewall setze ich auf 192.168.2.2

Client PC mit statischen Adressen versehen und als Gateway die 192.168.3.1 eintragen.

Aber wenn ich das interne Netz auf x.x.3.1 setzen, dann kann ich doch nicht mehr übers Webinterface zugreifen oder sehe ich das falsch? Momentan werden meine IP Adressen auch noch per DHCP vom Speedport bezogen. Dort etwas ändern?

Danke für weitere Infos und habt Gedult. ;-)

#4

Zitat

merlin_52 postete

Aber wenn ich das interne Netz auf x.x.3.1 setzen, dann kann ich doch nicht mehr übers Webinterface zugreifen oder sehe ich das falsch? Momentan werden meine IP Adressen auch noch per DHCP vom Speedport bezogen. Dort etwas ändern?

Hört sich erstmal ganz gut an. Ob du auf das Webinterface kommst hängt davon ab, auf welchem Interface die Webapplikation lauscht. Im einfachsten Fall musst du nichts umkonfigurieren. So, wie ich es oben lese, läuft das Webinterface eh schon auf der "grünen" Leitung.
Was die IP- Adressvergabe angeht:
Der Speedport darf da natürlich für die Clients nichts machen. Also entweder mußt du die IPs statisch vergeben, oder du installierst auf deiner Endian noch einen DHCP und evtl. auch noch einen DNS Server. Kommt natürlich darauf an, was du noch vorhast... wieviele Cllients hinter der Firewall laufen sollen.
Zum Testen bist du vermutlich mit statischen IPs schneller, als wenn du noch einen DHCP und DNS Server installieren und konfigurieren musst.

/*Wie gesagt, es würde evtl. auch anders gehen, aber da sind die Anforderungen an die Hardware anders (z.B. kann man am DHCP vom Speedport eingeben, daß die Endian als Gateway genommen werden soll?)*/
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Das Webinterfache läuft auf dem 192.168.2.x Netz, das wäre das externe "rot", wenn ich oben dein Beispiel nachbaue.

Ich müsste es schon irgendwie im grünen haben, denke ich mal oder? ;-)

DHCP und DNS über die Firewall laufen zu lassen könnte ich einstellen, das wäre nicht das Problem. Sind zur Zeit drei Rechner in meinem Netzwerk.

Am Speedport kann man leider nicht einstellen, dass er die Endian als Gateway nehmen soll.

#6

Zitat

Ich hab diese so konfiguriert, dass ich sie über den Webbrowser erreichen kann (192.168.2.50) => IP Bereich somit 192.1682.x

Der grüne Bereich der Firewall (interne) ist somit auf die 192.1682.50 konfiguriert.

Der rote Bereich der Firewall (externe) ist statisch auf die 192.168.2.23 konfiguriert. Der Gateway dabei auf die 192.168.2.1 (mein Speedport W700V).

Demnach lief/läuft das Webinterface auf dem internen Interface?
Egal, das wird sich schon irgendwie umkonfigurieren lassen..
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#7

Zitat

HeVTiG postete

Internet
# Extern: dynamisch
Router
# Intern: 192.168.2.1
Endian
# Extern: 192.168.2.2
# Intern: 192.168.3.1
Client- PCs
# 192.168.3.x mit der 3.1 als Gateway

Frohes Fest!

Irgendwie klappt das alles nicht, oder ich versteh es nur nicht.

Wenn ich den Router auf 192.168.2.1 stehen lasse......

Und die Endian extern (rot) auf die 192.168.3.1 stelle und intern (grün) auf die 192.168.2.2

Wäre das möglich? Würde denn dann alles über die Firewall laufen, wenn ich DHCP und DNS über die Firewall laufen lasse? Proxy müsste ich auch den Router einstellen oder wie?

Ich versteh das wohl noch nicht so ganz mit grün und rot^^ Und welches Kabel wo an welcher Netzwerkkarte gesteckt werden müsste?

#8 Auch dir ein frohes Fest!

An sich ist das mit den Farben ganz einfach:
Rot = böse = Internet
Grün = vertrauensvoll = LAN

Also
Speedport - Endian Extern (rot)
Endian Intern (grün) - Netzwerk

Es muss also nur die Endian mit dem Speedport verbunden werden.
Speedport 192.168.2.1
Endian 192.168.2.2

Das ist also das rote Netz.

Jetzt das grüne:
Endian Intern: 192.168.3.1
Andere Clients: 192.168.3.x
Das Webinterface sollte dann auf der 3.1 laufen
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#9 Danke für die Infos.

Habe nun soweit alles konfiguriert, kann mit den Einstellungen auch ins Internet pingen aber sobald ich eine Page aufrufen will, wird mir der Zugriff verweigert.

DHCP abe ich auf dem Router abgeschaltet und läuft über die Firewall.
So lauten meine Einstellungen:

Speedport: 192.168.2.1
Endian extern: 192.168.2.2

Endian Intern: 192.168.3.1
Client PC´s: 192.168.3.x

Wie muss denn die Proxy Einstellung im IE sein?
Wie muss die DNS und Gateway Einstellung an den Clients sein?

Das Patchkabel für das rote Netz muss dann mit dem Speedport verbunden werden, so wie ich dich verstanden habe und das andere Kabel vom grünen Netz, müsste z.B. mit nem Switch verbunden werden oder?

Gruß und danke

#10 Hallo merlin_53,

Proxy sollte die 192.168.3.1 sein. Im webinterface kannst du mit Sicherheit auch einsehen, auf welchem Port das läuft... vermutlich 8080.
DNS und Gateway sollten ebenfalls für die Clients die 3.1 sein.

Zitat

Das Patchkabel für das rote Netz muss dann mit dem Speedport verbunden werden, so wie ich dich verstanden habe und das andere Kabel vom grünen Netz, müsste z.B. mit nem Switch verbunden werden oder?

Genau.

Zitat

Habe nun soweit alles konfiguriert, kann mit den Einstellungen auch ins Internet pingen aber sobald ich eine Page aufrufen will, wird mir der Zugriff verweigert.

Evtl. mußt du jetzt eine Whitelist für Webseiten in der Firewall erstellen, oder den Zugriff überhaupt erstmal freischalten?
Ich kenne das erstmal nur vom MS ISA. Dort ist erstmal alles verboten, und du mußt dann Regeln erstellen, was alles erlaubt ist.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#11 Frohes neues Jahr HeVTig!

Hab mich nach den Feiertagen und dem Urlaub nun mal wieder an meine Firewall gesetzt. Für die bisherige Hilfe, vielen Dank!

DHCP läuft nun einwandfrei über die Firewall. Hab den PC Namen und ne Wunsch IP in die Endian eingetragen und dem Client wird diese IP dann auch gegeben.

Die Firewall läuft nun auch. Habs mit offenen und geschlossenen 80/8080 Port ausprobiert. Mal funktioniert das I-Net und mal nicht, je nachdem wie ich es einstelle.

Leider komme ich nicht ins Internet, wenn der Proxy eingestellt ist und ich die 192.168.3.1 mit Port 8080 im IE eintrage. Und ich weiß auch nicht, was ich noch einstellen könnte? Hättest du da noch eine Idee?

Der Kontent Filter ist mir auch noch suspekt. Irgendwie wird komplett alles geblockt, egal ob ich den grünen Pfeil oder das Rote Symbol aktiviere, funktioniert leider alles nichts.

Da auch noch eine Idee?

Gruß

Merlin_52

#12 Hallo merlin_52,

auch dir ein Frohes Neues!

Zitat

Die Firewall läuft nun auch. Habs mit offenen und geschlossenen 80/8080 Port ausprobiert. Mal funktioniert das I-Net und mal nicht, je nachdem wie ich es einstelle.

Das heisst doch eigentlich, dass es funktioniert?

Zitat

Leider komme ich nicht ins Internet, wenn der Proxy eingestellt ist und ich die 192.168.3.1 mit Port 8080 im IE eintrage. Und ich weiß auch nicht, was ich noch einstellen könnte? Hättest du da noch eine Idee?

Es scheint ja mehrere Varianten der Endian Firewall zu geben. So wie es aussieht, scheint nicht jede Variante auch als Proxy zu funktionieren?
Vielleicht liegt es nur an der Version?

Da wird doch vermutlich auch deine kleine Dokumentation mitgeliefert?
Vielleicht verrät die einiges. Ich wollte mir die Endian eigentlich auch schon mal anschauen, hatte bislang allerdings noch keine Zeit dazu...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#13 Ja mit dem Port freischalten und dann wieder schließen, das klappte.
Mittlerweile habe ich es aber so getüftelt (und so soll es dann auch später in meinem Abschlussprojekt sein) sollen sich die Benutzer Authentifizieren um ins Internet zu können.

Mittlerweile erscheint das Fenster auch, dass man einen Benutzernamen und ein Passwort eintragen muss um ins Internet zu kommen. Den Namen und das Passwort habe ich in der Firewall hinterlegt aber leider werden die Daten nicht angenommen.

Ja gibt ein paar Versionen der Community Version von Endian. Ich nutze die 2.2 R3 Version. Diese hier müsste als Proxy funktionieren.

Ne Doku gibts leider nicht, kann mich soweit nur in englischsprachigen Foren durcharbeiten.

Also stört im Moment, wieso nimm er die Proxybenutzerdaten nicht an auch wenn ich die in der Firewall hinterlegt habe? :-(

Gruß

Merlin

#14 hi merlin_52,

ich habe das gerade mal durchgetestet.
Um die Proxyauth nutzen zu können musst du:
- Benutzer anlegen
- Gruppe anlegen
- Benutzer in Gruppe packen
- Gruppe aktivieren!
- Authentifizierung erforderlich machen (in meinem Test 'lokal')
- Fertig

Grüße
HeVTiG
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#15 Problem gelöst.

Der Benutzer der angelegt wird, muss komplett klein geschrieben werden.

:-D :-D :-D