Hardware Firewall (ZyWall5) und ein IAD-Router im Netzwerk einrichten.

#1 Hallo!
Ich hoffe sowas gibts hier nicht schon mal, hab nichts gefunden.
Als System nutze ich Ubuntu 12.04.

An sich habe ich schon das ganze eine Weile laufen, die Frage ist mir ob es eine sinnvollere Konfiguration gibt... und zwar:

PC 192.168.1.12 in Subnetz 255.255.255.0 und dem Alice-IAS-Router als Gateway 192.168.1.1
Dazwischen ist die ZyWall5-Firewall mit 192.168.1.10

Alles per Kabel so angeschlossen: PC - ZyWall5 - IAD-Router - WAN

Ich habe mal die Firewall in unter 192.168.2.1 gehabt und den PC bei 192.168.2.3 aber jetzt funktioniert es seltsamerweise nicht mehr.
DHCP ist bei beiden Kisten ausgeschalten.

Ist es sinnvoll die Firewall unter 2er zu haben und nicht unter 1er oder ist es völlig egal?

Gäbe es eine Möglichkeit die ZyWall NACH dem IAD-Router zu nutzen? So dass WAN erstmal in die Firewall geht? Ist es sinnvoller oder ebenfalls egal?

Allerdings wird wohl die Verbindung von ZyWall zu Alice per WAN nicht funktionieren, habs schon ausprobiert. Wahrscheinlich wollen die da keine Fremdhardware. Gibts da Umwege?

Vielen Dank schon mal!

#2

Zitat

marth postete
Ist es sinnvoll die Firewall unter 2er zu haben und nicht unter 1er oder ist es völlig egal?

Gäbe es eine Möglichkeit die ZyWall NACH dem IAD-Router zu nutzen? So dass WAN erstmal in die Firewall geht? Ist es sinnvoller oder ebenfalls egal?

Wenn Du solche Fragen stellst, frage ich mich, wie Du überhaupt die Firewall korrekt konfigurieren kannst, ohne dass Du sie nicht unbrauchbar machst.

Das sind essentielle Netzwerkkenntnisse (Grundlagen)...

1. Ja, das ist egal
2. das IAD-Ding hat vermutlich ein integriertes Modem. Nur wenn das Zyxel-Ding auch ein DSL-Modem integriert hat oder Du es an ein DSL-Modem anschließt und die Alice-Zugangsdaten dort eingibst, dann kannst Du das Zyxel-Ding direkt anschließen. Aber dann brauchst Du den Alice-Router auch nicht mehr.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 na deswegen frage ich auch hier im Forum und bin kein Netzwerkadministrator bei NSA... oder sind hier nur ProfiHaxoOrRfragen erlaubt?

wie ich die Firewall in allem konfiguriere ist auch ein Übungsfeld und es kann schon sein, dass ich sie bis jetzt falsch konfiguriert habe... aber man hat ja die Dinge zum praktischen Üben und nicht nur Bücher wälzen oder am Bildschirm kleben.

zu 2:
ZyWall hat ein Modem drin, hab auch schon probiert mit dem über den WAN-Port mit Alice zu verbinden, ging allerdings nicht. Ich gehe davon aus, dass Alice nur eigene Hardware akzeptiert und Fremdhardware keinen Connect bekommt. Da war mal was darüber zumindest früher mal zu lesen.

Alice-Router würde ich dennoch brauchen, auch wenn ich die ZyWall als Modem nutzen könnte... aus einem Einfachen Grund: ÜBUNG.
Eben diese Dinge, die ich da beschrieben habe ganz praktisch im Netzwerk zu üben... Router und Firewall zu konfigurieren etc.

#4

Zitat

...der sind hier nur ProfiHaxoOrRfragen erlaubt?

Du hast h4x0r falsch geschrieben, in den Staub mit dir!

Zitat

wie ich die Firewall in allem konfiguriere ist auch ein Übungsfeld und es kann schon sein, dass ich sie bis jetzt falsch konfiguriert habe... aber man hat ja die Dinge zum praktischen Üben und nicht nur Bücher wälzen oder am Bildschirm kleben.

Das ist das typische "Wir machen keine Hausaufgaben" Thema das man auch sonst überall im Internet findet.
Die Praxis ersetzt übrigens nicht die Theorie, erst kommt die Theorie und dann die Praxis.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 oh verdammt! ... aber Du auch! .. richtig geht das so: 1337 h4xX0r

zum Rest:
ja... bei der Firewallkonfiguration, vor allem bei den ganzen Diensten rein und raus Erlaubnissen etc., wird das natürlich vor allem um vorige Info handeln, das ist mir klar. Mir gehts jetzt vorrangig um die richtige und sinnvolle Netzwerkverbindung bzw. Netzwerkeinrichtung... mit den entsprechenden Kompotenten.

Deswegen z.B. die Frage des Gateways:

Wenn ich die Firewall als Gateway eingebe und nicht direkt die Alice-IAD, müsste ich bei der Firewall eine Routing-Tabelle erstellen und die IP meines PCs zu der IP der Alice-IAD leiten, richtig? Denn ansonsten bleibe ich einfach bei der Firewall stecken, weil sie mich nicht automatisch weiter leitet zur Alice-IAD, oder?

Wenn ich die Alice-IAD weiterhin als Gateway belasse und durch die Firewall wie durch einen "Switch" durchgehe bin ich da überhaupt "geschützt" oder müsste der Gateway auf jeden Fall die Firewall sein?


übrigens... Texte lesen ist eine Sache... sich mit Menschen unterhalten eine ganz andere... ich bevorzuge vor allem das Zweitere... und aus meiner Erfahrung in anderen Bereichen, die ich deutlich mehr beherrsche ist mir bekannt, dass man gerade beim Erklären das Thema noch besser und feiner zu verstehen lernt. Also seid mal nicht so erklärfaul, ihr Nerds!

#6

Zitat

Wenn ich die Firewall als Gateway eingebe und nicht direkt die Alice-IAD, müsste ich bei der Firewall eine Routing-Tabelle erstellen und die IP meines PCs zu der IP der Alice-IAD leiten, richtig? Denn ansonsten bleibe ich einfach bei der Firewall stecken, weil sie mich nicht automatisch weiter leitet zur Alice-IAD, oder?

Wenn du die Firewall richtig nutzen willst musst du dafür sorgen, dass der Traffic auch dadurch geht. Lässt du das IAS als Gateway gehen nicht alle Anfragen an die Firewall...
Eine sinnvolle Einrichtung wäre mE entweder nur die Firewall ohne IAD, oder IAD und Zywall in ein Netz, Zywall und Clients in ein anderes.
So wie du oben schon beschrieben hast: IAD und Zywall in das 1er Netz, Zywall und Clients ins 2er.
Dann kannst du jeglichen Traffic auf der Zywall von den Clients sehen, filtern usw.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#7 genau das war meine Vermutung, dass bei IAD-Gateway manches an Firewall vorbei geht... ok.

Danke für die Ausführung!

Jetzt verstehe ich nur eins nicht ganz:

DHCP ist überall aus.
ich hab jetzt Alice-IAD auf 192.168.1.1
die ZyWall auf 192.168.1.10
meinen PC hab ich jetzt noch eben auf 192.168.2.1 gesetzt und beide Gateways durchprobiert: einmal IAD einmal Firewall.

Mit beiden Einstellungen kann ich keine Verbindung zur Firewall oder IAD aufbauen. IAD wäre noch bei Firewall-Gateway zu erklären, da dort noch keine Regel gesetzt wurde.... aber dass ich die Firewall nicht erreichen kann, wenn sie als Gateway steht, das verstehe ich nicht.

Der scheint ein Problem mit der Umstellung auf 2.1 zu haben... was übersehe ich da?


/Edit:
habe jetzt auch mal eine Regel erstellt, dass von der 192.168.2.1 HTTP auf Alice-IAD und die Firewall gehen kann.
bekomm trotzdem keine Verbindung zu beiden.

#8 Die Zywall braucht 2 IP Adressen. 1x eine aus dem 1er Netz für WAN, 1x aus dem 2er Netz für Intern, z.B. 192.168.2.1 welches dann auch Gateway für deinen Client ist.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#9 oh, das war mir neu... vielen Dank!
jetzt sehr ich da in den LAN-Einstellungen von der ZyWall keine Möglichkeit eine zweite IP zu vergeben.
Das müssen ja aber LAN-Einstellungen sein oder was sonst??

Oder die ZyWall5 ist keine "richtige Firewall" mit dieser Möglichkeit.

IP Alias hat ja damit nichts zu tun oder?

#10 Hmm, du hast doch eine WAN (1er Netz) und 4 LAN Schnittstellen (2er Netz)?

Aber ich seh gerade

Zitat

Zywall SeiteDie leistungsfähige Firewall bietet in der Grundausstattung Stafeful-Packet-Inspection für einen zeitgemässen Basisschutz.

Vom Firewalling bekommst du da nichts mit. Macht vermutlich dasselbe, wie der IAD. Die Zywall hat bzgl. Wifi ein wenig mehr Funktionen wie ein Standardrouter. Ausserdem kann man anscheinend Anti-Virus- / Intrusion-Prevention-Dienste aktivieren (vermutlich lizenzpflichtig). Dies erfordert eine Turbokarte, die in den Slot auf der Rückseite der ZyWALL 5 eingeschoben wird.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#11 naja... bis jetzt bin ich komplett im 1er Netz...
die 4 Schnittstellen hab ich bei der Zywall, klar... aber kann ich da den Schnittstellen noch einzelne IPs vergeben, so dass die ZyWall dadurch eben 2 IPs hat??

Ich kann den Schnittstellen zwar LAN/WLAN/DMZ vergeben aber keine extra IP... hmmm.

vielleicht ist es eben das, dass die ZyWall das gar nicht kann und somit meinem Zweck gar nicht gerecht kommt...
oder hast Du es mit den 2 IPs anders gemeint?

/Edit:

ja, IDS, AntiVir etc. sind kostenpflichtig und die hab ich nicht.

#12 aaahhh... ich hab was kapiert

bei ZyWall muss ich ja die Alice-IAD an den WAN-Port anschließen und diesem Port eine 1er-IP vergeben und als Gateway die Alice-IAD eingeben.... die LAN-Ports bekommen dann den 2er und somit läuft der PC ebenfalls auf einem 2er-Subnet mit dem 2er Gateway als Zywall. So funktioniert auch alles.

PC 192.168.2.2
Gateway/ZyWall 192.168.2.1
ZyWall-WAN 192.168.1.2
Alice-IAD/Gateway 192.168.1.1
Internet

im Netzwerk der Alice-IAD wird dann logischerweise nur die ZyWall angezeigt.

Eine Frage dazu noch:

ist es sinnvoll bei der ZyWall ebenfalls NAT beim WAN-Port zu belassen?
So viel ich weiss hat die Alice-IAD das grundsätzlich drin (in den Einstellungen find ich aber nichts).

#13 "Sinnvoll" ist relativ. Ich würde an deiner Stelle erst einmal mit NAT/PAT anfangen. Kannst dann ja immer noch sehen, ob du das noch umstellen möchtest.
Wie gesagt, die Zywall scheint was das Firewalling angeht auch nicht unbedingt mehr zu können als deine IAD, aber ein bisschen Testen schadet ja nicht.
Solltest du eingehende Verbindungen freigeben wollen musst du natürlich bedenken, dass du die jetzt an 2 Routern freigeben muss.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!