Zywall 70

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Zywall 70

Beitragvon herrhund » So 07 Apr, 2013 15:02

Hallo!
Ich hab eine kleine Frage zum oben genannten Gerät:
Zur Verfügung stehen mir extern WAN1 und WAN2 und intern LAN/WLAN/DMZ.

Ich hätte gerne folgende Konfiguration:
Alle Geräte im LAN sollen sich über WAN1 zum Internet verbinden, die DMZ soll über WAN2 online gehen. Beim WLAN wäre es egal, also auch WAN1, (evtl. mit Load Balancing?).

Ist diese Konfiguration mit der Zywall möglich? Bis dato hab ich nur Load Balancing zwischen WAN1 und WAN2 geschafft, aber keine explizite Zuweisung zu den einzelnen internen Ports... :(
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon zid » So 07 Apr, 2013 16:41

hallo herrhund,

ich hab mich zwar noch nie mit einer zywall 70 rumgespielt, aber man kann afaik auf dem ding routing policies setzen.
du könntest also sinngemäß vielleicht folgendes versuchen:
- src-intf=lan dst-addr 0.0.0.0/0 route via wan1
- src-intf=dmz dst-addr 0.0.0.0/0 route via wan2

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Zywall 70

Beitragvon herrhund » So 07 Apr, 2013 19:22

Hallo!
Den Menüpunkt hab ich gefunden, werde es morgen gleich versuchen.
Was würde es alternativ nützen, wenn ich das Portforwarding von WAN2 auf die DMZ setze? Dann müsste er doch zumindest einkommende Verbindungen darüber aufbauen, oder?

So sieht der Menüpunkt aus... was soll ich da genau einstellen? :D
Dateianhänge
Unbenannt.png
Unbenannt.png (114.43 KiB) 32654-mal betrachtet
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon herrhund » So 07 Apr, 2013 19:40

Würde es so funktionieren für DMZ over WAN2?
Dateianhänge
Unbenannt.png
Unbenannt.png (116.79 KiB) 32651-mal betrachtet
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon Viennaboy » So 07 Apr, 2013 23:25

Ich habe selber jahrelang eine Zywall 35 gehabt bis irgend was eingegangen ist.
Wenn du magst kann ich ja mal in die GUI schauen.
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3851
Registriert: So 04 Nov, 2007 23:52

Re: Zywall 70

Beitragvon herrhund » Mo 08 Apr, 2013 08:23

Danke für das Angebot! Ich werd es, wenn ich vor Ort bin mal so versuchen... (Nicht, dass auf einmal der Remotezugang weg ist... :D) Falls das nicht geht, melde ich mich noch mal :)
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon zid » Mo 08 Apr, 2013 10:20

>"...Was würde es alternativ nützen, wenn ich das Portforwarding von WAN2 auf die DMZ setze? Dann müsste er doch zumindest einkommende Verbindungen darüber aufbauen, oder?..."
wenn du keine geroteten netze hast, dann mußt du sowieso die benötigten ports am wan2 zum server weiterleiten. das hat nix mim routing zu tun. der punkt ist, daß bei mehreren internetzugängen die bedingung
in-wan-intf = out-wan-intf
nicht trivial erfüllt ist.
du verbindest dich via wan2 zum server. es kommt also ein syn via wan2 rein, der server schickt sein syn-ack retour, und du mußt jetzt am router sicherstellen, daß dieses syn-ack nicht über wan1 rausgeht.
noch kitzliger wird die gschicht, wenn du beide wan-intfs für den serverzugriff verwenden wolltest. in dem fall kannst du natürlich keine routing policies auf basis src-intf oder src-ip setzen. der router muß dann in der lage sein, verbindungen verbindungstreu zu markieren, sodaß man diese markierungen dann für die routing policies verwenden kann.

>"...Würde es so funktionieren für DMZ over WAN2?..."
ja. falls keine gerouteten netze vorliegen, nicht aufs portforwarding vergessen. und wenn du routest, dann die forward chain der firewall für die serverdienste (inbound) öffnen.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Zywall 70

Beitragvon lordpeng » Mo 08 Apr, 2013 10:45

>Ich habe selber jahrelang eine Zywall 35 gehabt bis irgend was eingegangen ist.
>Wenn du magst kann ich ja mal in die GUI schauen.

hast denn das in viewtopic.php?f=46&t=54425&p=449350&hilit=sonicwall#p449335 erwähnte sicherheitsproblem deiner zyxel box schon behoben?
lordpeng
Moderator
Moderator
 
Beiträge: 10199
Registriert: Mo 23 Jun, 2003 22:45

Re: Zywall 70

Beitragvon Viennaboy » Mo 08 Apr, 2013 10:48

Ich verwende die USG und da kann man den Remote Zugang nicht deaktivieren.
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3851
Registriert: So 04 Nov, 2007 23:52

Re: Zywall 70

Beitragvon lordpeng » Mo 08 Apr, 2013 11:09

>Ich verwende die USG und da kann man den Remote Zugang nicht deaktivieren.
hmmm - ich hab mit den zyxel boxen ja ned allzuviel zu tun, aber IMHO sollte es auf jeden fall möglich sein, den remote zugang von der WAN seite aus zu blockieren oder gezielt auf source ip's zu beschränken - alles andere würde mich doch stark wundern ...

... ich könnt jetzt ins lager um eine zywall gehen, um das oben geschriebene zu verifizieren, aber ich spar mir den weg ...
lordpeng
Moderator
Moderator
 
Beiträge: 10199
Registriert: Mo 23 Jun, 2003 22:45

Re: Zywall 70

Beitragvon al » Mo 08 Apr, 2013 11:34

Viennaboy hat geschrieben:Ich verwende die USG und da kann man den Remote Zugang nicht deaktivieren.


Falsch.

/al
Wer entbündelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Re: Zywall 70

Beitragvon zid » Mo 08 Apr, 2013 12:06

>"...aber ich spar mir den weg ..."
du tust gut daran. der bub druckt da scho wieder a gschichterl... ;)

>"...Falsch..."
völlig richtig. :D

bube,

welche usg hast du genau? schon mal z.b. irgendwas in der preisklasse versucht:

Code: Alles auswählen
(config)# ip http server table admin rule insert 1 access-group ALL zone LAN1 action accept
(config)# ip http server table admin rule insert 2 access-group ALL zone ALL action deny

die korrekten intf names kriegst du im privileged mode mit "show interface all".
das cli der zld hat eine große ähnlichkeit mim cisco ios. stell dir der einfachheit halber vor, daß du einen cisc konfigurierst.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Zywall 70

Beitragvon lordpeng » Mo 08 Apr, 2013 12:31

>das cli der zld hat eine große ähnlichkeit mim cisco ios. stell dir der
>einfachheit halber vor, daß du einen cisc konfigurierst.
und du meinst, das hilft ihm? *ggg*
lordpeng
Moderator
Moderator
 
Beiträge: 10199
Registriert: Mo 23 Jun, 2003 22:45

Re: Zywall 70

Beitragvon herrhund » Mo 08 Apr, 2013 12:49

Hallo!
Eine Frage hätte ich jetzt noch:
Könnte ich hier theoretisch eine dritte WAN-Verbindung auch noch ins Spiel bringen? Nehmen wir an, in der DMZ hängt auch ein 08/15 Router mit dem LAN Port. Wenn ich jetzt diesen als "User Defined Gateway" für bestimmte IPs angebe, Routet die Zywall dann alles über diesen ins Internet oder hab ich das falsch verstanden?
Bild
herrhund
Board-User Level 1
Board-User Level 1
 
Beiträge: 619
Registriert: Do 17 Feb, 2005 12:56

Re: Zywall 70

Beitragvon zid » Di 09 Apr, 2013 11:28

hallo herrhund,

>"...Wenn ich jetzt diesen als "User Defined Gateway" für bestimmte IPs angebe, Routet die Zywall dann alles über diesen ins Internet oder hab ich das falsch verstanden?..."
das wär dann ein routing 3-eck, und routing 3-ecke sind ganz schlechter stil.
wenn ein router ein routing 3-eck "sieht", dann gilt folgende regelung:

1. das erste paket muß übers 3-eck geroutet werden.
2. der router muß dem verkonfigurierten knoten ein icmp redirect mit der richtigen route schicken.
3. wenn der verkonfigurierte knoten dieses icmp redirect ignoriert (ein redirect is ja nicht ganz harmlos), dann soll der router auch die folgepakete übers 3-eck routen.

und dieses "soll" in #3 ist das problem. manche router routen übers 3-eck, andre wieder nicht, bei manchen kann man das verhalten über die konfig steuern- wenn du z.b. bei den sts/tgs tcp-checks=exact setzt, dann wird nicht übers 3-eck geroutet, setzt du hingegen tcp-checks=none, dann wird das 3-eck akzeptiert- usw.
und dann gibts mit 3-ecken in lans bei schnellen rechnern und routern noch dieses "nette" kinetische prob, wenn das syn-ack schneller da ist als das icmp redirect.
unterm strich kann also ein ziemlicher sauhaufen entstehen, den du vermeiden kannst, indem du gleich auf den rechnern das richtige gate setzt. oder du ziehst mit dem andren router eine gestaffelte topologie auf und steuerst dann dort mit routing policies das wan-intf.

lg
zid

aja,
>"...und du meinst, das hilft ihm?..."
die hoffnung stirbt bekanntlich zuletzt... :D
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Nächste

Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste