- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
Digitalisierungsbox Premium: Zugriff Internet für "nicht vertauenswürdige" Verbindungen
21.12.2018 00:29
Hallo
wir kann ich bei einer Digitalisierungsbox einer Schnittstelle mit der Sicherheitsrichtlinie "nicht vertrauenswürdig" den Zugriff aufs Internet erlauben?
Danke für eure Hilfe
21.12.2018 08:28
Hallo @Armin_Schulz,
neugierig, wie ich nun mal bin, von welcher Schnittstelle sprichst du?
Wenn die Schnittstelle auf nicht vertraulich eingestellt ist, hat sich sicher jemand was dabei gedacht.
Gib doch einfach die benötigten Dienste frei.
21.12.2018 08:44
Guten Morgen
>neugierig, wie ich nun mal bin, von welcher Schnittstelle sprichst du?
>Wenn die Schnittstelle auf nicht vertraulich eingestellt ist, hat sich sicher jemand was dabei gedacht.
Dieser jemand war ich. Ich habe an der Digibox 4 verschiedene Netzwerkkreise aufgezogen, die sich gegenseitig nicht sehen sollen. Soweit ich es mir bis jetzt erlesen habe, kann ich durch das Setzen auf "nicht vertrauenswürdig" diese Netze isolieren und über die Firewallregeln die Zugriffe untereinander regeln. Das klappt auch an den meisten Stellen entsprechend der Erwartung.
>Gib doch einfach die benötigten Dienste frei.
Das habe ich. Meine Filterregel ist
Quelle: entsprechendes Netz
Ziel: WAN_DTAG_INTERNET-ZUGANG
Dienst: any
Dennoch darf das entsprechende Netz weiterhin nicht ins Internet.
21.12.2018 10:00
Mach mal 'n Screen von der/den Filterregel(n) und Deiner Netzwerkkonfiguration (LAN-->IP-Konfiguration).
Ich vergesse gerne den lokalen Zugriff auf DHCP,DNS usf. Dafür hab ich eine flankierende Regel für lokale Verwaltung, in der dann die lokalen Zugriffe auf die be.ip / Digitalisierungsbox geregelt sind
21.12.2018 10:08
Das funktioniert bei mir einwandfrei.
Die Regel Schnittstelle -> WAN_DTAG_INTERNET-ZUGANG -> any -> Zugriff erlauben habe ich bei IPv4 und bei IPv6.
21.12.2018 10:23
@wari1957
Danke für die Info. Mir war erstmal wichtig, dass die grundsätzliche Idee stimmt.
Ich hätte erwartet, dass ich mit der Regel auch die Digibox in diesem Netz anpingen kann, das klappt aber aus bis jetzt unerfindlichen Gründen auch nicht, was ja im Umkehrschluss bedeutet, dass ich mein Gateway nicht erreiche.
@Gelöschter Nutzer
Bilder im Anhang.
21.12.2018 10:27
Unter Systemverwaltung -> Administrativer Zugriff die entsprechende Schnittstelle hinzufügen und den Haken bei Ping setzen.
21.12.2018 11:30
Mit der Any-Allow-Regel in Richtung WAN erreichst Du nicht die Digibox. Dafür ist LANLOCAL als Ziel zuständig.
Solltest Du also den DNS der Box erreichen wollen musst Du das explizit erlauben.
Der Admin-Zugriff ist nötig um das GUI zu erreichen.
21.12.2018 12:37
Der ist gesetzt, hat aber nicht zur Folge, dass die Box anpingbar ist.
@Gelöschter Nutzer
Das hat tatsächlich den Durchbruch gegeben. Gebe ich für das Netz die Schnittstelle LOCAL frei, dann klappt der Ping auf die Box *und* das Inet. D.h. aber dann ja auch, dass die Freigabe Richtung WAN auch eine Freigabe des Gateways erfordert und diese nicht implizit enthält.
Eine grundsätzliche Frage hätte ich noch, da ich das von anderen Firewalls bisher anders gekannt habe: wenn ich in der Digibox etwas ändere, dann wird diese Änderung nicht sofort aktiv. Bsp: ich setze das Netz von "vertrauenswürdig" auf "nicht vertr.", dann kann ich dort noch einige Minuten ins WAN, erst danach greift die Änderung. Kann ich eine Änderung sofort "aktivieren" ?
21.12.2018 13:15
Hast du von HA -> LAN_LOCAL als Dienst any eingetragen?
Es gibt in den Dienste-Gruppen normalerweise einen Eintrag wlan-guest-local-access, die zu nutzen reicht völlig aus.
-Kann ich eine Änderung sofort "aktivieren" ?
Außer einem Neustart der Digitalisierungsbox, fällt mir dazu nichts ein.
21.12.2018 13:48 Zuletzt bearbeitet: 21.12.2018 14:00 durch den Autor
Firewalländerungen greifen bei mir eigentlich immer sofort.
Eine Ausnahme (hab ich nie geprüft) könnte bei bereits bestehenden Verbindungen sein. Wenn man sich das Protokoll ansieht erkennt man die Firewallprüfung bei Verbindungsaufnahme.
Zum grundsätzlichen Verständnis der Firewall.:
Den Zugriff auf das Gateway musst Du nicht explizit freigeben. Jedoch auf die Serverdienste, die evtl. auf dem gateway laufen.
Das ist bei anderen Systemen auch nicht anders.
Der Schalter "Vertrauenswürdiges Netz" ändert lediglich das Verhalten von "Consumerrouter" nach "Businessrouter". Im Consumerrouter ist abgehend alles erlaubt. Im Businessrouter hat man die Wahl.
Kann es sein, das die Dienstegruppe erst durch den Assistent erstellt wird, wenn man ein Gast-WLAN erzeugt?
Ansonsten muss in der Dienstgruppe eigentlich nur DNS,DHCP,http,ntp,http(ssl) und echo-req drin sein.
21.12.2018 14:37
@Gelöschter Nutzer
Das kann sein.
Die Gruppe enthält nur dns, dhcp und echo_req.
21.12.2018 22:48
herzlich willkommen in unserer Community.
Ich hoffe, dass die Tipps unser anderer User Ihnen weitergeholfen haben.
Wenden Sie sich sonst gern wieder an uns.
Freundliche Grüße
Kerstin Si.
13.05.2019 13:19
@Gelöschter Nutzer
Ich wäre euch nochmal für einen Tip dankbar:
Gegeben sind zwei Netze an unterschiedlichen Schnittstellen (192.168.30.0 und 192.168.0.0). Ich möchte nun *einem* Host im 30er den Zugriff auf einen Host im 0er geben.
Unter Firewall/Adressen habe ich beide eingerichtet und in den Richtlinieren als Quelle und Ziel eingegeben (Dienst:any).
Allerdings kann nicht auf den Host im anderen Netz zugreifen.
Habt Ihr dazu eine Idee?
13.05.2019 15:21
13.05.2019 18:19
13.05.2019 18:21
Korrektur zu meinem einführenden Text:
Gegeben sind zwei Netze an unterschiedlichen Schnittstellen (192.168.30.0 und 192.168.0.0). Ich möchte nun *einem* Host im 0er den Zugriff auf einen Host im 30er geben.
13.05.2019 18:25
Wenn du jetzt noch die Einträge in der Adressliste für ASMOB2 192.168.0.185/255.255.255.255 und SRV_6 192.168.30.6/255.255.255.255 anpasst, funktioniert das auch.
13.05.2019 18:43
Jetzt, wo du es sagst, ist es natürlich völlig offensichtlich...
Ich danke dir vielmals !!