RalphT 15 Geschrieben 28. Oktober 2011 Melden Teilen Geschrieben 28. Oktober 2011 Hallo, ich sitze schon länger hier vor einem Problem: Ich wollte einem PC in der DMZ Ping nach außerhalb ermöglichen. Was ich bisher gemacht habe: Regel WAN - DMZ ICMP von any zum PC erlaubt Regel DMZ - WAN ICMP vom PC nach any erlaubt. In dem Netz LAN funktioniert das alles perfekt Nur nicht in der DMZ. Das LOG zeigt diesbezüglich keine Einträge. Wo muss ich noch etwas einstellen? Zitieren Link zu diesem Kommentar
svengine 10 Geschrieben 31. Oktober 2011 Melden Teilen Geschrieben 31. Oktober 2011 Hallo Ralph, eigentlich brauchst Du nur die Regel DMZ -> WAN, Ping erlauben (meistens ist das die "Default Rule" die schon im OS drin ist). Hat die DMZ private IP adressen oder öffentliche? Eventuell gibt es hier ein Routing Problem zwischen der DMZ und dem Internet. Schau einmal unter network -> Routing ob Dir hier etwas auffällt. Wenn nicht, mach einmal eine Packet capture mit TCP, ICMP. vielleicht wird das Paket gestoppt und Duch kannst auf der Sonicwall Website nachschauen was der "Drop Code" bedeutet. Weitere Möglichkeit ist daß die Private IP adrese des Servers nicht auf die öffentliche IP adresse der WAN Interface genattet wird, aber das sollte man auch in der packet capture sehen können. Viel Glück. Sven Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 31. Oktober 2011 Autor Melden Teilen Geschrieben 31. Oktober 2011 Erst mal vielen Dank für die Antwort. Es sind hier in der DMZ private Adressen. beide Regelen WAN - DMZ und DMZ - WAN hatte ich auch schon drin. Beim Routing ist mir nicbts aufgefallen. Ich vermute schon die ganze Zeit, dass ich unter NAT-Regeln hier etwas eingeben muss. Ich habe dabei leider ein Problem: Ich blick da nicht durch. Kann mir mal jemand erklären, wie hier was einzugeben ist? Hier die Eingabemaske für eine neue NAT-Regel: Die DMZ liegt an X2 und WAN an X1. Um beim Beispiel Ping zu bleiben, könnte mir mal ein Kundiger, die restlichen Felder ausfüllen? Zitieren Link zu diesem Kommentar
svengine 10 Geschrieben 1. November 2011 Melden Teilen Geschrieben 1. November 2011 versuch einmal folgendes: Original Source: <DMZ PC Address object> tranlated Source: Default WAN IP Address Original Destination: Original tranlated Destination: Original Original Service: Any tranlated Service: Original Der rest sollte nicht geändert werden. Achte auch darauf daß die IP addresse des DMZ PCs korrekt unter "Network" -> "Address Objects" eingetragen ist. Diese Sollte ein Host in der DMZ sein. Eigentlich sollte die unterste NAT Regel (Default Rule) das abdecken, wenn diese Regel aber abgeändert worden ist dann kann das fehlschlagen. Wenn diese NAT Regel nichts hilt, kann der PC denn überhaupt die IP addresse der DMZ Interface anpingen? Sven Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 1. November 2011 Autor Melden Teilen Geschrieben 1. November 2011 Jo, das klappte! Alllerdings unter "Original Destination" gabs kein original, dafür habe ich "any" gesetzt. Alle Protokolle gehen jetzt nach draußen, sofern in den Firewallregeln das erlaubt wurde.. Da ich ja nun gerne dazulernen möchte, kannst Du mir das mal erklären? In der Firewall gibt es ja so einen schönen Wizard. Der ermöglicht, dass man z.B. einen FTP-Server in der DMZ von außerhalb erreichbar machen kann. Dabei legte er hier 3 NAT-Regeln an. Nur ich bin aus dieser Sache überhaupt nicht schlau geworden. Zitieren Link zu diesem Kommentar
svengine 10 Geschrieben 1. November 2011 Melden Teilen Geschrieben 1. November 2011 Okay, den Wizard sollte man eigentlich NIE benutzen. dazu gibt eine Reihe von Gründen. Hauptsächlich daß der Wizard (denke ich) die Reihenfolge der Regeln nicht bestimmen kann. Ausserdem muss man sich mit den Nat-regeln früher oder später sowieso einmal auseinander setzen. Ich kann mir auf anhieb auch nicht erklären warum der Wizard drei regelen anlget, wenn streng genommen nur eine benötigt wird. Bei einer neuen Sonicwall (oder mit Grundeinstellungen) Gibt es immer eine Default-Natregel. Diese macht immer nur folgendes: Original Source: Any tranlated Source: Default WAN IP Address Original Destination: Any tranlated Destination: Original Original Service: Any tranlated Service: Original Diese Regel wird für jede Zone angelegt und erlaubt daß die IP Adresse von jedem DMZ- (oder LAN-) client auf die öffentliche IP addrese der Sonicwall genatted wird. Ansonsten kommt auch nichts von dem Internet Server zurück. Erstelle einfach einmal eine neue Zone "Test" (Network -> Zones) und schau Dir dann die Nat-regel an die für die "Test" -> "Wan" Zone erstellt wurde. Diese Regel fehlt Dir wars***einlich für "DMZ" -> "WAN", oder jemand hat daran herumgebastelt... Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 2. November 2011 Autor Melden Teilen Geschrieben 2. November 2011 Also ich denke nicht, dass da vorher jemand rumgeschraubt hat. Ich sehe mir gerade das Menü zum erstellen neuer Zonen an. Hier die Spalte "Security Type". Beide LANs sind bei mir mit "trusted" benannt und die DMZ mit "public". Könnte es sein, dass bei "public" nicht diese besagte NAT-Regel angelegt wird? Ansonsten gut zu wissen, dass statt den 3 NAT-Regeln, nur eine davon benötigt wird. Da kann ich ja noch mal in aller Ruhe testen. Zitieren Link zu diesem Kommentar
svengine 10 Geschrieben 2. November 2011 Melden Teilen Geschrieben 2. November 2011 Die Security types sind schon korrekt. Es gibt Untrusted, public und trusted. Die Default Firewall Regeln sind für Untrusted -> Public und Trusted, No traffic allowed Public -> Trusted, No traffic allowed Die Firewall Regeln für Trusted -> Public und Public -> Untrusted aber sind "All traffic allowed". Ich denke immernoch daß es an den NAT regeln gelegen hat. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 2. November 2011 Autor Melden Teilen Geschrieben 2. November 2011 Ich denke immernoch daß es an den NAT regeln gelegen hat. Das ist richtig. Nachdem ich diese Regel dort eingefügt hatte, funktionierte der Zugriff ins WAN. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.