UTM/NET/Bridge-Ethernet: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 28. August 2025, 07:36 Uhr

Konfiguration einer Bridge im Zusammenhang mit Eth-Schnittstellen

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

11.8 11.7

Einleitung

Eine Bridge (Netzwerkbrücke) verbindet zwei physikalische Netzwerke zu einem gemeinsamen Netz.
Die so zusammengeschlossenen Schnittstellen haben eine IP und die IP-Adressen der angeschlossenen Geräte liegen im selben Subnetz.

notempty

Die Firewall darf nicht über diejenige Schnittstelle administriert werden, die zu einer Bridge hinzugefügt werden soll!

Die Verbindung zum Admin-Interface fällt weg, sobald die IP-Adresse von der Schnittstelle entfernt wird, über die gerade auf die UTM zugegriffen wird.
Wenn alle verfügbaren internen Schnittstellen zu einer Bridge hinzugefügt werden (z. B. A1 und A2 bei einer Black Dwarf), muss der Zugriff auf die Firewall von außen über A0 erfolgen.

Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist über eine Bridge nicht möglich.
Lösung: Eine Forward-Zone im Nameserver der UTM einrichten. Dafür muss die UTM als Nameserver für die internen Clients konfiguriert sein. Dann verweist die externe URL, die von Intern aufgerufen wird, direkt auf den Internen Ziel-Server.
Eine Anleitung zum einrichten der Forward-Zone befindet sich unter Forward-Zone im Nameserver Wiki.

Die Bridge ist vollständig Layer 2 kompatibel. Broadcast-Pakete werden z.B. transparent an alle Schnittstellen innerhalb der Bridge weitergeleitet.

Administrations-Zugang vorbereiten

Schnittstelle auf der Firewall identifizieren, die nicht gebridged werden soll.
Im Menü Netzwerk Netzwerkkonfiguration Bereich Netzwerkschnittstellen IP-Adressen vorhandene IP-Adresse dieser Schnittstelle notieren oder zuweisen (z.B. 10.0.10.1/24 oder 10.10.10.193/29).
Freie IP-Adresse aus dem zugehörigen Netzwerk finden.
Diese IP-Adresse oder das gesamte zugehörige Netzwerk (z.B. 10.0.10.0/24 oder 10.10.10.192/29) im Menü Netzwerk Servereinstellungen Bereich Administration hinzufügen und damit zur Administration berechtigen.
Zugang auf der gewählten Schnittstelle über diese IP-Adresse bzw. dieses Netzwerk herstellen (z.B.: 10.0.10.1:11115 oder 10.10.10.193:11115).

Schnittstellen vorbereiten

Ethernet-Schnittstellen bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration IP-Adresse entfernen

Als erstes werden alle IP-Adressen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
Menü → in der entsprechenden Schnittstelle → Reiter IP-Adressen.
Entfernen der IP Adressen. Im Beispiel »192.168.100.1/24 mit Klick auf ✕

Es darf auf keinen Fall die IP-Adresse entfernt werden, über die der aktuelle Zugriff erfolgt!

Zonen entfernen Im Zweiten Schritt werden alle Zonen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
Menü → in der entsprechenden Schnittstelle → Reiter Zonen.
Entfernen der Zonen mit Klick auf ✕. Im Beispiel »dmz1 »firewall-dmz1.
Anschließend speichern mit Speichern.

Es darf auf keinen Fall die Zone entfernt werden, über die der aktuelle Zugriff erfolgt!

Abb.1

Ausgangslage Schnittstellen

Abb.2

Vorbereitete Schnittstellen

Bridge erstellen

Im Beispiel sollen die Schnittstellen A1 und A2 zu einer DMZ zusammengefasst werden.
Start des Assistenten im Menü Netzwerk Netzwerkkonfiguration Bereich Netzwerkschnittstellen Schaltfläche + Bridge.

Schritt 1 Schritt 1
Beschriftung	Wert	Beschreibung	Schnittstelle hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Assistent Schritt 1
Name:	bridge0	Name der Bridge-Schnittstelle
IP-Adresse:	10.50.50.1/24	Beispiel-IP Adresse der Bridge-Schnittstelle
STP:	Aus	Zusätzlich kann das Spanning Tree Protokoll aktiviert werden. Das Spanning Tree Protocol verhindert in Netzwerken mit mehreren Switches parallele Verbindungen und vermeidet dadurch unerwünscht kreisende Pakete .
STP Bridge Priorität:	32768
Weiter		Nächster Schritt

Schritt 2 Schritt 2
Schnittstellen:	»A1 »A2	Schnittstellen, die zusammengefasst werden sollen. In der Klick-Box können zur Verfügung stehende Schnittstellen ausgewählt werden.	Assistent Schritt 2
Weiter		Nächster Schritt

Schritt 3 Schritt 3
Zonen:	»dmz1 »firewall-dmz1	Zonen, die mit dem Bridge-Interface verknüpft werden sollen. In unserem Beispiel dmz1 und firewall-dmz1.	Assistent Schritt 3
Neue Zone hinzufügen:	Aus dmz2	Bei Aktivierung kann der Bridge alternativ oder zusätzlich eine neue Zone hinzugefügt werden.
Regeln generieren:	Aus	Es werden automatisch Paketfilterregeln für die neue Zone erstellt. Diese Regeln erlauben zunächst jedweden Netzwerkverkehr der Bridge ins Internet (any-Regeln) und müssen unbedingt durch angepasste Regeln ersetzt werden!
Zugehörige Netzwerkobjekte aktualisieren:	Ein	Wenn aktiviert, dann wird allen Netzwerkobjekten deren Zone einer anderen Schnittstelle zugeordnet wird und die als Ziel eine Schnittstelle angegeben haben, nun die neue Bridge als Ziel zugeordnet.
Fertig		Schließt die Einrichtung der Bridge ab.

Konfigurierte Bridge			Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Konfigurierte Bridge

Paketfilterregel einrichten

Es wird noch eine Paketfilterregel benötigt, die den Netzwerkverkehr zwischen den Schnittstellen, die zur Bridge gehören ermöglicht.
Dazu wird ein neues Netzwerkobjekt angelegt.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	all-dmz	Beliebigen Namen wählen
Typ:	Netzwerk (Adresse)
Adresse:	0.0.0.0/0	Jedweder Netzwerkverkehr soll möglich sein. Die Beschränkung erfolgt durch Angabe der Zone.
Zone:	dmz1	Zone, die mit der Bridge verknüpft ist.

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilterregel für die Bridge

Zum Schluss muss nur noch die Paketfilterregel mit dem gerade erstellten Netzwerkobjekt angelegt werden.

An dieser Stelle darf tatsächlich eine any-Regel verwendet werden, damit die Schnittstellen untereinander vollständig kommunizieren können.

		#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
		4	all-dmz	all-dmz	any		Accept	Ein

Der Netzwerkverkehr zu anderen Netzwerken (intern oder extern) sollte dann mit Regeln beschränkt werden, die mit den Netzwerkobjekten arbeiten, die der Zone der Bridge zugeordnet sind.

Beispielregel, um nur ftp-Dienste aus der DMZ freizugeben

		#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
		4	dmz1-network	internet	ftp	HNE	Accept	Ein

Die Einrichtung der Bridge wird mit abgeschlossen.

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/NET/Bridge-Ethernet.lang}}
-{{var	| neu-Layoutanpassung
+</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
-		| Layoutanpassung
+{{Header|12.6.0|
-		| Layout adjustments }}
+* {{#var:neu--rwi}}
+|[[UTM/NET/Bridge-Ethernet_v11.8 | 11.8]]
-</div> {{TOC2}} {{Select_lang}}
+[[UTM/NET/Bridge-Ethernet_11.7 | 11.7]]
-{{Header|11.8.7|
+|{{Menu-UTM|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} }}
-* {{#var:neu-Layoutanpassung}}
-|[[UTM/NET/Bridge-Ethernet_11.7 | 11.7]]
-|{{Menu|Netzwerk|Netzwerkkonfiguration}}
 }}
 ----
@@ Zeile 21: / Zeile 18: @@
 {{#var:Einleitung--desc}}
 <br clear=all></div>
 === {{#var:Administrations-Zugang vorbereiten}} ===
 <div class="Einrücken">
 {{#var:Administrations-Zugang vorbereiten--desc}}
-<br clear=all></div>
+</div>
+----
 === {{#var:Schnittstellen vorbereiten}} ===
 <div class="Einrücken">
-{{pt3| {{#var:Schnittstellen vorbereiten--Bild}} |{{#var:Schnittstellen vorbereiten--cap}} }}
+{{Bild| {{#var:Schnittstellen vorbereiten--bild}} |{{#var:Schnittstellen vorbereiten--cap}}||{{#var:Ethernet-Schnittstellen bearbeiten}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}
 {{#var:Schnittstellen vorbereiten--desc}}
 <br clear=all>
-{{pt3| {{#var:Zonen entfernen--Bild}} |{{#var:Zonen entfernen}} }}
+{{Bild| {{#var:Zonen entfernen--bild}} |{{#var:Zonen entfernen}}|class=Bild-t}}
 {{#var:Zonen entfernen--desc}}
 <br clear=all>
-{{Gallery3| {{#var:14b}} | {{#var:14c}}
+{{Gallery3| {{#var:14b}} | {{#var:14c}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
-           | {{#var:14d}} | {{#var:14e}}
+           | {{#var:14d}} | {{#var:14e}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
-          |i=2}}
+|Abb=true|i=2}}
-<br clear=all></div>
+</div>
+----
@@ Zeile 48: / Zeile 46: @@
 <div class="Einrücken">
 {{#var:Bridge erstellen--desc}}
-<br clear=all></div>
+</div>
 {| class="sptable2 pd5 zh1 Einrücken"
 |- class="Leerzeile"
-| colspan="3" | {{h4| {{#var:Schritt}} 1 |{{#var:Schritt}} 1}}
+| colspan="3" | {{h4|{{#var:Schritt}} 1 |{{#var:Schritt}} 1}}
 |-
-! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
+! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 1--Bild}} }}
+| class="Bild" rowspan="7" | {{bild|{{#var:Bridge erstellen-Schritt 1--bild}}|{{#var:Assistent Schritt}} 1||{{#var:Schnittstelle hinzufügen}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-close}}
 |-
 | {{b|Name:}} || {{ic|bridge0|class=available}} || {{#var:Name der Bridge-Schnittstelle}}
@@ Zeile 61: / Zeile 59: @@
 | {{b|{{#var:IP-Adresse}}:}} || {{ic|10.50.50.1/24|class=available}} || {{#var:IP-Adresse--desc}}
 |-
-| {{b|{{#var:STP aktivieren}}:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:STP aktivieren--desc}}
+| {{b|STP:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:STP--desc}}
+|-
+| {{b|{{#var:STP Bridge Priorität}}:}} || {{ic|32768|c}} ||
+|- class="Leerzeile"
+| colspan="2" | {{Button|{{#var:Weiter}} }} || {{#var:Weiter--desc}}
 |- class="Leerzeile"
 |
+|- class="noborder"
+| colspan="3" | {{h4|{{#var:Schritt}} 2 |{{#var:Schritt}} 2}}
+|-
+| {{b|{{#var:Schnittstellen}}:}} || {{ic| {{cb|A1}} {{cb|A2}} |class=available}} || {{#var:Schnittstellen--desc}}
+| class="Bild" rowspan="3" | {{Bild|{{#var:Schnittstellen--Bild}}|{{#var:Assistent Schritt}} 2}}
 |- class="Leerzeile"
-| colspan="3" | {{h4| {{#var:Schritt}} 2 |{{#var:Schritt}} 2}}
+| colspan="2" | {{Button|{{#var:Weiter}} }} || {{#var:Weiter--desc}}
-|-
-| {{b|{{#var:Schnittstellen}}:}} || {{ic| {{cb|eth2}} {{cb|eth3}} |pd=5px 5px 20px 5px}} || {{#var:Schnittstellen--desc}}
-|  class="Bild" rowspan="2" | {{Bild| {{#var:Schnittstellen--Bild}} }}
 |- class="Leerzeile"
 |
-|- class="Leerzeile"
+|- class="noborder"
-| colspan="3" | {{h4|{{#var:Schritt}} 3| {{#var:Schritt}} 3}}
+| colspan="3" | {{h4|{{#var:Schritt}} 3|{{#var:Schritt}} 3}}
+|-
+| {{b|{{#var:Zonen}}:}} || {{ic|{{cb|dmz1}} {{cb|firewall-dmz1}} |class=available}} || {{#var:Zonen--desc}}
+| class="Bild" rowspan="6" | {{bild|{{#var:Bridge erstellen-Schritt 3--bild}}|{{#var:Assistent Schritt}} 3}}
 |-
-| {{b|{{#var:Zonen}}:}} || {{ic| {{cb|dmz1}} {{cb|firewall-dmz1}} {{cb|dmz1_v6}} {{cb|firewall-dmz1_v6}} |class=available}} || {{#var:Zonen--desc}}
+| {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAus|{{#var:aus}} }} {{ic|dmz2}} || {{#var:Neue Zone hinzufügen--desc}}
-| class="Bild" rowspan="5" | {{Bild|{{#var:Zonen--Bild}} }}
 |-
-| {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAus|{{#var:Aus}} }} {{ic|dmz2}} || {{#var:Neue Zone hinzufügen--desc}}
+| {{b|{{#var:Regeln generieren}}:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Regeln generieren--desc}}
 |-
-| {{b|{{#var:Regeln generieren}}:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Regeln generieren--desc}}
+| {{b|{{#var:Zugehörige Netzwerkobjekte aktualisieren}}:}} || {{ButtonAn|{{#var:Ein}} }} || {{#var:Zugehörige Netzwerkobjekte aktualisieren--desc}}
 |- class="Leerzeile"
 | colspan="2" | {{Button|{{#var:Fertig}} }} || {{#var:Fertig--desc}}
@@ Zeile 86: / Zeile 92: @@
 |- class="Leerzeile"
 | colspan="3" | {{#var:Konfigurierte Bridge}}
-| class="Bild" rowspan="2" | {{Bild|{{#var:Konfigurierte Bridge--Bild}} }}
+| class="Bild" rowspan="2" | {{Bild|{{#var:Konfigurierte Bridge--Bild}} |{{#var:Konfigurierte Bridge}}||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}||icon=fa-save}}
 |- class="Leerzeile"
 |
-|- class="Leerzeile"
 |}
-<br clear=All>
-=== {{#var:Netzwerkobjekte anpassen}} ===
-<div class="Einrücken">
-{{pt3|{{#var:Netzwerkobjekte anpassen--Bild}} }}
-{{#var:Netzwerkobjekte anpassen--desc}}
-<br>
-{{Hinweis-neu|!|g}} {{#var:Netzwerkobjekte anpassen-Hinweis}}
-<br clear=all></div>
+=== {{#var:Paketfilterregel einrichten}} ===
-=== {{#var:Portfilterregel einrichten}} ===
 <div class="Einrücken">
-{{#var:Portfilterregel einrichten--desc}}
+{{#var:Paketfilterregel einrichten--desc}}
 </div>
 {| class="sptable2 pd5 zh1 Einrücken"
+! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
+| class="Bild" rowspan="6" | {{bild|{{#var:Paketfilterregel einrichten--bild}}|||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
-| {{b|Name:}} || {{ic|all-dmz|class=available}} || {{#var:Eindeutigen Namen vergeben}}
+| {{b|Name:}} || {{ic|all-dmz|class=available}} || {{#var:Beliebigen Namen wählen}}
-| class="Bild" rowspan="5" | {{Bild|{{#var:Portfilterregel einrichten--Bild}} }}
 |-
-| {{b|{{#var:Typ}}:}} || {{Button|{{#var:Typ--val}}|dr|class=available}} || {{#var:Passenden Typen wählen}}
+| {{b|{{#var:Typ}}:}} || {{Button|{{#var:Netzwerk Adresse}}|dr|class=available}} ||
 |-
-| {{b|{{#var:Adresse}}:}} || {{ic|0.0.0.0/0|class=available}} || {{#var:Adresse--desc}}
+| {{b|{{#var:Adresse}}:}} || {{ic|0.0.0.0/0|class=available}} || {{#var:Jedweder Netzwerkverkehr soll möglich sein}}
 |-
-| {{b|Zone:}} || {{Button|dmz1|dr|class=available}} || {{#var:Zone--desc}}
+| {{b|{{#var:Zone}}:}} || {{Button|dmz1|dr|class=available}} || {{#var:Zone, die mit der Bridge verknüpft ist}}
 |- class="Leerzeile"
 |
-|- class="Leerzeile"
 |}
-<br clear=all>
+{{Bild| {{#var:Paketfilterregel für die Bridge--bild}} |{{#var:Paketfilterregel für die Bridge}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close|class=Bild-t}}
 <div class="Einrücken">
-{{pt3| {{#var:Portfilteregel--Bild}} |{{#var:Portfilteregel--cap}} }}
+{{#var:Paketfilterregel für die Bridge--desc}}
-{{#var:Portfilteregel--desc}}
+</div>
-{| class="sptable2 spezial pd5 tr--bc__white zh1"
+{| class="sptable2 Paketfilter pd5 tr--bc__white zh1 Einrücken"
 |- class="bold small no1cell"
-| rowspan="3" class="Leerzeile pd0 pdr05 bc__default fs-initial normal" |  {{#var:Portfilterregel--desc}}
+| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
-| || # || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 |
 |-
-| {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} all-dmz || {{spc|world|o|-}} all-dmz || {{spc|other|o|-}}  any ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | || {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} all-dmz || {{spc|world|o|-}} all-dmz || {{spc|other|o|-}} any ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
-|- class="Leerzeile"
-| colspan="9" class=bc__default|
 |}
-<br clear=all></div>
+<br clear=all>
+----
-----
 <div class="Einrücken">
-{{Hinweis-neu|!|g}} {{#var:Der Netzwerkverkehr zu anderen Netzwerken}}<br>
+{{Hinweis-box||g}} {{#var:Der Netzwerkverkehr zu anderen Netzwerken}}
+<br>
+{{#var:Beispielregel, um nur ftp-Dienste aus der DMZ freizugeben}}
+</div>
-{| class="sptable2 spezial pd5 tr--bc__white zh1"
+{| class="sptable2 Paketfilter pd5 tr--bc__white zh1 Einrücken"
 |- class="bold small no1cell"
-| rowspan="3" class="Leerzeile pd0 pdr05 bc__default fs-initial normal" |  {{#var:Portfilterregel--desc}}
+| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
-| || # || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 |
 |-
-| {{spc|drag|o|-}} || 4 || {{spc|vpn-network|o|-}} dmz1-network || {{spc|world|o|-}} internet || {{spc|tcp|o|-}}  ftp || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | || {{spc|drag|o|-}} || 4 || {{spc|network|o|-}} dmz1-network || {{spc|world|o|-}} internet || {{spc|tcp|o|-}} ftp || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
-|- class="Leerzeile"
-| colspan="9" class=bc__default|
 |}
+----
-{{#var:Regeln aktualisieren}}
+<div class="Einrücken">
+{{#var:Die Einrichtung der Bridge wird mit}}
 <br clear=all></div>

Aktuelle Version vom 28. August 2025, 07:36 Uhr

Einleitung

Administrations-Zugang vorbereiten

Schnittstellen vorbereiten

Bridge erstellen

Schritt 1

Schritt 2

Schritt 3

Paketfilterregel einrichten