Wechseln zu:Navigation, Suche
Wiki

UTM/NET/Bridge-WLAN: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Weiterleitung nach UTM/NET/Bridge-WLAN v11.8.7 erstellt
Markierung: Neue Weiterleitung
K Textersetzung - „#WEITERLEITUNG(.*)Preview1260\n“ durch „“
Markierung: Weiterleitung entfernt
Zeile 1: Zeile 1:
#WEITERLEITUNG [[UTM/NET/Bridge-WLAN_v11.8.7]]Preview1260
{{Set_lang}}
{{Set_lang}}


Version vom 16. Januar 2024, 15:15 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden

















































Konfiguration einer Bridge im Zusammenhang mit WLAN-Schnittstellen

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Netzwerk Netzwerkkonfiguration


Einleitung

Eine Bridge (Netzwerkbrücke) verbindet zwei physikalische Netzwerke zu einem gemeinsamen Netz.
Die so zusammengeschlossenen Schnittstellen haben eine IP und die IP-Adressen der angeschlossenen Geräte liegen im selben Subnetz.

notempty

Die Firewall darf nicht über diejenige Schnittstelle administriert werden, die zu einer Bridge hinzugefügt werden soll!

Die Verbindung zum Admin-Interface fällt weg, sobald die IP-Adresse von der Schnittstelle entfernt wird, über die gerade auf die UTM zugegriffen wird.
Wenn alle verfügbaren internen Schnittstellen zu einer Bridge hinzugefügt werden (z. B. A1 und A2 bei einer Black Dwarf), muss der Zugriff auf die Firewall von außen über A0 erfolgen.

  • Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist über eine Bridge nicht möglich.
    Lösung: Eine Forward-Zone im Nameserver der UTM einrichten. Dafür muss die UTM als Nameserver für die internen Clients konfiguriert sein. Dann verweist die externe URL, die von Intern aufgerufen wird, direkt auf den Internen Ziel-Server.
    Eine Anleitung zum einrichten der Forward-Zone befindet sich unter Forward-Zone im Nameserver Wiki.

  • Die Bridge ist vollständig Layer 2 kompatibel. Broadcast-Pakete werden z.B. transparent an alle Schnittstellen innerhalb der Bridge weitergeleitet.

    •


    Administrations-Zugang vorbereiten

    • Schnittstelle auf der Firewall identifizieren, die nicht gebridged werden soll.
    • Im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen IP-Adressen vorhandene IP-Adresse dieser Schnittstelle notieren oder zuweisen (z.B. 10.0.10.1/24 oder 10.10.10.193/29).
    • Freie IP-Adresse aus dem zugehörigen Netzwerk finden.
    • Diese IP-Adresse oder das gesamte zugehörige Netzwerk (z.B. 10.0.10.0/24 oder 10.10.10.192/29) im Menü Netzwerk Servereinstellungen  Bereich Administration hinzufügen und damit zur Administration berechtigen.
    • Zugang auf der gewählten Schnittstelle über diese IP-Adresse bzw. dieses Netzwerk herstellen (z.B.: 10.0.10.1:11115 oder 10.10.10.193:11115).


    Schnittstellen vorbereiten

    Ethernet-Schnittstellen bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration IP-Adresse entfernen

    Als erstes werden alle IP-Adressen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
    Menü Netzwerk Netzwerkkonfiguration in der entsprechenden Schnittstelle → Reiter IP-Adressen.
    Entfernen der IP Adressen. Im Beispiel »192.168.100.1/24 mit Klick auf
    Es darf auf keinen Fall die IP-Adresse entfernt werden, über die der aktuelle Zugriff erfolgt!


    Zonen entfernen     Im Zweiten Schritt werden alle Zonen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
    Menü Netzwerk Netzwerkkonfiguration in der entsprechenden Schnittstelle → Reiter Zonen.
    Entfernen der Zonen mit Klick auf . Im Beispiel »dmz1 »firewall-dmz1.
    Anschließend speichern mit Speichern.
    Es darf auf keinen Fall die Zone entfernt werden, über die der aktuelle Zugriff erfolgt!


    Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk
    Abb.1
    Ausgangslage Schnittstellen
    Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk
    Abb.2
    Vorbereitete Schnittstellen


    Bridge erstellen

    Im Beispiel sollen die Schnittstellen LAN2 und wlan0 zu einer DMZ zusammengefasst werden.
    Start des Assistenten im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen Schaltfläche + Bridge.

    Schritt 1

    Schritt 1
    Beschriftung Wert Beschreibung Schnittstelle hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Assistent Schritt 1
    Name: bridge0 Name der Bridge-Schnittstelle
    IP-Adresse: 10.50.50.1/24 Beispiel-IP Adresse der Bridge-Schnittstelle
    STP: Aus Zusätzlich kann das Spanning Tree Protokoll aktiviert werden.
    Das Spanning Tree Protocol verhindert in Netzwerken mit mehreren Switches parallele Verbindungen und vermeidet dadurch unerwünscht kreisende Pakete
    .
    STP Bridge Priorität: 32768
    Weiter Nächster Schritt

    Schritt 2

    Schritt 2
    Schnittstellen: »LAN2 »wlan0 Schnittstellen, die zusammengefasst werden sollen. In der Klick-Box können zur Verfügung stehende Schnittstellen ausgewählt werden.
    Assistent Schritt 2
    Weiter Nächster Schritt

    Schritt 3

    Schritt 3
    Zonen: »dmz1 »firewall-dmz1 Zonen, die mit dem Bridge-Interface verknüpft werden sollen.
    In unserem Beispiel dmz1 und firewall-dmz1.
    Assistent Schritt 3
    Neue Zone hinzufügen: Aus dmz2 Bei Aktivierung kann der Bridge alternativ oder zusätzlich eine neue Zone hinzugefügt werden.
    Regeln generieren: Aus Es werden automatisch Paketfilterregeln für die neue Zone erstellt.
    Diese Regeln erlauben zunächst jedweden Netzwerkverkehr der Bridge ins Internet (any-Regeln) und müssen unbedingt durch angepasste Regeln ersetzt werden!
    Zugehörige Netzwerkobjekte aktualisieren: Ein Wenn aktiviert, dann wird allen Netzwerkobjekten deren Zone einer anderen Schnittstelle zugeordnet wird und die als Ziel eine Schnittstelle angegeben haben, nun die neue Bridge als Ziel zugeordnet.
    Fertig Schließt die Einrichtung der Bridge ab.
    Konfigurierte WLAN-Bridge. Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Konfigurierte WLAN-Bridge


    Paketfilterregel einrichten

    Es wird noch eine Paketfilterregel benötigt, die den Netzwerkverkehr zwischen den Schnittstellen, die zur Bridge gehören ermöglicht.
    Dazu wird ein neues Netzwerkobjekt angelegt.

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
    Name: all-dmz Beliebigen Namen wählen
    Typ: Netzwerk (Adresse)
    Adresse: 0.0.0.0/24 Jedweder Netzwerkverkehr soll möglich sein.
    Die Beschränkung erfolgt durch Angabe der Zone.
    Zone: dmz1 Zone, die mit der Bridge verknüpft ist.


    Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilterregel für die Bridge

    Zum Schluss muss nur noch die Paketfilterregel mit dem gerade erstellten Netzwerkobjekt angelegt werden.
     An dieser Stelle darf tatsächlich eine any-Regel verwendet werden, damit die Schnittstellen untereinander vollständig kommunizieren können.
    # Quelle Ziel Dienst NAT Aktion Aktiv
    4 all-dmz all-dmz any Accept Ein


    Der Netzwerkverkehr zu anderen Netzwerken (intern oder extern) sollte dann mit Regeln beschränkt werden, die mit den Netzwerkobjekten arbeiten, die der Zone der Bridge zugeordnet sind.


    Beispielregel, um nur ftp-Dienste aus der DMZ freizugeben

    # Quelle Ziel Dienst NAT Aktion Aktiv
    4 dmz1-network internet ftp HNE Accept Ein

    Die Einrichtung der Bridge wird mit abgeschlossen.


    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/Bridge-WLAN&oldid=88834