UTM/VPN/DNS Relay: Unterschied zwischen den Versionen

Aktuelle Version vom 25. Oktober 2024, 09:40 Uhr

Weiterleitung der DNS Anfragen für die Domäne an den DNS Server durch den VPN Tunnel

Letzte Anpassung zur Version: 12.6.1

Neu:

Abschnitt ergänzt: WireGuard Transfernetz als Peernetzwerk freigeben 06.2024
Vereinfachte Regel im DNS-Server Netzwerk für SSL-VPN und WireGuard Verbindungen 04.2024
Aktualisierung zum Redesign des Webinterfaces
Paketfilterregel Quelle und Ziel korregiert

Zuletzt aktualisiert:

Hinweis zur DNS-Auflösung mit WireGuard
Abschnitt ergänzt: WireGuard Transfernetz als Peernetzwerk freigeben 07.2024

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.3 11.7

Einleitung

In diesem Szenario sollen die UTM und die Clients einer Außenstelle an die Domäne im Hauptstandort angebunden werden.

Alle DNS Anfragen für die Domäne an den DNS Server, durch den VPN Tunnel, werden zum Hauptstandort weitergeleitet
Die UTM soll DNS für die Clients in der Außenstelle bereitstellen
Anfragen für das Domänen Netz sollen in den VPN Tunnel zum DNS Server im Hauptstandort weitergeleitet werden

Anlegen der DNS Relay Zone

Firewall als Nameserver festlegen

Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Nameserver IP Im ersten Schritt muss die UTM selbst als Nameserver der Firewall festgelegt werden.

Konfiguration unter Netzwerk Servereinstellungen Bereich Servereinstellungen Abschnitt
DNS-Server
Feld Primärer Nameserver als IP die 127.0.0.1 (localhost) setzen.
Speichern mit

Wird kein Nameserver hinterlegt, werden DNS-Anfragen über die root-DNS-Server und die dort hinterlegten DNS-Server für die Top-Level-Domains aufgelöst

DNS Relay anlegen

Anwendungen Nameserver Bereich Zonen
Im nächsten Schritt wird eine Relay-Zone angelegt.

UTM v12.6.1 DNS Relay Nameserver Relay-Zone anlegen.png

Schritt 1

Im Fenster Nameserver den Reiter Zonen öffnen
Auf die Schaltfläche Relay-Zone hinzufügen klicken, um eine neue Relay-Zone anzulegen

UTM v12.6.1 DNS Relay Zone anlegen DNS Relay IP-Adresse.png

Schritt 2

Unter Zonenname: den gewünschten Domänennamen eintragen
Als Typ: Relay auswählen
Auf die Schaltfläche Server hinzufügen klicken, um die IP-Adresse des Nameservers einzutragen

UTM v12.6.1 DNS Relay Zone anlegen DNS Relay IP Adresse Nameserver.png

Schritt 3

Unter IP-Adresse: wird die IP-Adresse des entfernten Nameservers eingetragen

UTM v12.6.1 DNS Relay Zone anlegen DNS Relay.png

Schritt 4

Darstellung der fertig angelegte Relay-Zone.
Um diese nutzen zu können, den Dialog Relay-Zone hinzufügen und den Dialog Nameserver Speichern und schließen.

Nach dem Anlegen der Relay-Zone leitet die Firewall alle Anfragen auf das Domänennetz zum DNS-Server im Hauptstandort weiter.

DNS Relay für einen IPSec Site-to-Site Tunnel

Um interne Domainanfragen an einen entfernten Nameserver weiterzuleiten, der sich in einem IPSec-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen IPSec-Tunnel geroutet.

Netzwerkobjekt anlegen

Firewall Netzwerkobjekte
Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das IPSec-Netz vorhanden.

Folgende Objekte sind bei Auslieferung vorkonfiguriert:	Netzwerkobjekt	zugehöriges Schnittstellen-Objekt	Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Übersicht der Netzwerkobjekte
	Internet	external-interface
	internal-network	internal-interface
nur bei min. 3 vorhandenen Schnittstellen	dmz1-network	dmz1-interface

Um das passende Netzwerkobjekt anzulegen, wird im Abschnitt Netzwerkobjekte auf die Schaltfläche Objekt hinzufügen geklickt.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	IPSec-Netzwerk	Bezeichnung für das IPSec-Netzwerk
Typ:	VPN-Netzwerk	VPN-Netzwerk auswählen
Adresse:	192.168.8.0/24	IP-Adresse des IPSec Netzwerkes
Zone:	vpn-ipsec	Entsprechende VPN IPSec Zone
Gruppen:		Eine entsprechende Gruppe kann eingetragen werden
Netzwerkobjekt und Dialog Speichern und Schließen

Regel erstellen

Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

Beschriftung	Wert	Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Das Anlegen der Regel
Aktiv:	Ein
Quelle:	external-interface
Ziel:	IPSec-Netzwerk
Dienst:	domain-udp
Aktion:	ACCEPT
[-] NAT
Typ:	HIDENAT
Netzwerkobjekt:	internal-interface
Auf Speichern oder Speichern und Schließen klicken, um diese Regel abzuspeichern. Anschließend Regeln aktualisieren

Mit dieser Regel werden alle Domain-UDP-Anfragen, die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.

notempty

Wenn Multipath Routing konfiguriert ist, muss für jedes externe Interface eine solche Regel angelegt werden.

DNS Relay für einen OpenVPN Site-to-Site Tunnel

Um interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem OpenVPN-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen OpenVPN-Tunnel geroutet.

Zentrale Konfiguration im Netzwerk des DNS-Servers

Vereinfachte Lösung mit Paketfilter Regel im Netzwerk des DNS-Servers
Bei mehreren Außenstellen ist es oft die einfachste Variante, das komplette Transfernetz auf der Serverseite freizugeben. Hierzu ist eine Paketfilter Regel auf der UTM im Netzwerk des DNS-Servers erforderlich.

WireGuard Transfernetz als Peernetzwerk freigeben

UTM im DNS-Server Netzwerk

Das Transfernetz, in dem die IP-Adresse der WireGuard-Schnittstelle liegt, muss als Peernetzwerk freigegeben werden.

Ergänzende Korrektur 07.2024

Unter Schaltfläche bearbeiten kann die IPv4 Adresse der entsprechenden WireGuard-Schnittstelle nachgeschaut bzw. angepasst werden. Anschließend wird das Netz in dem diese liegt unter Schaltfläche bearbeiten des entsprechenden WireGuard Peers als Peernetzwerk freigegeben.

Anlegen des Netzwerkobjektes für das Transfernetz

UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten Netzwerkobjekte Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Transfernetz
Name:	Transfer Netz	Bezeichnung für das Transfernetzwerk
Typ:	VPN-Netzwerk	Typ des Netzwerkobjektes
Adresse:	10.40.40.0/24	Netz-IP, so wie unter VPN SSL-VPN unter Transfernetzwerk angezeigt
Zone:	vpn-ssl-DNS-Relay-server	Zone wird automatisch vorgeschlagen. Per Default der Name der SSL-Verbindung mit dem Präfix vpn-ssl-
Gruppen:		Eine entsprechende Gruppe kann eingetragen werden
Netzwerkobjekt und Dialog Speichern und Schließen

Netzwerkobjekt DNS-Server

Ein Netzwerkobjekt für den DNS-Server (Typ: Host) sollte bereits existieren.
Andernfalls muss es ebenfalls angelegt werden.

UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten Netzwerkobjekte Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für den DNS-Server
Name:	DNS-Server	Bezeichnung für den DNS-Server
Typ:	Host	Typ des Netzwerkobjektes
Adresse:	192.168.175.10/--	Feste IP-Adresse, unter der der DNS-Server erreichbar ist
Zone:	internal	Zone wird automatisch vorgeschlagen
Gruppen:		Eine entsprechende Gruppe kann eingetragen werden
Netzwerkobjekt und Dialog Speichern und Schließen

Regel erstellen

Firewall Paketfilter Schaltfläche Regel hinzufügen

Diese Regel benötigt kein NAT Anschließend Regeln aktualisieren	#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
	4	Transfer Netzwerk	DNS-Server	domain-udp		-	Accept	Ein

Diese Paketfilter Regel erlaubt dem SSL-VPN-Transfernetz und damit sämtlichen S2S-Clients auf diesem SSL-VPN-Tunnel den Zugriff auf den DNS-Server

notempty

Alternative

Dezentrale Konfiguration auf jedem S2S Client

Wenn eine Zentrale Konfiguration im Netzwerk des DNS-Servers nicht gewünscht oder möglich ist, kann eine NAT-Regel auf jedem S2S-Client erstellt werden.

Diese Schritte müssen auf jedem S2S-Client ausgeführt werden!

Zone anlegen

UTM im S2S Client Netzwerk Netzwerk Zoneneinstellungen
Um die DNS Anfragen in den OpenVPN Tunnel routen zu können, muss auf der UTM eine neue Interface Zone angelegt werden.
Eine neue Zone wird mit der Schaltfläche Zone hinzufügen angelegt.

Beschriftung	Wert	Beschreibung	Zone hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkZoneneinstellungen Dialog Zone hinzufügen mit Flag Interface
Name:	Site-to-Site-DNS-Relay	Bezeichnung für die Interface Zone
Schnittstelle:	tun0	Die passende Schnittstelle tunX auswählen
Interface:	Ein	FLAG Interface für diese Zone aktivieren
Dialog Speichern und Schließen

Open-VPN Netzwerkobjekte anlegen

UTM im S2S Client Netzwerk Firewall Netzwerkobjekte
Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das Open-VPN-Netz vorhanden.

Folgende Objekte sind bei Auslieferung vorkonfiguriert:	Netzwerkobjekt	zugehöriges Schnittstellen-Objekt	Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Übersicht der Netzwerkobjekte
	Internet	external-interface
	internal-network	internal-interface
nur bei min. 3 vorhandenen Schnittstellen	dmz1-network	dmz1-interface

Um das passende Netzwerkobjekt anzulegen, wird im Abschnitt Netzwerkobjekte auf die Schaltfläche Objekt hinzufügen geklickt.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	DNS-Relay-Interface	Bezeichnung für das Open VPN-Netzwerk
Typ:	Dynamische Schnittstelle	Dynamische Schnittstelle auswählen
Schnittstelle:	0.0.0.0/0	diese Schnittstelle auswählen
Zone:	Site-to-Site-DNS-Relay	entsprechende Open VPN Zone auswählen
Gruppen:		Eine entsprechende Gruppe kann eingetragen werden
Netzwerkobjekt und Dialog Speichern und Schließen

Regel erstellen

UTM im S2S Client Netzwerk Firewall Paketfilter Schaltfläche Regel hinzufügen
Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

Beschriftung	Wert	Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Das Anlegen der Regel
Aktiv:	Ein
Quelle:	DNS-Relay-Interface
Ziel:	Remote-DNS-Server
Dienst:	dns
Aktion:	ACCEPT
[-] NAT
Typ:	HIDENAT Optional, wenn Domaincontroller nicht auf Anfragen aus dem Transfernetz antworten möchte.
Netzwerkobjekt:	internal-interface
Dialog Speichern und Schließen

DNS Relay für einen WireGuard Site-to-Site Tunnel

Die internen Domainanfragen können auch an einen entfernten Nameserver weitergeleitet werden, der sich in einem WireGuard-Netz befindet. Für die Konfiguration eines solchen Szenarios wird eine vorhandene WireGuard Site-to-Site VPN (S2S) Verbindung benötigt.

Zentrale Konfiguration im Netzwerk des DNS-Servers

Vereinfachte Lösung mit Paketfilter Regel im Netzwerk des DNS-Servers
Bei mehreren Außenstellen ist es oft die einfachste Variante, das komplette Transfernetz auf der Serverseite freizugeben. Hierzu ist eine Paketfilter Regel auf der UTM im Netzwerk des DNS-Servers erforderlich.

notempty

Wenn bei WireGuard über das Transfernetz der Zugriff auf die andere Seite für die DNS-Auflösung realisiert werden soll, dann muss innerhalb des WireGuard Tunnels auf beiden Seiten das Transfernetz des Tunnels mit freigegeben werden. Ansonsten kommen die Anfragen nicht an, trotz korrekt konfigurierten Regeln.

Anlegen des Netzwerkobjektes für das Transfernetz

UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten Netzwerkobjekte Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das WireGuard Transfernetz
Name:	Transfer Netz	Bezeichnung für das Transfernetzwerk
Typ:	VPN Netzwerk	Typ des Netzwerkobjektes
Adresse:	10.0.1.0/24	Netz-IP des Transfernetzes. Unter VPN WireGuard WireGuard Verbindung bearbeiten findet sich unter IPv4Adresse bzw. IPv6 Adresse die IP-Adresse und Subnetzmaske der Schnittstelle. Daraus kann entsprechend die Netz-IP abgeleitet werden. Aus 10.0.1.2/24 → wird z.B. 10.0.1.0/24 Aus fd00::2/64 → wird z.B. fd00::0/64
Zone:	wireguard-wg0	Zone wird automatisch vorgeschlagen. Per Default der Name des WireGuard Tunnels mit dem Präfix wireguard
Gruppen:		Eine entsprechende Gruppe kann eingetragen werden
Netzwerkobjekt und Dialog Speichern und Schließen

Netzwerkobjekt DNS-Server

Ein Netzwerkobjekt für den DNS-Server (Typ: Host) sollte bereits existieren.
Andernfalls muss es ebenfalls angelegt werden.

UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten Netzwerkobjekte Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für den DNS-Server
Name:	DNS-Server	Bezeichnung für den DNS-Server
Typ:	Host	Typ des Netzwerkobjektes
Adresse:	192.168.175.10/--	Feste IP-Adresse, unter der der DNS-Server erreichbar ist
Zone:	internal	Zone wird automatisch vorgeschlagen
Gruppen:		Eine entsprechende Gruppe kann eingetragen werden
Netzwerkobjekt und Dialog Speichern und Schließen

Regel erstellen

UTM im DNS-Server Netzwerk Firewall Paketfilter Schaltfläche Regel hinzufügen

Diese Regel benötigt kein NAT Anschließend Regeln aktualisieren	#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
	4	Transfer Netzwerk	DNS-Server	domain-udp		-	Accept	Ein

Diese Paketfilter Regel erlaubt dem SSL-VPN-Transfernetz und damit sämtlichen S2S-Clients auf diesem SSL-VPN-Tunnel den Zugriff auf den DNS-Server

notempty

Alternative

Dezentrale Konfiguration auf jedem S2S Client

Wenn eine Zentrale Konfiguration im Netzwerk des DNS-Servers nicht gewünscht oder möglich ist, kann eine NAT-Regel auf jedem S2S-Client erstellt werden.

Zone anlegen

UTM im S2S Client Netzwerk Netzwerk Zoneneinstellungen Schaltfläche Zone hinzufügen
Um die DNS Anfragen in den WireGuard Tunnel routen zu können, muss auf der UTM eine neue Interface-Zone angelegt werden.

Beschriftung	Wert	Beschreibung	Zone hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkZoneneinstellungen Dialog Zone hinzufügen mit Flag Interface
Name:	WireGuard-S2S-DNS-Relay	Bezeichnung für die Interface Zone
Schnittstelle:	wg0	Die passende WireGuard-Schnittstelle wg0 auswählen
Interface:	Ein	FLAG Interface für diese Zone aktivieren
Dialog Speichern und Schließen

WireGuard Netzwerkobjekte anlegen

UTM im S2S Client Netzwerk Firewall Netzwerkobjekte
Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das WireGuard-Netz vorhanden.

Folgende Objekte sind bei Auslieferung vorkonfiguriert:	Netzwerkobjekt	zugehöriges Schnittstellen-Objekt	Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Übersicht der Netzwerkobjekte
	Internet	external-interface
	internal-network	internal-interface
nur bei min. 3 vorhandenen Schnittstellen	dmz1-network	dmz1-interface

Um das passende Netzwerkobjekt anzulegen, wird im Abschnitt Netzwerkobjekte auf die Schaltfläche Objekt hinzufügen geklickt.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	WireGuard-DNS-Relay-Interface	Bezeichnung für das WireGuard-Netzwerk
Typ:	Dynamische Schnittstelle	Dynamische Schnittstelle auswählen
Schnittstelle:	0.0.0.0/0	diese Schnittstelle auswählen
Zone:	WireGuard-S2S-DNS-Relay	entsprechende WireGuard Zone auswählen
Gruppen:		Eine entsprechende Gruppe kann eingetragen werden
Netzwerkobjekt und Dialog Speichern und Schließen

Regel erstellen

UTM im S2S Client Netzwerk Firewall Paketfilter Schaltfläche Regel hinzufügen Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

Beschriftung	Wert	Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Das Anlegen der Regel
Aktiv:	Ein
Quelle:	WireGuard-DNS-Relay-Interface
Ziel:	Remote-DNS-Server
Dienst:	domain-udp
Aktion:	ACCEPT
[ - ] NAT
Typ:	HIDENAT Optional, wenn Domaincontroller nicht auf Anfragen aus dem Transfernetz antworten möchte.
Netzwerkobjekt:	internal-interface
Dialog Speichern und Schließen

@@ Zeile 13: / Zeile 13: @@
 		| Abschnitt ergänzt: [[#WireGuard Transfernetz als Peernetzwerk freigeben|WireGuard Transfernetz als Peernetzwerk freigeben]]
 		| Section added: [[#Enable WireGuard transfer network as peer network|Enable WireGuard transfer network as peer network]] }}
+{{var	| neu--WG-DNS
+		| Hinweis zur [[#Zentrale_Konfiguration_im_Netzwerk_des_DNS-Servers_2 | DNS-Auflösung mit WireGuard]]
+		| Hint for [[#Central_configuration_in_the_DNS_server_network_2 | DNS resolving with WireGuard]] }}
 </div><div class="new_design"></div>{{TOC2}}{{select_lang}}
@@ Zeile 23: / Zeile 26: @@
 [[UTM/VPN/DNS_Relay_v12.3 | 12.3]]
 [[UTM/VPN/DNS_Relay_v11.7 | 11.7]]
-|{{Menu-UTM|{{#var:Anwendungen}}|Nameserver}}
+|{{Menu-UTM|Anwendungen|Nameserver}}
-|zuletzt=07.2024
+|zuletzt=10.2024
-* {{#var:neu--WireGuard Transfernetz als Peernetzwerk freigeben}} }}
+* {{#var:neu--WG-DNS}}
+* {{#var:neu--WireGuard Transfernetz als Peernetzwerk freigeben}} <small>'''07.2024'''}}
 ----
@@ Zeile 60: / Zeile 64: @@
 {{#var:DNS Relay für einen IPSec Site-to-Site Tunnel--desc}}
 </div>
 ==== {{#var:Netzwerkobjekt anlegen}} ====
@@ Zeile 68: / Zeile 73: @@
 {| class="sptable2 pd5 zh1 Einrücken"
 |-
-| rowspan=3 class="noborder bc__default top normal" | {{#var:Objekte vorkonfiguriert}}
+| rowspan="3" class="noborder bc__default top normal" | {{#var:Objekte vorkonfiguriert}}
 ! {{#var:Netzwerkobjekt}} !! {{#var:zugehöriges Schnittstellen-Objekt}}
 | class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen Übersicht--Bild}} |{{#var:Netzwerkobjekt anlegen Übersicht--cap}}||{{#var:Netzwerkobjekte}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}} }}
@@ Zeile 85: / Zeile 90: @@
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="8"| {{Bild|{{#var:Netzwerkobjekt anlegen--Bild}}| ||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+| class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt anlegen--Bild}} |||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
 | {{b|Name:}} || {{ic|{{#var:IPSec-Netzwerk}}|class=available}} || {{#var:Name--desc}}
@@ Zeile 104: / Zeile 109: @@
 <div class="Einrücken">
 {{#var:Netzwerkobjekt anlegen Speichern}}
-</div><br clear=all>
+</div>
 -->
@@ Zeile 125: / Zeile 130: @@
 |-
 | {{b|{{#var:Aktion}}: }} || {{Button|ACCEPT|dr|class=available}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" | {{Kasten|[-] NAT|class=Beschriftung}}
+| {{Kasten|[-] NAT|class=Beschriftung}}
 |-
 | {{b|{{#var:Typ}}:}} || {{Button|HIDENAT|dr|class=available}}
 |-
-| {{b|{{#var:Netzwerkobjekt}}: }} || {{ic| {{spc|interface|o|internal-interface}} |dr|class=available}}
+| {{b|{{#var:Netzwerkobjekt}}:}} || {{ic| {{spc|interface|o|internal-interface}} |dr|class=available}}
 |- class="noborder"
-| colspan="2" | {{#var:Regel erstellen Speichern}}<p>{{#var:Regel aktualisieren}}</p>
+| colspan="2" | {{#var:Regel erstellen Speichern}} <br>{{#var:Regel aktualisieren}}
 |- class="Leerzeile"
 |
 |}
 <div class="Einrücken">
 {{#var:Regel erstellen--desc2}}<br>
@@ Zeile 148: / Zeile 152: @@
 {{#var:DNS Relay für einen OpenVPN Site-to-Site Tunnel--desc}}
 </div>
 ==== {{#var:Vereinfachte Lösung}} ====
 <div class="Einrücken">
-{{#var:Vereinfachte Lösung--desc}}<br>
+{{#var:Vereinfachte Lösung--desc}}
+</div>
 ===== {{#var:WireGuard Transfernetz als Peernetzwerk freigeben}} =====
@@ Zeile 157: / Zeile 164: @@
 <div class="einrücken">
 {{#var:WireGuard Transfernetz als Peernetzwerk freigeben--desc}}
-<br clear=all></div>
+</div>
 ===== {{#var:Anlegen Netzwerkobjekt Transfernetz}} =====
 <div class="Einrücken">
 <i class="host utm"> UTM im DNS-Server Netzwerk</i>
-{{Menu-UTM|Firewall|Netzwerkobjekte}} {{#var:Kasten}} {{KastenGrau|{{#var:Netzwerkobjekte}} }} {{#var:Schaltfläche}} {{Button|{{#var:Objekt hinzufügen}}|+ }}
+{{Menu-UTM|Firewall|Netzwerkobjekte}} {{#var:Kasten}} {{Kasten|{{#var:Netzwerkobjekte}}|grau}} {{#var:Schaltfläche}} {{Button|{{#var:Objekt hinzufügen}}|+}}
-{| class="sptable2 pd5 zh1"
+</div>
+{| class="sptable2 pd5 zh1 Einrücken"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt Transfernetz--Bild}} | {{#var:Netzwerkobjekt Transfernetz--cap}} ||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+| class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt Transfernetz--Bild}} |{{#var:Netzwerkobjekt Transfernetz--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
 | {{b|Name:}} || class=mw15| {{ic|Transfer Netz|class=available}} || {{#var:Transfer Netz--desc}}
@@ Zeile 181: / Zeile 191: @@
 |
 |}
-</div>
 ===== {{#var:Netzwerkobjekt DNS-Server}} =====
 <div class="Einrücken">
-<p>{{#var:Netzwerkobjekt DNS-Server--desc}}</p>
+{{#var:Netzwerkobjekt DNS-Server--desc}}
-{{Einblenden|{{#var:Anlegen Netzwerkobjekt DNS-Server zeigen}} | {{#var:hide}} | true | dezent }}
+<br>
+{{Einblenden|{{#var:Anlegen Netzwerkobjekt DNS-Server zeigen}} | {{#var:hide}} |true|dezent}}
 <i class="host utm"> {{#var:UTM im DNS-Server Netzwerk}}</i>
-{{Menu-UTM|Firewall|Netzwerkobjekte}} {{#var:Kasten}} {{KastenGrau|{{#var:Netzwerkobjekte}} }} {{#var:Schaltfläche}} {{Button|{{#var:Objekt hinzufügen}}|+ }}
+{{Menu-UTM|Firewall|Netzwerkobjekte}} {{#var:Kasten}} {{KastenGrau|{{#var:Netzwerkobjekte}} }} {{#var:Schaltfläche}} {{Button|{{#var:Objekt hinzufügen}}|+}}
 {| class="sptable2 pd5 zh1"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt DNS-Server--Bild}} | {{#var:Netzwerkobjekt DNS-Server--cap}} ||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+| class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt DNS-Server--Bild}} |{{#var:Netzwerkobjekt DNS-Server--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
 | {{b|Name:}} || class=mw15| {{ic|DNS-Server|class=available}} || {{#var:DNS-Server--desc}}
@@ Zeile 213: / Zeile 225: @@
 ===== {{#var:Regel erstellen}} =====
 <div class="Einrücken">
-<p>{{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}}</p>
+{{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}}
 {| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
@@ Zeile 227: / Zeile 239: @@
 |}
 {{#var:Regel erstellen DNS-Netzwerk--desc}}
-</div>
+</div></div>
-</div>
 ----
-{{Hinweis-box|{{#var:Alternative}} }}
+{{Hinweis-box|Alternative}}
 ==== {{#var:Klassische Lösung}} ====
 <div class="Einrücken">
 {{#var:Klassische Lösung--desc}}
 <li class="list--element__alert list--element__hint">{{#var:Klassische Lösung--Hinweis}}</li>
+</div>
 ===== {{#var:Zone anlegen}} =====
 <div class="einrücken">
-<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i> {{Menu-UTM|Netzwerk|Zoneneinstellungen}}<br>
+<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i>
+{{Menu-UTM|Netzwerk|Zoneneinstellungen}}<br>
 {{#var:Zone anlegen--desc}}
 </div>
@@ Zeile 270: / Zeile 286: @@
 | class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen Übersicht--Bild}} |{{#var:Netzwerkobjekt anlegen Übersicht--cap}}||{{#var:Netzwerkobjekte}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}} }}
 |-
-| {{ic| {{spc|world|o|Internet}} |class=available}} ||  {{ic| {{spc|interface|o|external-interface}} |class=available}}
+| {{ic| {{spc|world|o|Internet}} |class=available}} || {{ic| {{spc|interface|o|external-interface}} |class=available}}
 |-
 | {{ic| {{spc|network|o|internal-network}} |class=available}} || {{ic| {{spc|interface|o|internal-interface}} |class=available}}
@@ Zeile 303: / Zeile 319: @@
 ===== {{#var:Open-VPN Regel erstellen}} =====
 <div class="einrücken">
-<p><i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i> {{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}}</p>
+<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i> {{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}}<br>
 {{#var:Regel erstellen--desc}}
 </div>
@@ Zeile 320: / Zeile 336: @@
 |-
 | {{b|{{#var:Aktion}}: }} || {{Button|ACCEPT|dr|class=available}}
+|- class="Leerzeile"
+| {{Kasten|[-] NAT|class=Beschriftung}}
 |-
-| class="Leerzeile" | {{Kasten|[-] NAT|class=Beschriftung}}
+| {{b|{{#var:Typ}}:}} || {{Button|HIDENAT|dr|class=available}}<br> {{#var:Regel erstellen Open VPN NAT--desc}}
-|-
-|{{b|{{#var:Typ}}:}} || {{Button|HIDENAT|dr|class=available}}<br> {{#var:Regel erstellen Open VPN NAT--desc}}
 |-
 | {{b|{{#var:Netzwerkobjekt}}: }} || {{ic| {{spc|interface|o|internal-interface}} |dr|class=available}}
@@ Zeile 331: / Zeile 347: @@
 |
 |}
-</div>
 ----
@@ Zeile 342: / Zeile 355: @@
 </div>
-<!-- *************** WireGuard ****************** -->
 ==== {{#var:Vereinfachte Lösung}} ====
 <div class="Einrücken">
 {{#var:Vereinfachte Lösung--desc}}<br>
+{{Hinweis-box| {{#var:WireGuard Adresse-Transfernetz--Hinweis}}|g|fs__icon=em2}}
 <!--
@@ Zeile 352: / Zeile 365: @@
 <div class="Einrücken">
 <i class="host utm"> UTM im DNS-Server Netzwerk</i> {{Menu-UTM|Netzwerk|Zoneneinstellungen|{{#var:Zonen}}|{{#var:Zone hinzufügen}}|+}}
+</div>
 {| class="sptable2 pd5 zh1"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
 | class="Bild" rowspan="5" | {{Bild|{{#var:WireGuard Zone--Bild}}|{{#var:WireGuard Zone--cap}} ||{{#var:Zone hinzufügen}}|{{#var:Netzwerk}}|{{#var:Zoneneinstellungen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
-| {{b|{{#var:Name}} }} || class=mw15| {{ic|wg-zone|class=available}} || {{#var:WireGuard Zone Name--desc}}
+| {{b|Name:}} || class=mw15| {{ic|wg-zone|class=available}} || {{#var:WireGuard Zone Name--desc}}
 |-
 | | {{b|{{#var:Schnittstelle}}:}} || {{Button|wg0|dr|class=available}} || {{#var:WireGuard Adresse-Transfernetz--desc}}
@@ Zeile 364: / Zeile 378: @@
 |
 |}
-</div>
 -->
@@ Zeile 371: / Zeile 384: @@
 <i class="host utm"> UTM im DNS-Server Netzwerk</i>
 {{Menu-UTM|Firewall|Netzwerkobjekte}} {{#var:Kasten}} {{KastenGrau|{{#var:Netzwerkobjekte}} }} {{#var:Schaltfläche}} {{Button|{{#var:Objekt hinzufügen}}|+ }}
-{| class="sptable2 pd5 zh1"
+</div>
+{| class="sptable2 pd5 zh1 Einrücken"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
 | class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt WG Transfernetz--Bild}} | {{#var:Netzwerkobjekt WGH Transfernetz--cap}} ||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
@@ Zeile 389: / Zeile 404: @@
 |
 |}
-</div>
 ===== {{#var:Netzwerkobjekt DNS-Server}} =====
 <div class="Einrücken">
-<p>{{#var:Netzwerkobjekt DNS-Server--desc}}</p>
+{{#var:Netzwerkobjekt DNS-Server--desc}}
-{{Einblenden|{{#var:Anlegen Netzwerkobjekt DNS-Server zeigen}} | {{#var:hide}} | true | dezent }}
+<br>
+{{Einblenden|{{#var:Anlegen Netzwerkobjekt DNS-Server zeigen}} | {{#var:hide}} |true|dezent}}
 <i class="host utm"> {{#var:UTM im DNS-Server Netzwerk}}</i>
 {{Menu-UTM|Firewall|Netzwerkobjekte}} {{#var:Kasten}} {{KastenGrau|{{#var:Netzwerkobjekte}} }} {{#var:Schaltfläche}} {{Button|{{#var:Objekt hinzufügen}}|+ }}
-{| class="sptable2 pd5 zh1"
+</div>
+{| class="sptable2 pd5 zh1 Einrücken"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
 | class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt DNS-Server--Bild}} | {{#var:Netzwerkobjekt DNS-Server--cap}} ||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
-| {{b|Name:}} || class=mw15| {{ic|DNS-Server|class=available}} || {{#var:DNS-Server--desc}}
+| {{b|Name:}} || class=mw15 | {{ic|DNS-Server|class=available}} || {{#var:DNS-Server--desc}}
 |-
 | {{b|{{#var:Typ}}:}} || {{Button|Host|dr|class=available}} || {{#var:DNS-Server--Typ--desc}}
@@ Zeile 416: / Zeile 434: @@
 |}
 </div></span></span>
-</div>
 ===== {{#var:Regel erstellen}} =====
 <div class="Einrücken">
-<p><i class="host utm"> {{#var:UTM im DNS-Server Netzwerk}}</i> {{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}}</p>
+<i class="host utm"> {{#var:UTM im DNS-Server Netzwerk}}</i> {{Menu-UTM|Firewall|{{#var:Paketfilter}}||{{#var:Regel hinzufügen}}|+}}
 {| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
@@ Zeile 435: / Zeile 452: @@
 |}
 {{#var:Regel erstellen DNS-Netzwerk--desc}}
-</div>
 </div>
-<!-- ****************** /WireGuard ***************** -->
 ----
-{{Hinweis-box|{{#var:Alternative}} }}
+{{Hinweis-box|Alternative}}
 ==== {{#var:Klassische Lösung}} ====
-<div class="Einrücken">{{#var:Klassische Lösung--desc}}
+<div class="Einrücken">
+{{#var:Klassische Lösung--desc}}
+</div>
 ===== {{#var:Zone anlegen}} =====
 <div class="einrücken">
-<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i> {{Menu-UTM|Netzwerk|Zoneneinstellungen||Zone hinzufügen|+}}<br>
+<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i>
+{{Menu-UTM|Netzwerk|Zoneneinstellungen||Zone hinzufügen|+}}<br>
 {{#var:WireGuard Zone anlegen--desc}}
 </div>
@@ Zeile 471: / Zeile 488: @@
 ===== {{#var:WireGuard Netzwerkobjekte anlegen}} =====
 <div class="einrücken">
-<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i> {{Menu-UTM|Firewall|Netzwerkobjekte}}<br>
+<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i>
+{{Menu-UTM|Firewall|Netzwerkobjekte}}<br>
 {{#var:WireGuard Netzwerkobjekt anlegen--desc}}
 </div>
 {| class="sptable2 pd5 zh1 Einrücken"
 |-
-| rowspan=3 class="noborder bc__default top normal" | {{#var:Objekte vorkonfiguriert}}
+| rowspan="3" class="noborder bc__default top normal" | {{#var:Objekte vorkonfiguriert}}
 ! {{#var:Netzwerkobjekt}} !! {{#var:zugehöriges Schnittstellen-Objekt}}
 | class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen Übersicht--Bild}} |{{#var:Netzwerkobjekt anlegen Übersicht--cap}}||{{#var:Netzwerkobjekte}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}} }}
@@ Zeile 515: / Zeile 532: @@
 ===== {{#var:Open-VPN Regel erstellen}} =====
 <div class="einrücken">
-<p><i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i> {{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}}</p>
+<i class="host utm"> {{#var:UTM im S2S Client Netzwerk}}</i> {{Menu-UTM|Firewall|{{#var:Paketfilter}}||{{#var:Regel hinzufügen}}|+}}
 {{#var:Regel erstellen--desc}}
 </div>
@@ Zeile 532: / Zeile 549: @@
 |-
 | {{b|{{#var:Aktion}}:}} || {{Button|ACCEPT|dr|class=available}}
+|- class="Leerzeile"
+| {{Kasten|[ - ] NAT}}
 |-
-| class="Leerzeile" | {{Kasten|[ - ] NAT}}
+| {{b|{{#var:Typ}}:}} || {{Button|HIDENAT|dr|class=available}}<br>{{#var:Regel erstellen Open VPN NAT--desc}}
-|-
-|{{b|{{#var:Typ}}:}} || {{Button|HIDENAT|dr|class=available}}<br>{{#var:Regel erstellen Open VPN NAT--desc}}
 |-
 | {{b|{{#var:Netzwerkobjekt}}: }} || {{ic| {{spc|interface|o|internal-interface}} |dr|class=available}}
@@ Zeile 543: / Zeile 560: @@
 |
 |}
+<br clear=all>
-</div>