Wechseln zu:Navigation, Suche
Wiki

Ethernet-Bridge

Aus Securepoint Wiki




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden


















































Konfiguration einer Bridge im Zusammenhang mit Eth-Schnittstellen

Letzte Anpassung zur Version: 11.8.7

Neu:
  • Layoutanpassung
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → Netzwerk →Netzwerkkonfiguration


Einleitung

Eine Bridge (Netzwerkbrücke) verbindet zwei physikalische Netzwerke zu einem gemeinsamen Netz.
Die so zusammengeschlossenen Schnittstellen haben eine IP und die IP-Adressen der angeschlossenen Geräte liegen im selben Subnetz.

notempty

Die Firewall darf nicht über diejenige Schnittstelle administriert werden, die zu einer Bridge hinzugefügt werden soll!

Die Verbindung zum Admin-Interface fällt weg, sobald die IP-Adresse von der Schnittstelle entfernt wird, über die gerade auf die UTM zugegriffen wird.
Wenn alle verfügbaren internen Schnittstellen zu einer Bridge hinzugefügt werden (z. B. A1 und A2 bei einer Black Dwarf), muss der Zugriff auf die Firewall von außen über A0 erfolgen.

  • Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist über eine Bridge nicht möglich.
    Lösung: Eine Forward-Zone im Nameserver der UTM einrichten. Dafür muss die UTM als Nameserver für die internen Clients konfiguriert sein. Dann verweist die externe URL, die von Intern aufgerufen wird, direkt auf den Internen Ziel-Server.
    Eine Anleitung zum einrichten der Forward-Zone befindet sich unter Forward-Zone im Nameserver Wiki.

  • Die Bridge ist vollständig Layer 2 kompatibel. Broadcast-Pakete werden z.B. transparent an alle Schnittstellen innerhalb der Bridge weitergeleitet.


    • Administrations-Zugang vorbereiten

    • Schnittstelle auf der Firewall identifizieren, die nicht gebridged werden soll.
    • Im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen IP-Adressen vorhandene IP-Adresse dieser Schnittstelle notieren oder zuweisen (z.B. 10.0.10.1/24 oder 10.10.10.193/29).
    • Freie IP-Adresse aus dem zugehörigen Netzwerk finden.
    • Diese IP-Adresse oder das gesamte zugehörige Netzwerk (z.B. 10.0.10.0/24 oder 10.10.10.192/29) im Menü Netzwerk Servereinstellungen  Bereich Administration hinzufügen und damit zur Administration berechtigen.
    • Zugang auf der gewählten Schnittstelle über diese IP-Adresse bzw. dieses Netzwerk herstellen (z.B.: 10.0.10.1:11115 oder 10.10.10.193:11115).


    Schnittstellen vorbereiten

    [[Datei: |hochkant=2|mini|IP-Adresse entfernen ]]

    Als erstes werden alle IP-Adressen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
    Menü Netzwerk Netzwerkkonfiguration in der entsprechenden Schnittstelle → Reiter IP-Adressen.
    Entfernen der IP Adressen. Im Beispiel »192.168.100.1/24 mit Klick auf
    Es darf auf keinen Fall die IP-Adresse entfernt werden, über die der aktuelle Zugriff erfolgt!


    [[Datei: |hochkant=2|mini|Zonen entfernen ]]

    Im Zweiten Schritt werden alle Zonen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
    Menü Netzwerk Netzwerkkonfiguration in der entsprechenden Schnittstelle → Reiter Zonen.
    Entfernen der Zonen mit Klick auf . Im Beispiel »dmz1 »firewall-dmz1.
    Anschließend speichern mit Speichern.
     Es darf auf keinen Fall die Zone entfernt werden, über die der aktuelle Zugriff erfolgt!














    Ausgangslage Schnittstellen
    Vorbereitete Schnittstellen


    Bridge erstellen

    Im Beispiel sollen die Schnittstellen A1 und A2 zu einer DMZ zusammengefasst werden.
    Start des Assistenten im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen Schaltfläche + Bridge.


    Schritt 1

    Schritt 1
    Beschriftung Wert Beschreibung [[Datei: ]]
    Name: bridge0 Name der Bridge-Schnittstelle
    IP-Adresse: 10.50.50.1/24 Beispiel-IP Adresse der Bridge-Schnittstelle
    || ||

    Schritt 2

    Schritt 2
    Schnittstellen: »eth2 »eth3 Schnittstellen, die zusammengefasst werden sollen. In der Klick-Box können zur Verfügung stehende Schnittstellen ausgewählt werden.

    Schritt 3

    Schritt 3
    Zonen: »dmz1 »firewall-dmz1 »dmz1_v6 »firewall-dmz1_v6 Zonen, die mit dem Bridge-Interface verknüpft werden sollen.
    In unserem Beispiel dmz1 und firewall-dmz1.     		[[Datei: ]]
    Neue Zone hinzufügen: dmz2 Bei Aktivierung kann der Bridge alternativ oder zusätzlich eine neue Zone hinzugefügt werden.
    Regeln generieren: Es werden automatisch Paketfilterregeln für die neue Zone erstellt.
    Diese Regeln erlauben zunächst jedweden Netzwerkverkehr der Bridge ins Internet (any-Regeln) und müssen unbedingt durch angepasste Regeln ersetzt werden!
    Fertig Schließt die Einrichtung der Bridge ab.
    Konfigurierte Bridge



    [[Datei: |hochkant=2|mini|]]




    Name: all-dmz [[Datei: ]]
    Typ:
    Adresse: 0.0.0.0/0
    Zone: dmz1



    [[Datei: |hochkant=2|mini| ]]


    # Quelle Ziel Dienst NAT Aktion Aktiv
    4 all-dmz all-dmz any Accept Ein


    Der Netzwerkverkehr zu anderen Netzwerken (intern oder extern) sollte dann mit Regeln beschränkt werden, die mit den Netzwerkobjekten arbeiten, die der Zone der Bridge zugeordnet sind.
    # Quelle Ziel Dienst NAT Aktion Aktiv
    4 dmz1-network internet ftp HNE Accept Ein



    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/Bridge-Ethernet&oldid=85480