Wechseln zu:Navigation, Suche
Wiki

Ethernet-Bridge

Version vom 15. Januar 2024, 15:34 Uhr von Marcels (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/NET/Bridge-Ethernet|pre=12.6.0}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | Ethernet-Bridge | Ethernet-Bridge }} {{var | head | Konfiguration einer Bridge im Zusammenhang mit Eth-Schnittstellen | Configuration of a bridge in connection with eth interfaces }} {{var | Einleitung | Einleitung | Introduction }} {{var | Einleitung--desc | Eine Bridge (Netzwerkbrücke) verbindet zwe…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht




















































  • The network objects are assigned to the interface bridge-name. }}












De.png
En.png
Fr.png








Konfiguration einer Bridge im Zusammenhang mit Eth-Schnittstellen
Letzte Anpassung zur Version: 11.8.7
Neu:
  • Layoutanpassung
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → Netzwerk →Netzwerkkonfiguration


Einleitung

Eine Bridge (Netzwerkbrücke) verbindet zwei physikalische Netzwerke zu einem gemeinsamen Netz.
Die so zusammengeschlossenen Schnittstellen haben eine IP und die IP-Adressen der angeschlossenen Geräte liegen im selben Subnetz.

Die Firewall darf nicht über diejenige Schnittstelle administriert werden, die zu einer Bridge hinzugefügt werden soll!

Die Verbindung zum Admininterface fällt weg, sobald die IP-Adresse von der Schnittstelle entfernt wird, über die gerade auf die UTM zugegriffen wird.
Sollen alle verfügbaren internen Schnittstellen zu einer Bridge hinzugefügt werden (z. B. eth1 und eth2 bei einer Black Dwarf), muss der Zugriff auf die Firewall von außen über eth0 erfolgen.

Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist über eine Bridge nicht möglich.
Abhilfe könnte hierbei die Einrichtung einer Forward-Zone im Nameserver der UTM schaffen, sofern die UTM als Nameserver für die internen Clients eingerichtet ist. In diesem Fall verweist die externe URL, die von Intern aufgerufen wird, direkt auf den Internen Ziel-Server.
Eine Anleitung zum einrichten der Forward-Zone befindet sich unter Forward-Zone im Nameserver Wiki.



Administrations-Zugang vorbereiten

  • Schnittstelle auf der Firewall identifizieren, die nicht gebridged werden soll
  • Im Menü → Netzwerk →Netzwerkkonfiguration IP-Adressen vorhandene IP-Adresse dieser Schnittstelle notieren oder zuweisen (z.B. 10.0.10.1/24 oder 10.10.10.193/29).
  • Freie IP-Adresse aus dem zugehörigen Netzwerk finden.
  • Diese IP-Adresse oder das gesamte zugehörige Netzwerk (z.B. 10.0.10.0/24 oder 10.10.10.192/29) im Menü → Netzwerk →Servereinstellungen Reiter Administration IP / Netzwerk hinzufügen hinzufügen und damit zur Administration berechtigen
  • Zugang auf der gewählten Schnittstelle über diese IP-Adresse bzw. dieses Netzwerk herstellen (z.B.: 10.0.10.1:11115 oder 10.10.10.193:11115)


Schnittstellen vorbereiten

IP-Adresse entfernen
 Als erstes werden alle IP-Adressen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
→ Netzwerk →Netzwerkkonfiguration in der entsprechenden Schnittstelle → Reiter IP-Adressen.
Entfernen der IP Adressen. Im Beispiel »192.168.100.1/24 mit Klick auf
Es darf auf keinen Fall die IP-Adresse entfernt werden, über die der aktuelle Zugriff erfolgt!


Zonen entfernen
 Im Zweiten Schritt werden alle Zonen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.
→ Netzwerk →Netzwerkkonfiguration in der entsprechenden Schnittstelle → Reiter Zonen.
Entfernen der Zonen mit Klick auf . Im Beispiel »dmz1 »firewall-dmz1 »dmz1_v6 »interface-dmz1_v6
Anschließend Speichern
 Es darf auf keinen Fall die IP-Adresse entfernt werden, über die der aktuelle Zugriff erfolgt!

Anschließend Speichern


UTM v11.8.7 Netzwerk Konfiguration Schnittstelleneth.png
Ausgangslage Schnittstellen
UTM v11.8.7 Netzwerk Konfiguration Schnittstellen2eth.png
Vorbereitete Schnittstellen















Bridge erstellen

Im Beispiel sollen die Schnittstellen eth2 und eth3 zu einer DMZ zusammengefasst werden.
Start des Assistenten im Menü → Netzwerk →NetzwerkkonfigurationReiter Netzwerkschnittstellen Schaltfläche + Bridge


Schritt 1

Schritt 1
Beschriftung Wert Beschreibung UTM v11.8.7 Netzwerk Schnittstellen Bridge-1.png
Name: bridge0 Name der Bridge-Schnittstelle
IP-Adresse: 10.50.50.1/24 Beispiel-IP Adresse der Bridge-Schnittstelle
STP aktivieren: Aus Zusätzlich kann das Spanning Tree Protokoll aktiviert werden.
Das Spanning Tree Protocol verhindert in Netzwerken mit mehreren Switches parallele Verbindungen und vermeidet dadurch unerwünscht kreisende Pakete

Schritt 2

Schritt 2
Schnittstellen: »eth2 »eth3 Schnittstellen, die zusammengefasst werden sollen. In der Klick-Box können zur Verfügung stehende Schnittstellen ausgewählt werden. UTM v11.8.7 Netzwerk Schnittstellen Bridge-2.png

Schritt 3

Schritt 3
Zonen: »dmz1 »firewall-dmz1 »dmz1_v6 »firewall-dmz1_v6 Zonen, die mit dem Bridge-Interface verknüpft werden sollen.
In unserem Beispiel dmz1, firewall-dmz1 sowie dmz1_v6 und firewall-dmz1_v6. 		UTM v11.8.7 Netzwerk Schnittstellen Bridge-3.png
Neue Zone hinzufügen: Aus dmz2 Bei Aktivierung Ein kann der Bridge alternativ, oder zusätzlich, eine neue Zone hinzugefügt werden.
Regeln generieren: Aus Es werden automatisch Portfilterregeln für die neue Zone erstellt.
 Diese Regeln erlauben zunächst jedweden Netzwerkverkehr (any-Regeln) und müssen unbedingt durch angepasste Regeln ersetzt werden!
Fertig Schließt den Vorgang ab
Konfigurierte Bridge UTM v11.8.7 Netzwerk Konfiguration Schnittstellen3eth.png



Netzwerkobjekte anpassen

UTM v11.8.7 Firewall Portfilter Netzwerkobjekte Bridge.png

Nach der Einrichtung der Schnittstelle müssen diejenigen Netzwerkobjekte angepasst werden, deren Zonen der Bridge zugeordnet wurden. Dort muss als Schnittstelle die Bridge eingetragen werden.
Unter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche für jedes Netzwerkobjekt, das zur Bridge gehört.
Schnittstelle auf bridge0 ändern.
Für automatisch angelegte Zonen kann dieser Schritt übersprungen werden:

  • Für diese Zonen werden jeweils zwei neue Netzwerkobjekte angelegt:
  • Die Netzwerkobjekte werden jeweils mit einer Zone verknüpft:
    • zone-interface mit der Zone firewall-zone und
    • zone-network mit der Zone zone
  • Die Netzwerkobjekte werden der Schnittstelle bridge-name zugeordnet.


 Verwaiste Netzwerkobjekte, deren Zonen nun keiner eigenständigen Schnittstelle mehr zugeordnet sind, sollten entfernt werden.


Portfilterregel einrichten

Es wird noch eine Portfilterregel benötigt, die den Netzwerkverkehr zwischen den Schnittstellen, zur Bridge gehören ermöglicht.
Dazu wird ein neues Netzwerkobjekt angelegt.

Name: all-dmz Eindeutigen Namen vergeben UTM v12.3.5 Firewall Portfilter Netzwerkobjekte hinzufügen.png
Typ: Netzwerk (Adresse) Passenden Typen wählen
Adresse: 0.0.0.0/0 Jedweder Netzwerkverkehr soll möglich sein.
Zone: dmz1 Zone, die mit der Bridge verknüpft ist.



Portfilterregel für die Bridge
 Zum Schluss muss nur noch die Portfilterregel mit dem gerade erstellten Netzwerkobjekt angelegt werden.
 An dieser Stelle darf tatsächlich eine any-Regel verwendet werden, damit die Schnittstellen untereinander vollständig kommunizieren können.
# Quelle Ziel Dienst NAT Aktion
Dragndrop.png 4 World.svg all-dmz World.svg all-dmz Other.svg any Accept Ein


Der Netzwerkverkehr zu anderen Netzwerken (intern oder extern) soll dann mit Regeln beschränkt werden, die mit den Netzwerkobjekten arbeiten, die der Zone der Bridge zugeordnet sind.
# Quelle Ziel Dienst NAT Aktion
Dragndrop.png 4 Vpn-network.svg dmz1-network World.svg internet Tcp.svg ftp HNE Accept Ein

Die Einrichtung der Bridge wird mit Hinzufügen und schließen Regeln aktualisieren abgeschlossen.


Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/Bridge-Ethernet_v11.8&oldid=88570