Konfiguration einer Bridge im Zusammenhang mit Eth-Schnittstellen
Letzte Anpassung zur Version: 11.8.7
Neu:
- Layoutanpassung
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Einleitung
Eine Bridge (Netzwerkbrücke) verbindet zwei physikalische Netzwerke zu einem gemeinsamen Netz.
Die so zusammengeschlossenen Schnittstellen haben eine IP und die IP-Adressen der angeschlossenen Geräte liegen im selben Subnetz.
notempty
Die Verbindung zum Admininterface fällt weg, sobald die IP-Adresse von der Schnittstelle entfernt wird, über die gerade auf die UTM zugegriffen wird.
Sollen alle verfügbaren internen Schnittstellen zu einer Bridge hinzugefügt werden (z. B. A1 und A2 bei einer Black Dwarf), muss der Zugriff auf die Firewall von außen über A0 erfolgen. Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist über eine Bridge nicht möglich.
Abhilfe könnte hierbei die Einrichtung einer Forward-Zone im Nameserver der UTM schaffen, sofern die UTM als Nameserver für die internen Clients eingerichtet ist. In diesem Fall verweist die externe URL, die von Intern aufgerufen wird, direkt auf den Internen Ziel-Server.
Eine Anleitung zum einrichten der Forward-Zone befindet sich unter Forward-Zone im Nameserver Wiki.
Die so zusammengeschlossenen Schnittstellen haben eine IP und die IP-Adressen der angeschlossenen Geräte liegen im selben Subnetz.
notempty
Die Firewall darf nicht über diejenige Schnittstelle administriert werden, die zu einer Bridge hinzugefügt werden soll!
Die Verbindung zum Admininterface fällt weg, sobald die IP-Adresse von der Schnittstelle entfernt wird, über die gerade auf die UTM zugegriffen wird.
Sollen alle verfügbaren internen Schnittstellen zu einer Bridge hinzugefügt werden (z. B. A1 und A2 bei einer Black Dwarf), muss der Zugriff auf die Firewall von außen über A0 erfolgen. Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist über eine Bridge nicht möglich.
Abhilfe könnte hierbei die Einrichtung einer Forward-Zone im Nameserver der UTM schaffen, sofern die UTM als Nameserver für die internen Clients eingerichtet ist. In diesem Fall verweist die externe URL, die von Intern aufgerufen wird, direkt auf den Internen Ziel-Server.
Eine Anleitung zum einrichten der Forward-Zone befindet sich unter Forward-Zone im Nameserver Wiki.
Administrations-Zugang vorbereiten
- Schnittstelle auf der Firewall identifizieren, die nicht gebridged werden soll.
- Im Menü Bereich Netzwerkschnittstellen IP-Adressen vorhandene IP-Adresse dieser Schnittstelle notieren oder zuweisen (z.B. 10.0.10.1/24 oder 10.10.10.193/29).
- Freie IP-Adresse aus dem zugehörigen Netzwerk finden.
- Diese IP-Adresse oder das gesamte zugehörige Netzwerk (z.B. 10.0.10.0/24 oder 10.10.10.192/29) im Menü Bereich Administration hinzufügen und damit zur Administration berechtigen.
- Zugang auf der gewählten Schnittstelle über diese IP-Adresse bzw. dieses Netzwerk herstellen (z.B.: 10.0.10.1:11115 oder 10.10.10.193:11115).
Schnittstellen vorbereiten
[[Datei: |hochkant=2|mini|IP-Adresse entfernen ]]
Als erstes werden alle IP-Adressen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.Menü → in der entsprechenden Schnittstelle → Reiter IP-Adressen.
Entfernen der IP Adressen. Im Beispiel » ✕192.168.100.1/24 mit Klick auf
Es darf auf keinen Fall die IP-Adresse entfernt werden, über die der aktuelle Zugriff erfolgt!
[[Datei: |hochkant=2|mini|Zonen entfernen ]]
Im Zweiten Schritt werden alle Zonen von den Schnittstellen, die für die Bridge verwendet werden sollen, entfernt.Menü → in der entsprechenden Schnittstelle → Reiter Zonen.
Entfernen der Zonen mit Klick auf . Im Beispiel » ✕dmz1 » ✕firewall-dmz1.
Anschließend speichern mit Speichern.
Es darf auf keinen Fall die Zone entfernt werden, über die der aktuelle Zugriff erfolgt!
Ausgangslage Schnittstellen
Vorbereitete Schnittstellen
Bridge erstellen
Im Beispiel sollen die Schnittstellen A1 und A2 zu einer DMZ zusammengefasst werden.
Start des Assistenten im Menü Bereich Netzwerkschnittstellen Schaltfläche .
Schritt 1Schritt 1
| |||
| Beschriftung | Wert | Beschreibung | [[Datei: ]] |
|---|---|---|---|
| Name: | bridge0 | Name der Bridge-Schnittstelle | |
| IP-Adresse: | 10.50.50.1/24 | Beispiel-IP Adresse der Bridge-Schnittstelle | |
| |||
Schritt 2Schritt 2
| |||
| Schnittstellen: | » ✕eth2 » ✕eth3 | Schnittstellen, die zusammengefasst werden sollen. In der Klick-Box können zur Verfügung stehende Schnittstellen ausgewählt werden. |  |
Schritt 3 Schritt 3
| |||
| Zonen: | » ✕dmz1 » ✕firewall-dmz1 » ✕dmz1_v6 » ✕firewall-dmz1_v6 | Zonen, die mit dem Bridge-Interface verknüpft werden sollen. In unserem Beispiel dmz1 und firewall-dmz1. |
[[Datei: ]] |
| Neue Zone hinzufügen: | dmz2 | Bei Aktivierung kann der Bridge alternativ oder zusätzlich eine neue Zone hinzugefügt werden. | |
| Regeln generieren: | Es werden automatisch Paketfilterregeln für die neue Zone erstellt. Diese Regeln erlauben zunächst jedweden Netzwerkverkehr der Bridge ins Internet (any-Regeln) und müssen unbedingt durch angepasste Regeln ersetzt werden!
| ||
| Schließt die Einrichtung der Bridge ab. | |||
| Konfigurierte Bridge |  | ||
[[Datei: |hochkant=2|mini|]]
| Name: | all-dmz | [[Datei: ]] | |
| Typ: | |||
| Adresse: | 0.0.0.0/0 | ||
| Zone: | |||
[[Datei: |hochkant=2|mini| ]]
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
 |
4 |  all-dmz |
all-dmz |
 any |
Accept | Ein | |||
Der Netzwerkverkehr zu anderen Netzwerken (intern oder extern) sollte dann mit Regeln beschränkt werden, die mit den Netzwerkobjekten arbeiten, die der Zone der Bridge zugeordnet sind.
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
|
4 |  dmz1-network |
internet |
 ftp |
HNE | Accept | Ein | ||