FF-Router in einer Firewall DMZ: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
(4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
Bei handelsüblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen. | Bei handelsüblichen <abbr title="Digital Subscriber Line">DSL</abbr>-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer <abbr title="Demilitarized Zone">DMZ</abbr>, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen. | ||
Es ist sicher zu stellen, dass der FF-Router in dem jeweiligen Netzwerksegment eine IPv4 Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server definieren. Dies kann, je nach Firewall- | Es ist sicher zu stellen, dass der <abbr title="Freifunk">FF</abbr>-Router in dem jeweiligen Netzwerksegment eine <abbr title="Internet Protocol Version 4">IPv4</abbr>-Adresse von einem <abbr title="Dynamic Host Configuration Protocol">DHCP</abbr>-Server bekommt. Oft ist es der Fall, dass in einer <abbr title="Demilitarized Zone">DMZ</abbr>-Zone kein <abbr title="Dynamic Host Configuration Protocol">DHCP</abbr>-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen <abbr title="Internet Protocol">IP</abbr>-Adressbereich, erst einen <abbr title="Dynamic Host Configuration Protocol">DHCP</abbr>-Server definieren. Dies kann, je nach Firewall-Modell und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld geklärt werden. | ||
Wenn der FF-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere FF-Router in dem Firmennetz positioniert werden. | Wenn der <abbr title="Freifunk">FF</abbr>-Router nun seine intern vergebene und auch reservierte <abbr title="Internet Protocol Version 4">IPv4</abbr> bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere <abbr title="Freifunk">FF</abbr>-Router in dem Firmennetz positioniert werden. | ||
Der Freifunk-Router benötigt folgende ausgehenden Services: | Der Freifunk-Router benötigt folgende ausgehenden Services: | ||
DNS, HTTP, ICMP, und Port 10000 UDP für den VPN-Tunnel. | <abbr title="Domain Name System">DNS</abbr>, <abbr title="Hypertext Transfer Protocol">HTTP</abbr>, <abbr title="Internet Control Message Protocol">ICMP</abbr>, und Port 10000 <abbr title="User Datagram Protocol">UDP</abbr> für den <abbr title="Virtual Private Network">VPN</abbr>-Tunnel. | ||
Bei mehreren FF-Routen braucht man mehrere UDP-Ports. Ich habe in diesem Fall einfach die Ports 10000- | Bei mehreren <abbr title="Freifunk">FF</abbr>-Routen braucht man mehrere <abbr title="User Datagram Protocol">UDP</abbr>-Ports. Ich habe in diesem Fall einfach die Ports 10000-11000 eingestellt. Falls dies nicht reichen sollte, muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern. | ||
Hier ganz genau die einzelnen Service-Regeln: | Hier ganz genau die einzelnen Service-Regeln: | ||
{| class="wikitable" | |||
! Name|| Protokoll || Details | |||
|- | |||
| <abbr title="Domain Name System">DNS</abbr> || <abbr title="Transmission Control Protocol">TCP</abbr>/<abbr title="User Datagram Protocol">UDP</abbr> || TCP(1:65535)/(53), TCP(1:65535)/(53) | |||
|- | |||
| <abbr title="Hypertext Transfer Protocol">HTTP</abbr> || TCP/UDP || TCP(1:65535)/(80) | |||
|- | |||
| <abbr title="Internet Control Message Protocol">ICMP</abbr> || <abbr title="Internet Control Message Protocol">ICMP</abbr> || ICMP any/any | |||
|- | |||
| <abbr title="Freifunk">FF</abbr>-<abbr title="Virtual Private Network">VPN</abbr>-Tunnel || TCP/UDP || UDP(1:65535)/(10000-10100) | |||
|- | |||
| FF-<abbr title="Layer 2 Tunneling Protocol">L2TP</abbr>-Tunnel || TCP/UDP || UDP(1:65535)/(20000-20100) | |||
|} | |||
== Für L2TP sind folgende Ports nötig == | |||
Port 80 zu allen <abbr title="Internet Protocol">IP</abbr>s (bzw. zumindest die Server in der Hood müssten per Port 80 erreichbar sein) | |||
Eine Anleitung für Freifunk Router am | Port 20000 bis 20100 für den <abbr title="Layer 2 Tunneling Protocol">L2TP</abbr>-Tunnel | ||
Mit diesen Einstellungen konnte, in meinem Fall, der <abbr title="Freifunk">FF</abbr>-Router seinen Tunnel aufbauen und war im Netmon online und der <abbr title="Internet Protocol Version 6">IPv6</abbr>-Ping war ok. | |||
Eine Anleitung für Freifunk Router am FRITZ!Box-Gastzugang findet Ihr [[FF-Router am Gastzugang einer Fritzbox|hier]]. | |||
[[Kategorie:Technik]] | [[Kategorie:Technik]] |
Aktuelle Version vom 1. Juni 2019, 12:16 Uhr
Bei handelsüblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen.
Es ist sicher zu stellen, dass der FF-Router in dem jeweiligen Netzwerksegment eine IPv4-Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server definieren. Dies kann, je nach Firewall-Modell und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld geklärt werden.
Wenn der FF-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere FF-Router in dem Firmennetz positioniert werden.
Der Freifunk-Router benötigt folgende ausgehenden Services: DNS, HTTP, ICMP, und Port 10000 UDP für den VPN-Tunnel. Bei mehreren FF-Routen braucht man mehrere UDP-Ports. Ich habe in diesem Fall einfach die Ports 10000-11000 eingestellt. Falls dies nicht reichen sollte, muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern.
Hier ganz genau die einzelnen Service-Regeln:
Name | Protokoll | Details |
---|---|---|
DNS | TCP/UDP | TCP(1:65535)/(53), TCP(1:65535)/(53) |
HTTP | TCP/UDP | TCP(1:65535)/(80) |
ICMP | ICMP | ICMP any/any |
FF-VPN-Tunnel | TCP/UDP | UDP(1:65535)/(10000-10100) |
FF-L2TP-Tunnel | TCP/UDP | UDP(1:65535)/(20000-20100) |
Für L2TP sind folgende Ports nötig
Port 80 zu allen IPs (bzw. zumindest die Server in der Hood müssten per Port 80 erreichbar sein)
Port 20000 bis 20100 für den L2TP-Tunnel
Mit diesen Einstellungen konnte, in meinem Fall, der FF-Router seinen Tunnel aufbauen und war im Netmon online und der IPv6-Ping war ok.
Eine Anleitung für Freifunk Router am FRITZ!Box-Gastzugang findet Ihr hier.