FF-Router in einer Firewall DMZ: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Bei handelsüblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen.
Bei handelsüblichen <abbr title="Digital Subscriber Line">DSL</abbr>-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer <abbr title="Demilitarized Zone">DMZ</abbr>, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen.


Es ist sicher zu stellen, dass der FF-Router in dem jeweiligen Netzwerksegment eine IPv4 Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server definieren. Dies kann, je nach Firewall-Model und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld geklärt werden.  
Es ist sicher zu stellen, dass der <abbr title="Freifunk">FF</abbr>-Router in dem jeweiligen Netzwerksegment eine <abbr title="Internet Protocol Version 4">IPv4</abbr>-Adresse von einem <abbr title="Dynamic Host Configuration Protocol">DHCP</abbr>-Server bekommt. Oft ist es der Fall, dass in einer <abbr title="Demilitarized Zone">DMZ</abbr>-Zone kein <abbr title="Dynamic Host Configuration Protocol">DHCP</abbr>-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen <abbr title="Internet Protocol">IP</abbr>-Adressbereich, erst einen <abbr title="Dynamic Host Configuration Protocol">DHCP</abbr>-Server definieren. Dies kann, je nach Firewall-Modell und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld geklärt werden.  


Wenn der FF-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere FF-Router in dem Firmennetz positioniert werden.
Wenn der <abbr title="Freifunk">FF</abbr>-Router nun seine intern vergebene und auch reservierte <abbr title="Internet Protocol Version 4">IPv4</abbr> bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere <abbr title="Freifunk">FF</abbr>-Router in dem Firmennetz positioniert werden.


Der Freifunk-Router benötigt folgende ausgehenden Services:
Der Freifunk-Router benötigt folgende ausgehenden Services:
DNS, HTTP, ICMP, und Port 10000 UDP für den VPN-Tunnel.
<abbr title="Domain Name System">DNS</abbr>, <abbr title="Hypertext Transfer Protocol">HTTP</abbr>, <abbr title="Internet Control Message Protocol">ICMP</abbr>, und Port 10000 <abbr title="User Datagram Protocol">UDP</abbr> für den <abbr title="Virtual Private Network">VPN</abbr>-Tunnel.
Bei mehreren FF-Routen braucht man mehrere UDP-Ports. Ich habe in diesem Fall einfach die Ports 10000-10010 eingestellt. Falls dies nicht reichen sollte muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern.
Bei mehreren <abbr title="Freifunk">FF</abbr>-Routen braucht man mehrere <abbr title="User Datagram Protocol">UDP</abbr>-Ports. Ich habe in diesem Fall einfach die Ports 10000-11000 eingestellt. Falls dies nicht reichen sollte, muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern.


Hier ganz genau die einzelnen Service-Regeln:
Hier ganz genau die einzelnen Service-Regeln:


'''Name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Protocol&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Details'''
{| class="wikitable"
! Name|| Protokoll || Details
|-
| <abbr title="Domain Name System">DNS</abbr> || <abbr title="Transmission Control Protocol">TCP</abbr>/<abbr title="User Datagram Protocol">UDP</abbr> || TCP(1:65535)/(53), TCP(1:65535)/(53)
|-
| <abbr title="Hypertext Transfer Protocol">HTTP</abbr> || TCP/UDP || TCP(1:65535)/(80)
|-
| <abbr title="Internet Control Message Protocol">ICMP</abbr> || <abbr title="Internet Control Message Protocol">ICMP</abbr> || ICMP any/any
|-
| <abbr title="Freifunk">FF</abbr>-<abbr title="Virtual Private Network">VPN</abbr>-Tunnel || TCP/UDP || UDP(1:65535)/(10000-10100)
|-
| FF-<abbr title="Layer 2 Tunneling Protocol">L2TP</abbr>-Tunnel || TCP/UDP || UDP(1:65535)/(20000-20100)
|}


DNS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP(1:65535)/(53),TCP(1:65535)/(53)<br />
== Für L2TP sind folgende Ports nötig ==
HTTP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP(1:65535)/(80) <br />
ICMP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ICMP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ICMP any/any<br />
FF-VPN-Tunnel&nbsp;&nbsp;TCP/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UDP(1:65535)/(10000-11000)<br />


Mit diesen Einstellungen konnte, in meinem Fall, der FF-Router seinen Tunnel aufbauen und war im Netmon online und der IPv6 Ping war ok.
Port 80 zu allen <abbr title="Internet Protocol">IP</abbr>s (bzw. zumindest die Server in der Hood müssten per Port 80 erreichbar sein)


Eine Anleitung für Freifunk Router am Fritzbox Gastzugang findet Ihr [[FF-Router am Gastzugang einer Fritzbox|hier]].
Port 20000 bis 20100 für den <abbr title="Layer 2 Tunneling Protocol">L2TP</abbr>-Tunnel
 
Mit diesen Einstellungen konnte, in meinem Fall, der <abbr title="Freifunk">FF</abbr>-Router seinen Tunnel aufbauen und war im Netmon online und der <abbr title="Internet Protocol Version 6">IPv6</abbr>-Ping war ok.
 
Eine Anleitung für Freifunk Router am FRITZ!Box-Gastzugang findet Ihr [[FF-Router am Gastzugang einer Fritzbox|hier]].


[[Kategorie:Technik]]
[[Kategorie:Technik]]

Aktuelle Version vom 1. Juni 2019, 12:16 Uhr

Bei handelsüblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen.

Es ist sicher zu stellen, dass der FF-Router in dem jeweiligen Netzwerksegment eine IPv4-Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server definieren. Dies kann, je nach Firewall-Modell und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld geklärt werden.

Wenn der FF-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere FF-Router in dem Firmennetz positioniert werden.

Der Freifunk-Router benötigt folgende ausgehenden Services: DNS, HTTP, ICMP, und Port 10000 UDP für den VPN-Tunnel. Bei mehreren FF-Routen braucht man mehrere UDP-Ports. Ich habe in diesem Fall einfach die Ports 10000-11000 eingestellt. Falls dies nicht reichen sollte, muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern.

Hier ganz genau die einzelnen Service-Regeln:

Name Protokoll Details
DNS TCP/UDP TCP(1:65535)/(53), TCP(1:65535)/(53)
HTTP TCP/UDP TCP(1:65535)/(80)
ICMP ICMP ICMP any/any
FF-VPN-Tunnel TCP/UDP UDP(1:65535)/(10000-10100)
FF-L2TP-Tunnel TCP/UDP UDP(1:65535)/(20000-20100)

Für L2TP sind folgende Ports nötig

Port 80 zu allen IPs (bzw. zumindest die Server in der Hood müssten per Port 80 erreichbar sein)

Port 20000 bis 20100 für den L2TP-Tunnel

Mit diesen Einstellungen konnte, in meinem Fall, der FF-Router seinen Tunnel aufbauen und war im Netmon online und der IPv6-Ping war ok.

Eine Anleitung für Freifunk Router am FRITZ!Box-Gastzugang findet Ihr hier.