Stateful Inspection

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Stateful Inspection

Beitragvon svenschmi » Mi 07.09.2005 - 12:29

Hallo an alle Firewall-Experten.
Ich setze einen Vigor 2900 ein und nutze einen IPSec-Tunnel, der wegen der Konstellation ohne NAT eingerichtet ist.
Wenn dieser Tunnel steht, ist mein internes Netzwerk somit für die Gegenseite sichtbar.
Kann ich die Firewall im Vigor so konfigurieren, dass er von der Gegenseite nur angeforderte Pakete zulässt und nicht neue Anfragen? (Also Stateful Inspection).

Vielen Dank!

Gruß
Sven
svenschmi
Grünschnabel
 
Beiträge: 8
Registriert: Mi 07.09.2005 - 12:22

Beitragvon nobody » Mi 07.09.2005 - 14:39

Müsste es dazu nicht ausreichend sein, im VPN profil unten rechts:
"For Nat operation, treat remote sub-net as:" Public-IP
anzukreuzen ?
Zuletzt geändert von nobody am Mi 07.09.2005 - 17:04, insgesamt 1-mal geändert.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon svenschmi » Mi 07.09.2005 - 15:28

Sorry, aber diesen Punkt finde ich nicht...
svenschmi
Grünschnabel
 
Beiträge: 8
Registriert: Mi 07.09.2005 - 12:22

Beitragvon nobody » Mi 07.09.2005 - 17:07

Was steht denn bei Dir unten rechts, bei punkt 4.

RIP Direction
RIP Version
For NAT operation, treat remote sub-net as

(selbst wenn Du einen deutschsprachige Firmware hast, solltest Du das finden können)
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon svenschmi » Mi 07.09.2005 - 21:18

Combo-Boxen:

RIP Pakete tauschen (Alle / Nur senden / Nur empfangen / Aus)
RIP Version (Ver.1 / Ver.2)
NAT Einstellung (NAT Ein / NAT Aus)

Checkbox:
Anfragen ins Internet über diesen VPN-Tunnel leiten(Default Route).
svenschmi
Grünschnabel
 
Beiträge: 8
Registriert: Mi 07.09.2005 - 12:22

Beitragvon nobody » Mi 07.09.2005 - 21:48

Na dann,
Nat anmachen.

Dann sind nur ausgehende Verbindungen möglich bzw. eingehende Verbindungen werden nur aufgrund von ausgehenden Verbindungen akzeptiert.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon svenschmi » Do 08.09.2005 - 08:29

Das mit dem NAT ist mir schon klar. Aber der Router hängt hinter einer Firewall die NAT macht und wenn man im Tunnel NAT aktiviert, ist keine Kommunikation möglich. Irgendwie scheint er das mit dem doppelten NAT nicht zu mögen...
Deshalb ohne NAT aber sichtbares interne Netz. Und deshalb wäre Stateful Inspection ein Traum :wink:
svenschmi
Grünschnabel
 
Beiträge: 8
Registriert: Mi 07.09.2005 - 12:22

Beitragvon nobody » Do 08.09.2005 - 13:47

Kannst Du bitte nochmals genau erläutern, wie dein Internet-zugang beschaffen ist, und welche Rolle der Vigor Router dabei spielt ?
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon svenschmi » Fr 09.09.2005 - 17:12

Standleitung mit Firewall und NAT.
Der Vigor soll aus dem internen Netzwerk über das Netzwerk / Firewall / Internet einen IPSec-Tunnel mit NAT aufbauen. Lässt man NAT an, kommen keine Daten zurück. Macht man NAT aus, funktioniert es...aber eigentlich will ich NAT oder alternativ Stateful Inspection.
svenschmi
Grünschnabel
 
Beiträge: 8
Registriert: Mi 07.09.2005 - 12:22

Beitragvon nobody » Fr 09.09.2005 - 23:53

Die Frage mag zwar etwas am Thema vorbeigehen aber:
Warum hängt der Vigor nicht an der Standleitung bzw. Warum kann der Firewall kein VPN ?
Wäre das nicht einfacher auf einen Teil der Geräte zu verzichten ?
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon svenschmi » So 11.09.2005 - 20:39

Der Draytek hängt nicht an der Standleitung, weil er meiner Ansicht nach nicht den Anforderungen einer Firewall entspricht und die Konfigurationsmöglichkeiten entsprechend begrenzt sind.
Die Firewall kann sicherlich VPN, aber der Betreiber des Tunnelendes schreibt leider die Kommunikationskomponente vor und dies ist nunmal der Vigor.
Aber wie gesagt sind die Konfigurationsmöglichkeiten eindeutig begrenzt und ich muss wohl ohne NAT / Stateful Inspection auskommen wenn ich den Vigor nicht zusätzlich zur Firewall direkt ins Internet hängen will..... :(
svenschmi
Grünschnabel
 
Beiträge: 8
Registriert: Mi 07.09.2005 - 12:22


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste