hallo vigor anwender,
habe einen vigor 2600 mit firmware 2.2.3 und firewall konfiguration a la michael könig von vigor-users, das heißt so viel wie möglich blockiert. habe ich den letzten filter nicht aktiviert (block out and in all), dann kann ich mit meinem banking programm (win-data) eine verbindung zum bankrechner aufbauen, schalte ich den filter an, geht nichts mehr, auch wenn ich eine filterregel sofort durchlassen für den bankserver mit port 3000 aktiviere. liegt vielleicht der denkfehler bei mir, muß ich dies statt in den filterregeln in den portumleitungen oder bei ports öffnen definieren?
vielleicht hat jemand dieses problem schon gelöst?
danke für eure antworten
hannes
TwoCom Online-Forum
Erfahrungsaustausch, Konfigurationshilfen rund um DrayTek Vigor Produkte und User unter sich.
Vigor 2600 und HBCI Banking - Port 3000 und darüber freigeben
Moderatoren: alf, Petrus, andreastc, DSL-Hexe, nobody
7 Beiträge
• Seite 1 von 1
von Petrus » Do 14.11.2002 - 12:32
nun ,dazu müsste man wissen,was du genau gemacht hast.
wenn du standard-filterregel drin hast und dein programm port 3000 braucht, musst du nur eine Portumleitung von port 3000 auf den rechner der banksoftware und port 3000 machen (mit dem richtigen Protokoll) ...
wenn du eine filterregel hast, wo alles geblockt wird, musst du natürlich dort erst einmal die anfragen auf port 3000 erlauben .....
wenn du standard-filterregel drin hast und dein programm port 3000 braucht, musst du nur eine Portumleitung von port 3000 auf den rechner der banksoftware und port 3000 machen (mit dem richtigen Protokoll) ...
wenn du eine filterregel hast, wo alles geblockt wird, musst du natürlich dort erst einmal die anfragen auf port 3000 erlauben .....
TwoCom - www.2-com.de - Die aktuellen DrayTek-Produkte bei mir! DrayTek Vigor Router
-
Petrus - Hardcore-Poster
- Beiträge: 1146
- Registriert: Fr 27.04.2001 - 13:57
- Wohnort: Berlin
von hannes11 » Do 14.11.2002 - 15:58
hallo petrus,
ich bin folgendermaßen vorgegangen:
die default sets 1 und 2 habe ich belassen, danach habe ich weitere datenfilter sets definiert, um http, https, ftp etc. durchzulassen (die sets werden in reihenfolge abgearbeitet) und am schluß steht dann der block für alles restliche (block out/in protocol any from any to any).
internet ect. funktioniert so auch. vor dem block am ende habe ich dann eine regel für hbci geschaltet in dieser form:
hbci pass protocol tcp from any port>1024 to "bankserver" port 3000. funktioniert so aber nicht, der router geht nicht mal online, wenn ich im banking programm per hbci transaktionen tätigen will...
ich bin folgendermaßen vorgegangen:
die default sets 1 und 2 habe ich belassen, danach habe ich weitere datenfilter sets definiert, um http, https, ftp etc. durchzulassen (die sets werden in reihenfolge abgearbeitet) und am schluß steht dann der block für alles restliche (block out/in protocol any from any to any).
internet ect. funktioniert so auch. vor dem block am ende habe ich dann eine regel für hbci geschaltet in dieser form:
hbci pass protocol tcp from any port>1024 to "bankserver" port 3000. funktioniert so aber nicht, der router geht nicht mal online, wenn ich im banking programm per hbci transaktionen tätigen will...
- hannes11
- User
- Beiträge: 13
- Registriert: Do 07.11.2002 - 16:50
von Petrus » Fr 15.11.2002 - 09:15
Wenn ich mich da ganz dunkel entsinne, gab es irgendwann mal einen bug ... man durfte nicht any als Protokoll dastehen haben sondern musste als Protokoll was einstellen (TCP z.B.) ..
Kannst ja das mal ausprobieren ... auch bei den vorhergehenden Regeln , die in Reihe abgearbeitet werden ...
Kannst ja das mal ausprobieren ... auch bei den vorhergehenden Regeln , die in Reihe abgearbeitet werden ...
TwoCom - www.2-com.de - Die aktuellen DrayTek-Produkte bei mir! DrayTek Vigor Router
-
Petrus - Hardcore-Poster
- Beiträge: 1146
- Registriert: Fr 27.04.2001 - 13:57
- Wohnort: Berlin
von hannes11 » Fr 15.11.2002 - 16:56
nun geht es doch! nach einem reset des routers greift die regel, aber nur, wenn ich schon online bin, wählt sich der router erst aufgrund des banking programmes ein, klappts nicht. aber damit kann ich leben... 
- hannes11
- User
- Beiträge: 13
- Registriert: Do 07.11.2002 - 16:50
von defence » So 17.11.2002 - 12:52
Die geschilderten Probleme können, müssen aber nicht mit der Firewall zusammenhängen. Ich würde folgendes probieren:
1. Sicherstellen, dass nicht ein Call-Filter die Verbindung verhindert (u.U. alle Call-Filter probeweise deaktivieren).
2. Zeitlimit-Probleme untersuchen: Ich kenne zwar Dein Banking-Programm nicht und arbeite auch nicht mit HBCI, habe aber ähnliche Schwierigkeiten mit anderen Programmen, u.a. mit Outlook Express und t-onlineBanking. Diese Programme arbeiten bei mir völlig einwandfrei, wenn ich sie bei bestehender Verbindung starte, produzieren aber manchmal (nicht immer) eine Fehlermeldung, wenn die Verbindung erst noch hergestellt werden muss. Bei mir hängt dies ausschließlich damit zusammen, dass die Programme einen Timer einprogrammiert haben und mit einer Fehlermeldung reagieren, wenn die Verbindung nicht innerhalb einer bestimmten Zeit zustandekommt. Bei OE kann man dies einstellen unter: Extras->Konten->Eigenschaften->Erweitert->Zeitlimit des Servers
Ich weiss natürlich nicht, ob Dein Banking-Programm eine ähnliche Einstellungsmöglichkeit hat; dies müsste in der Dokumentation nachgesehen oder beim Programmhersteller erfragt werden. Der Verbindungsaufbau kann durch die Firewall deutlich verlängert werden, vor allem dann, wenn der Provider mit verschiedenen DNS-Servern arbeitet (wie z.B. t-online) und nicht alle DNS-Server von der Firewall freigeschaltet sind. Hier kann es passieren, dass zunächst eine Reihe von DNS-Anfragen geblockt werden, bevor auf einen DNS-Server umgeschaltet wird, den die Firewall akzeptiert. Diese Fehlerursache kann man relativ schnell ermitteln, indem man einmal bei der DNS-Regel für die Destination-IP-Adresse "any" einstellt. Funktioniert es jetzt, können die Probleme entweder allein am Zeitfaktor liegen oder daran, dass das Banking-Programm immer einen bestimmten DNS-Server ansprechen will, der von der Firewall nicht freigeschaltet ist (die zuletzt genannte Ursache würde allerdings nicht erklären, warum es bei Dir bei bestehender Verbindung funktioniert). Um die Ursache endgültig zu ermitteln, würde ich Telnet bemühen: Zunächst die DNS-Regel wieder auf die ursprüngliche Destination-IP-Adresse zurückstellen. Im Router-Webinterface unter IP Filter/Firewall Setup->General Setup->Log Flag "block" einschalten. Im Windows Startmenu unter "Ausführen" "Telnet 192.168.1.1" eingeben (falls die Router-Adresse geändert wurde, muss natürlich die geänderte Adresse eingetragen werden). Passwort eingeben. Mit "log -F a" die alten logs löschen. Telnet mit "Quit" verlassen. Banking-Programm starten. Telnet wieder wie og starten und mit "log -f" prüfen, was blockiert wurde. Jetzt kann man darüber nachdenken, ob man die blockierte Verbindung durch eine zusätzliche Regel erlauben kann. Sollte z.B. eine DNS-Verbindung blockiert worden sein, würde ich prüfen, wem die IP-Adresse gehört und ob man dieser Person vertrauen kann.
Grüsse
1. Sicherstellen, dass nicht ein Call-Filter die Verbindung verhindert (u.U. alle Call-Filter probeweise deaktivieren).
2. Zeitlimit-Probleme untersuchen: Ich kenne zwar Dein Banking-Programm nicht und arbeite auch nicht mit HBCI, habe aber ähnliche Schwierigkeiten mit anderen Programmen, u.a. mit Outlook Express und t-onlineBanking. Diese Programme arbeiten bei mir völlig einwandfrei, wenn ich sie bei bestehender Verbindung starte, produzieren aber manchmal (nicht immer) eine Fehlermeldung, wenn die Verbindung erst noch hergestellt werden muss. Bei mir hängt dies ausschließlich damit zusammen, dass die Programme einen Timer einprogrammiert haben und mit einer Fehlermeldung reagieren, wenn die Verbindung nicht innerhalb einer bestimmten Zeit zustandekommt. Bei OE kann man dies einstellen unter: Extras->Konten->Eigenschaften->Erweitert->Zeitlimit des Servers
Ich weiss natürlich nicht, ob Dein Banking-Programm eine ähnliche Einstellungsmöglichkeit hat; dies müsste in der Dokumentation nachgesehen oder beim Programmhersteller erfragt werden. Der Verbindungsaufbau kann durch die Firewall deutlich verlängert werden, vor allem dann, wenn der Provider mit verschiedenen DNS-Servern arbeitet (wie z.B. t-online) und nicht alle DNS-Server von der Firewall freigeschaltet sind. Hier kann es passieren, dass zunächst eine Reihe von DNS-Anfragen geblockt werden, bevor auf einen DNS-Server umgeschaltet wird, den die Firewall akzeptiert. Diese Fehlerursache kann man relativ schnell ermitteln, indem man einmal bei der DNS-Regel für die Destination-IP-Adresse "any" einstellt. Funktioniert es jetzt, können die Probleme entweder allein am Zeitfaktor liegen oder daran, dass das Banking-Programm immer einen bestimmten DNS-Server ansprechen will, der von der Firewall nicht freigeschaltet ist (die zuletzt genannte Ursache würde allerdings nicht erklären, warum es bei Dir bei bestehender Verbindung funktioniert). Um die Ursache endgültig zu ermitteln, würde ich Telnet bemühen: Zunächst die DNS-Regel wieder auf die ursprüngliche Destination-IP-Adresse zurückstellen. Im Router-Webinterface unter IP Filter/Firewall Setup->General Setup->Log Flag "block" einschalten. Im Windows Startmenu unter "Ausführen" "Telnet 192.168.1.1" eingeben (falls die Router-Adresse geändert wurde, muss natürlich die geänderte Adresse eingetragen werden). Passwort eingeben. Mit "log -F a" die alten logs löschen. Telnet mit "Quit" verlassen. Banking-Programm starten. Telnet wieder wie og starten und mit "log -f" prüfen, was blockiert wurde. Jetzt kann man darüber nachdenken, ob man die blockierte Verbindung durch eine zusätzliche Regel erlauben kann. Sollte z.B. eine DNS-Verbindung blockiert worden sein, würde ich prüfen, wem die IP-Adresse gehört und ob man dieser Person vertrauen kann.
Grüsse
- defence
- Power-User
- Beiträge: 115
- Registriert: Do 25.04.2002 - 18:15
von hannes11 » So 24.11.2002 - 21:26
danke, ja ich denke es ist ein zeitproblem. da ich einen dsl volumentarif habe, wählt sich bei mir der router jetzt morgens ein und abends wieder ab, damit ist das problem gelöst. nur der port zum bankserver ist offen, der rest geblockt, damit denke ich ist es sicher genug.
- hannes11
- User
- Beiträge: 13
- Registriert: Do 07.11.2002 - 16:50
7 Beiträge
• Seite 1 von 1
Zurück zu Firewall und IP-Filter
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste
News
Site map
SitemapIndex
RSS FeedDieses Forum ist Bestandteil von www.2-com.de
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO