Zyxel Deutschland Forum - Herzlich Willkommen!

Für Support Anfragen nutzen Sie http://support.zyxel.eu oder als Fachhändler http://partner.zyxel.eu
Aktuelle Zeit: Freitag 20. Oktober 2017, 01:42

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



 


Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: LAN Port als Default Gateway
BeitragVerfasst: Freitag 28. Juli 2017, 17:00 
Offline
Hilfesuchender

Registriert: Freitag 4. Oktober 2013, 13:34
Beiträge: 5
Hallo Community,

folgende Aufgabenstellung wurde an mich herangtragen, tlw. konnte ich es schon lösen, aber jetzt stehe ich an.

Wir sollen testweise bei einer unserer Betriebsstätten den gesamten Internet Traffic über die Zentrale abwickeln.

Router BST: USG 20
Router Zetrale: USG 100 (VPN Konzentrator)
Firewall Zentrale: Baracuda

Wenn also jemand in der BST eine Webseite aufruft soll die Anfrage über einen VPN Tunnel an den VPN Konzentrator in der Zentrale geschickt werden. - bis hierher erledigt
Der VPN Konzentrator muss die Anfrage nun an die Firewall weiterleiten, diese hat einen Zugriff auf das Internet.

Der Logik nach schickt die USG 100 aber den Traffic natürlich nicht am LAN Port raus, also Richtung Firewall, sondern am WAN Port auf dem schließlich das Default Gatway liegt.
Somit kommen die Pakete niemals bei der Firewall an und folglich gibt es auch keinen Internetzugriff.

Wie kann ich nun also die ZyXEL so konfigurieren, dass das Default Gateway Richtung LAN zeigt.
Mit einer Statischen Route (0.0.0.0/0) habe ich es schon versucht, es kommt aber leider nichts bei der Firewall an.

Danke und schönes Wochenende!
LG mcdy


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: LAN Port als Default Gateway
BeitragVerfasst: Samstag 29. Juli 2017, 16:53 
Offline
Experte

Registriert: Dienstag 6. Mai 2008, 00:30
Beiträge: 934
Eine Zeichnung bzgl. der Topologie wäre hilfreich.

Gruß
sk


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: LAN Port als Default Gateway
BeitragVerfasst: Montag 31. Juli 2017, 12:16 
Offline
Hilfesuchender

Registriert: Freitag 4. Oktober 2013, 13:34
Beiträge: 5
Hey sk,

bin leider absolut nicht begabt was das betrifft, aber ich habe es natürlich trotzdem versucht.

Dateianhang:
Zyxel Internet Traffic über Zentrale.png


LG mcdy und danke!


Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: LAN Port als Default Gateway
BeitragVerfasst: Mittwoch 2. August 2017, 09:57 
Offline
Experte

Registriert: Dienstag 6. Mai 2008, 00:30
Beiträge: 934
Zunächst möchte ich voran schicken, dass dies ganz schlechtes Design ist. Wenn man die Zywall parallel zur Barracuda direkt ans Internet anschließt, sollte man sie nicht direkt mit dem LAN konnektieren, denn dies schafft einen Bypass zur Barracuda. Das LAN-Interface der Zywall gehört in diesem Fall an eine DMZ der Barracuda.

Nun zu Deinem Problem:
Du benötigst auf der Zywall eine Policyroute, die den Traffic aus dem VPN Richtung LAN-Interface der Barracuda weiterleitet.
Source-IP=IP-Netz des Remotestandortes
Ziel-IP = any

Randbedingungen:
1) Die Barracuda weiss, dass sie den Reotestandort über die LAN-IP des Zywall errreicht (Rückroute).
2) Auf der Zywall ist die Prio der direkt verbundenen Netze höher als die der Policyrouten. Siehe https://kb.zyxel.com/KB/searchArticle!g ... 39&lang=EN (Haken darf NICHT gesetzt sein!)
3) Auf beiden Firewalls ermöglicht das Regelwerk diesen Traffic

Gruß
sk


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: LAN Port als Default Gateway
BeitragVerfasst: Mittwoch 2. August 2017, 11:45 
Offline
Hilfesuchender

Registriert: Freitag 4. Oktober 2013, 13:34
Beiträge: 5
Hey sk

Zitat:
Zunächst möchte ich voran schicken, dass dies ganz schlechtes Design ist. Wenn man die Zywall parallel zur Barracuda direkt ans Internet anschließt, sollte man sie nicht direkt mit dem LAN konnektieren, denn dies schafft einen Bypass zur Barracuda. Das LAN-Interface der Zywall gehört in diesem Fall an eine DMZ der Barracuda.

Kommt scheinbar aus meiner Zeichnung nicht raus, aber die Zyxel ist auf einem RAS DMZ auf der Barracuda angebunden und kümmert sich um alle Site to Site und Client to Site Verbindungen.

Zitat:
Nun zu Deinem Problem:
Du benötigst auf der Zywall eine Policyroute, die den Traffic aus dem VPN Richtung LAN-Interface der Barracuda weiterleitet.
Source-IP=IP-Netz des Remotestandortes
Ziel-IP = any

Hatte es mit einer Statischen Route versucht, war aber offenbar der falsche Ansatz.
Durch Route-Summarization müsste ich dich die Policy Routen zusammen fassen können, oder?

Zitat:
Randbedingungen:
1) Die Barracuda weiss, dass sie den Reotestandort über die LAN-IP des Zywall errreicht (Rückroute).
2) Auf der Zywall ist die Prio der direkt verbundenen Netze höher als die der Policyrouten. Siehe https://kb.zyxel.com/KB/searchArticle!g ... 39&lang=EN (Haken darf NICHT gesetzt sein!)
3) Auf beiden Firewalls ermöglicht das Regelwerk diesen Traffic

1) Die Rückroute auf der Barracuda existiert glaube ich sogar, konnte ich bisher aber nicht testen.
2) Muss gleich mal prüfen ob da bei mir aktiv war oder nicht
3) Die Firewall Regel darzu habe ich bereits auf Basis einer Route-Summarization erstellt und sieht in etwa so aus:

From - To - User - Source - Destination - Service - Access - Log
any - any (Excluding ZyWALL) - any - 10.20.0.0/16 - any - any - allow - log

Auch wenn viele any wüsste ich nicht wie es sonst funktionieren sollte, weil es sich schließlich um Internet Traffic handelt.


Werd es also mal mit einer Policy Route für den einen Standort versuchen und würde mich über Feedback für globaleren Einsatz freuen.

Danke mcdy


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: LAN Port als Default Gateway
BeitragVerfasst: Montag 7. August 2017, 21:03 
Offline
Experte

Registriert: Dienstag 6. Mai 2008, 00:30
Beiträge: 934
mcdoubleyou hat geschrieben:
Kommt scheinbar aus meiner Zeichnung nicht raus, aber die Zyxel ist auf einem RAS DMZ auf der Barracuda angebunden und kümmert sich um alle Site to Site und Client to Site Verbindungen.
Hab ich nicht gesehen, sorry.

mcdoubleyou hat geschrieben:
Hatte es mit einer Statischen Route versucht, war aber offenbar der falsche Ansatz.
Schau mal in die Release-Notes zu ZLD2.20 (Patch 0). Dort ist der (damals neue) Packetflow erklärt. Es gibt jedoch einige Schalter, um dies ggf. abzuändern. Siehe z.B. https://www.studerus.ch/de/support/know ... etail/3573
In der Webgui der Zywall unter Maintenance kannst Du Dir zudem die Auswirkungen der aktuellen Settings visualisieren lassen.

mcdoubleyou hat geschrieben:
Durch Route-Summarization müsste ich dich die Policy Routen zusammen fassen können, oder?
Klar.

mcdoubleyou hat geschrieben:
1) Die Rückroute auf der Barracuda existiert glaube ich sogar, konnte ich bisher aber nicht testen.
Muss so sein, weil sonst das VPN zwischen den internen Netzen gar nicht funktionieren würde.

mcdoubleyou hat geschrieben:
3) Die Firewall Regel darzu habe ich bereits auf Basis einer Route-Summarization erstellt und sieht in etwa so aus:

From - To - User - Source - Destination - Service - Access - Log
any - any (Excluding ZyWALL) - any - 10.20.0.0/16 - any - any - allow - log

Auch wenn viele any wüsste ich nicht wie es sonst funktionieren sollte, weil es sich schließlich um Internet Traffic handelt.
Die Ziel-IP kannst Du nicht einschränken, das ist richtig - sehrwohl aber die beteiligten Firewallzonen.

Gruß
sk


Nach oben
 Profil  
 
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder: Google [Bot], Google Adsense [Bot]


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Gehe zu:  
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de


Impressum


Hubwagen  - Hubtisch  - Hochhubwagen  - günstige Hubwagen  - Hubwagen  - Hubtisch  - Scherenhubtische  - günstige Kehrmaschinen