Grün nach Orange

Wie kann man das Konfigurieren?
Post Reply
berny
Posts: 34
Joined: June 1st, 2011, 8:06 am

Grün nach Orange

Post by berny » May 9th, 2019, 8:53 am

Hi,

ich habe einen Host in der DMZ stehen (Oranges Netz). Dieser Host bietet einen Webservice auf Port 8889 an, der (nur) aus dem grünen Netz erreichbar sein soll. (andere Dienste sind von außen erreichbar.) Die Firewall-Options stehen bei 'Standartverhalten' sowohl für FORWARD als auch für OUTGOING auf 'zugelassen'. Das NAT für das orange Netz ist ausgeschaltet.

In den Firewall-Regeln sehe ich das (sofern ich die Seite richtig interpretiere) das ich von GRÜN Zugriff auf alle Netze haben sollte:
GRÜN | Internet (Zugelassen) | ORANGE (Zugelassen) | BLAU (Zugelassen)

(Warum) muss ich da zusätzlich ein 'DMZ-Hole' konfigurieren?

Bernd

berny
Posts: 34
Joined: June 1st, 2011, 8:06 am

Re: Grün nach Orange

Post by berny » May 16th, 2019, 8:15 am

Niemand?

Es muss doch einen Sinn haben das die Grafik (mir) zeigt das der Verkehr aus dem GRÜNEN Netz in das ORANGE Netz zugelassen ist. Oder interpretiere ich das falsch?

Bernd

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Grün nach Orange

Post by Arne.F » May 16th, 2019, 8:53 am

Der weg von Grün nach Orange ist offen, aber zurück nicht, da du das NAT abgeschaltet hast und er daher keine Connection Tracking Liste für den Rückweg hat.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

berny
Posts: 34
Joined: June 1st, 2011, 8:06 am

Re: Grün nach Orange

Post by berny » May 16th, 2019, 9:30 am

Der weg von Grün nach Orange ist offen, aber zurück nicht, da du das NAT abgeschaltet hast und er daher keine Connection Tracking Liste für den Rückweg hat.
Ah, Ok. Das ist also nicht dynamisch.

Inzwischen habe ich auf der Seite Firewalloptionen NAT für alle Farben eingeschaltet. (Dann gilt die Infozeile also nur wenn NAT für ORANGE aktiviert ist?!) Mit aktiviertem NAT klappt auch die Namensauflösung im Host in der DMZ (DNS-Server 1.1.1.1) ohne zusätzliche Regel. Das hat ohne das NAT für ORANGE auch nicht funktionert.
Auf welche Adresse werden denn mittels des NAT die Adressen der Host in der DMZ übersetzt? Ist es die des roten Interface?

Bernd

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Grün nach Orange

Post by Arne.F » May 16th, 2019, 12:42 pm

Das NAT läuft zum roten Interface.
Das hat ohne das NAT für ORANGE auch nicht funktionert.
Wer die DMZ ohne NAT verwenden will braucht einen öffentlichen IP Bereich dafür und dieser muss vom ISP auch auf den IPFire geroutet werden.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

cocolocko
Posts: 18
Joined: December 23rd, 2013, 12:25 pm

Re: Grün nach Orange

Post by cocolocko » December 22nd, 2019, 10:15 am

Hallo zusammen,
ich habe in der Orangenen DMZ einen Webserver stehen, der von aussen über Port 80 und 443 mit Domain Namen (DynDNS) erreichbar ist.
Nun habe ich das Problem, das ich von meinen Grünen LAN über den Domain Namen dort nicht zugreifen kann.
Ich bekomme die Regel nicht konfiguriert.
Kann mir jemand dazu Hilfe leisten?

DANKE.

Grüße

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: Grün nach Orange

Post by fredym » December 23rd, 2019, 9:41 am

cocolocko wrote:
December 22nd, 2019, 10:15 am
Ich bekomme die Regel nicht konfiguriert.
von welchen "Regeln" sprichst du ?
Wie Arne schon schrieb .. der "kennt den Weg zurück nach Hause" nicht. Richtig routen und gut ist!

Fred
ps: Firewall ist nur soweit interessant, als daß sie den Traffic nicht blockt (was sie normalerweise in der Standardeinstellung nicht tut)

vectrawally
Posts: 1
Joined: August 16th, 2012, 6:14 am

Re: Grün nach Orange

Post by vectrawally » January 9th, 2020, 6:57 pm

Hallo,

eigentlich wollte ich einen neuen Beitrag erstellen im Bereich "Konfiguration", aber ich sah genau einmal den Button zum Erstellen, hab draufgeklickt und bekam die Info, daß ich keinen Beitrag erstellen dürfte. Jetzt hänge ich mich mal hier dran ... ggf. bitte wegschieben.

Ich bin ein ehemaliger IPcop-Nutzer. Wegen der Umstellung von Telekom Entertain auf MagentaTV L (mit Receiver MR 401) mußte ich zunächst auf eine Fritzbox 7590 ausweichen.
Ich habe mit OPNsense und OpenWRT experimentiert, aber IPFire war mir dann doch irgendwie "vertrauter". In diversen Foren las ich, daß es bei allen Linux-Routern noch Probleme mit dem igmpproxy (v3) gäbe. Erstaunlicherweise gelang mir fast auf Anhieb, das IP-Fernsehen zum Laufen zu bringen.
Das klappt leider mit VoIP z.Z. noch nicht. Hier kurz meine Konfiguration, die ich so auch früher mit dem IPcop hatte:

Code: Select all

<T-COM (MagentaZuhause L)> -> <Speedport Smart (Modem only)> -> <IPFire mit red+orange+blue+green>
Den igmpproxy und den MR 401 habe ich z.Z. noch im grünen Netz. TV und Internet funktionieren problemlos.

An orange ist ein Speedport 920 (gefritzt zu 7570, LAN Port 1) angeschlossen . An dessen S0-Port hängt meine ISDN Anlage Auerswald 4410 (die leider noch nicht ersetzt werden kann). Der SP920 selbst hat keine Einwahldaten, aber eine feste IP aus dem orangenen Netz (IPFire orange: 192.168.120.1, SP920: 192.168.120.3). Aus dem grünen Netz (192.168.100.1/24) komme ich per Browser auf den SP920 und kann ihn administrieren. (Versuche ich das mit einem etwas neueren SP921, dann klappt das nicht. Dem kann ich nur eine feste IP geben, aber keine DNS oder Gateway Informationen.)

Mit den "richtigen FW-Regeln" hat das Telefonieren damals mit dem IPcop funktioniert. Leider kann ich nicht mehr genau nachvollziehen, welche Regeln ich von wo nach wo eingerichtet habe. Auf jeden Fall waren es mehr als die, die ich hier im Forum gefunden habe:

Code: Select all

5070 (UDP)
30000-30005 (UDP)
3478-3479 (UDP)
.
Ich habe diese Portweiterleitungen von "rot" nach "orange" eingerichtet, aber es passiert nichts. Ich hänge jetzt fest und würde mich über Denkanstöße freuen.

Grüße
Bernhard

DJ-Melo
Posts: 678
Joined: July 8th, 2014, 7:12 am

Re: Grün nach Orange

Post by DJ-Melo » January 10th, 2020, 9:39 am

vectrawally wrote:
January 9th, 2020, 6:57 pm
Hallo,

eigentlich wollte ich einen neuen Beitrag erstellen im Bereich "Konfiguration", aber ich sah genau einmal den Button zum Erstellen, hab draufgeklickt und bekam die Info, daß ich keinen Beitrag erstellen dürfte. Jetzt hänge ich mich mal hier dran ... ggf. bitte wegschieben.

Ich bin ein ehemaliger IPcop-Nutzer. Wegen der Umstellung von Telekom Entertain auf MagentaTV L (mit Receiver MR 401) mußte ich zunächst auf eine Fritzbox 7590 ausweichen.
Ich habe mit OPNsense und OpenWRT experimentiert, aber IPFire war mir dann doch irgendwie "vertrauter". In diversen Foren las ich, daß es bei allen Linux-Routern noch Probleme mit dem igmpproxy (v3) gäbe. Erstaunlicherweise gelang mir fast auf Anhieb, das IP-Fernsehen zum Laufen zu bringen.
Das klappt leider mit VoIP z.Z. noch nicht. Hier kurz meine Konfiguration, die ich so auch früher mit dem IPcop hatte:

Code: Select all

<T-COM (MagentaZuhause L)> -> <Speedport Smart (Modem only)> -> <IPFire mit red+orange+blue+green>
Den igmpproxy und den MR 401 habe ich z.Z. noch im grünen Netz. TV und Internet funktionieren problemlos.

An orange ist ein Speedport 920 (gefritzt zu 7570, LAN Port 1) angeschlossen . An dessen S0-Port hängt meine ISDN Anlage Auerswald 4410 (die leider noch nicht ersetzt werden kann). Der SP920 selbst hat keine Einwahldaten, aber eine feste IP aus dem orangenen Netz (IPFire orange: 192.168.120.1, SP920: 192.168.120.3). Aus dem grünen Netz (192.168.100.1/24) komme ich per Browser auf den SP920 und kann ihn administrieren. (Versuche ich das mit einem etwas neueren SP921, dann klappt das nicht. Dem kann ich nur eine feste IP geben, aber keine DNS oder Gateway Informationen.)

Mit den "richtigen FW-Regeln" hat das Telefonieren damals mit dem IPcop funktioniert. Leider kann ich nicht mehr genau nachvollziehen, welche Regeln ich von wo nach wo eingerichtet habe. Auf jeden Fall waren es mehr als die, die ich hier im Forum gefunden habe:

Code: Select all

5070 (UDP)
30000-30005 (UDP)
3478-3479 (UDP)
.
Ich habe diese Portweiterleitungen von "rot" nach "orange" eingerichtet, aber es passiert nichts. Ich hänge jetzt fest und würde mich über Denkanstöße freuen.

Grüße
Bernhard
https://community.ipfire.org/

Bitte nutzt das neue Forum

Post Reply