Installation und Konfiguration SNAT

Moinsen zusammen,

da ich ein endian-neuling bin, habe ich ein kleines Problem, bei dem ich nicht weiter komme.

Ich administriere das Netzwerk einer Liegenschaft das mit Hilfe einer Firewall vom restlichen bundesweiten Netzwerk getrennt ist. Diese Firewall soll ersetzt werden und Endian bietet sich nach meinen bisherigen Recherchen am ehesten an. Zur Evaluierung habe ich Endian auf einem Desktop-PC installiert und konfiguriert. Wir haben ein internes Netz (Bsp.: 100.100.0.0/16) und ein externes bundesweites Netzwerk (Bsp.: 200.200.0.0/16). Endian ist mit einem Grünen (Bsp.: 100.100.0.0/16) und einem Roten (Bsp.: 200.200.0.0/16) Netz installiert. Nun möchte ich, dass die Clients des internen Netzes (Bsp.: 100.100.10.1/16) eine Adresse im externen Netz zugeordnet bekommen (Bsp.: 200.200.10.1/16). Klar: Dafür muss ich SNAT konfigurieren. Leider bekomme ich keinen Connect mit einem Testclient. Zum testen versuche ich einen Webserver im externen WAN zu erreichen, was aber nicht gelingt.
Für das Grüne Netz hat Endian eine eigene IP (Bsp.: 100.100.1.1/16) und für das externe Rote Netz eine eigene IP (Bsp.: 200.200.1.1/16). Im Client habe ich Endian als Standardgateway eingetragen. Die SNAT-Regel hat als Quelle die interne IP des Clients (Bsp.: 100.100.10.1/16) und als Ziel die externe IP (Bsp.: 200.200.10.1/16) und alle Protokolle erlaubt.

Was ist an meinen Einstellungen falsch/welche Einstellungen muss ich vornehmen, damit die SNAT-Regeln funktionieren?

Danke für eure Hilfe im Vorraus und Grüße

Daniel

Danke schon mal für die Antwort.

Wir benötigen eine 1zu1 Übersetzung der IP-Adressen zwischen den beiden Netzen aus Gründen der IT-Sicherheit. Für unser bundesweites WAN ist es wichtig, dass jederzeit nachvollzogen werden kann, von welchem Rechner (auch aus unserem internen Grünen Netz) welche Aktionen ausgeführt wurden (Website-Aufruf, Datenbankzugriff, etc.)

Gibt es denn eine Möglichkeit, zu überprüfen, ob der grundsätzliche Connect ins rote Netz steht? Pings an übergeordnete Server wie Webserver oder DNS-Server werden mit nicht erreichbarem Zielhost beantwortet.

greetz
Daniel

Ich habe ja ein wenig die Befürchtung, dass ich die Karte fürs Rote Netz falsch konfiguriert habe. Da kann man ja wählen zwischen staic IP, DHCP IP, Gateway. Die Direktverbingunden und Modem-Geschichten brauch ich ja alle nicht. Was muss ich denn da für meine Zwecke einstellen. Hatte es erst mit fester IP probiert, dann aber in einer Anleitung von Endian gelesen, dass man die Option Gateway nehmen kann, wenn man die Firewall zur Verbindung zweier Nicht-Internet-Netze nutzt.
Es ist aber nicht so, dass ich die Roten IP's der Clients der Firewall in einer extra Liste erst mitteilen muss oder? Das ist bei unserer alten EMERAC Firewall so.

IPCop war meine erste Option. Wenn dann hätte ich gern die neueste Version 2.0.1 verwendet. Aber dafür gibt es SNATGUI (noch) nicht. Eine alte Version kommt nicht in Frage. da die Lösung, die ich implentiere auf längere Zeit laufen muss und regelmäßige Updates sehr wünschenswert wären.

greetz
Daniel

Ich habe eine Portweiterleitung drin:

# Eingehende IP Dienst Richtlinie Übersetze zu Anmerkung
1 100.100.0.1 <ALLE> GESTATTEN mit IPS 200.200.0.1

(sind nicht die originalen IP's; die möchte ich ungern bekannt geben.)
Funktioniert trotzdem nicht.

Das mit dem log war ne gute Idee: da steht folgendes:

Firewall 2011-11-24 12:44:38 OUTGOINGFW:ALLOW:1 TCP (br0) 100.100.0.1:2363 -> 300.30.0.1:80 (eth1)

Ich versuche zum Test einen Webserver im WAN zu erreichen. scheinbar leitet die Firewall dies auch weiter. Jetzt weiss ich natürlich nicht, ob das vom Port-Forwarding kommt oder von der SNAT-Regel. Ich werde die Port-Weiterleitung mal ausschalten und schauen, ob die Firewall immer noch traffic mit logt.

Problem gelöst: Die Netze unseres WAN sind durch Router/Gateways mit einander verbunden. Musste die nur die Adresse des WAN-Routers als Gateway eintragen, der in unserem Subnetz liegt und funktiert.

Erst Mal: Danke Sabine für deine Hilfestellungen.

Hoffe du kannst mir vielleicht noch ein wenig helfen...
Ich habe zu Testzwecken einen unserer DNS-Server auf die neue Firewall eingestellt und einen Client so eingerichtet, dass dieser nur den konfigurierten DNS bei Internetanfragen nutzt. Geht auch grundsätzlich. Leider ist die Geschwindigkeit alles andere als das, was ich mir erhofft hatte. Da ist unsere 7-10 Jahre alte Firewall schneller und da laufen 250 Rechner drüber.

Gibt es Einstellungen bei Endian die die Datenraten senken? wie die Protokollierung der einzelnen SNAT-Verbindungen?

greetz Daniel

Hi,

das erstmalige Aufrufen eines Links ist relativ zeitintensiv. Ist die Seite erst mal geladen, dann ist es nich wirklich langsamer als mit unsrer momentanen Lösung. Ich vermute das liegt daran, dass ich mit meinem Test-Client nicht unseren DNS Server im eigenen Netz sondern einen im externen roten Netz nutze. Bis da eine Anfrage nach einer Internetadresse durchgelaufen ist, vergeht bestimmt gut Zeit.

Habe jetzt aber noch eine kleine Verständnisfrage: Momentan bereite ich die alten Konfigurationen vor (erneuern, löschen, übernehmen), die in die neue Firewall eingetragen werden sollen. Dabei bin ich auf folgende Problematik gestoßen: Wir nutzen in unserem Netz einen Mail-Server. Dieser repliziert sich mit übergeordneten Mail-Servern die im roten Netz liegen. Kein Problem: Dafür gibt es ja z.B. SNAT. Da kann ich ja einfach den Servern externe IP's zuweisen. Nun gibt es aber Administratoren, die vom roten Netz zur Konfiguration auf die Mail-Server zugreifen können müssen. Muss ich dafür extra Routing-Regeln von Rot nach Grün erstellen?

greetz
Daniel