- Offizieller Beitrag
Bin gleich soweit ....
Bin gleich soweit ....
Ich habs grad wieder geschafft, dass ich per http auf den dsl-router vor der Firewall komme, aber auf keinen Webserver im INternet
Geht !
Ich habe auf dem 2 Uplink die IP 192.168.44.10 auf dem Webserver die 192.168.44.44,
Habe eine Firewall- Regel erstellt von meine IP auf Rot Port 80.
Im Browser die IP vom Webserver eingegeben und puff bin ich drauf.
Gruß Sabine
Ich denke ich ziehe mir erstmal die 2.4er Version und hau die hier mal auf die Testumgebung....
Ja, mach das, zieh das letzte IMG von hier,
aber nach der Installation wirst du um die Updates nicht herum kommen, sonnst wird es nicht funktionieren.
Gruß Sabine
Im Moment hängt sich die Kiste bei der Packetinstallation auf
Dafür ist mittlerweile die Aktivierungsmail gekommen.
Dann hast du das 2.4.1 IMG genommen und nicht die letzte 2.4 Version.
https://www.efw-forum.de/www/forum/view…?f=38&t=630
Gruß Sabine
Ich habe das genommen, was zum Download angegeben war.
Macht aber nichts. Da es nicht funktioniert hatte, habe ich nochmals 2.3 installiert und das mit dem Update ausprobiert.
Und siehe da, ich habe jetzt eine Version 2.4.1 vor mir. 179 Updates hat es gezogen und installiert.
Praktsich.
Es probieren sich gerade 2 Leute an einem Problem aus, was ich seit dem Umstieg auf Endian 2.4.0 habe.
Sabine bzgl. deiner Konstelletation und Erstellung der FW Richtlinie (siehe Abbildung auf Thread Seite Nr. 1 ) kann ich Dir schon mal sagen, dass das nicht geht.
Ich habe es mit folgenden Szenarion probiert.
Eth0 ist die Endian Firewall (192.168.0.1/24)
Eth1 wählt sich per ppoe ein
Eth2 hat eine statische IP Addresse und ist mit einem Router verbunden. (192.168.2.254/24)
Erstellt ich nach deiner Abbildung eine Rule dann bekomm ich vom 192.168.0.0/24 Netz keine Verbindung über den HTTP Dienst nach draußen.
Setze ich Eth1 auf nonactiv gehts.
Die Lösung zum Problem ist recht simpel.
Es muss natürlich eine Route her.
Dies geschieht über den Punkt.
Netzwerk => Routing => Richtlinienbasiertes Routing
Einzustellen wäre dann Quelle Grün und das geht zum roten Uplink Port als Ziel.
(Außerdem sollte man nicht aufhören von Rot und Grün zu sprechen. Uplinks schimpft sich das in Endian, aber dennoch wäre rot richtiger. Somit haben wir eine Einheitssprache die leider bei vielen Softwaredistributionen immer wieder über den Haufen geworfen wird. Siehe Iphealper bei Cisco, bei HP heißt es wieder anders)
Dann nur noch den bestimmten Dienst eingeben und aktivieren das ganze. Wäre indem Fall Port 80 TCP.
Nun kommt es nur noch darauf an wie man die Firewall konfiguriert hat.
Ich hatte das Problem, dass ich den gesamten Traffic für mein Netz nach ausgehend freigeben mußte. Besser wäre das nicht zu machen!
Daher muss derjenige dort noch den Port freischalten.
Daher wieder Quelle Grün; Ziel roter Uplink ; Port 80 TCP
So wäre das Problem aufjedenfall gelöst. Ich hoffe ich konnte helfen.
Mein Problem ist dadurch noch nicht gelöst
Kennt sich wer mit QOS aus? Bei mir läuft es einfach nicht.
Wie oben beschrieben sieht mein Netzwerk aus.
Jedoch würde ich gerne Protokoll unabhängig aggieren.
In manchen Windows Applaction ganz einfach zu realisieren. Diese erzeugen ein VPN Netz für beide Schnittstellen und dann wird der Traffic darüber gespeist aber wie funktioniert das bei Endian? Immerhin wirbt die Community damit und ab und an habe ich schon gelesen das es funktioniert.
Ich möchte bewirken wenn USER A viel Traffic verursacht das USER B dann umgeroutet wird auf das andere Interface.
Ich will auch niemanden beschränken ich will quasi Channel Bonding betreiben ohne große Gerätschaften? Ist das Möglich?
Ach und vielleicht mag mal irgendwer erklären worin der Unterschied zwischen Channel Bonding, Traffic Balancing und Traffic Shaping liegt?
Wenn ich bei google suche, dann fällt mir auf man möchte mit allen 3 Begriffen das gleiche Ziel erreichen, aber jeder nennt es anders und oftmals wird auch wieder drüber gestritten was der richtige Begriff ist.
Viele Grüße
Bierrezept
Vielen Dank für die Info.
Das werde ich nochmals versuchen.
Der Hinweis mit uplink und rot/grün usw finde ich gut. Mittlerweile wusste ich schon nicht mehr was da was ist. Ein neuer Uplink ist also gleich zu setzen mit einem weiteren roten Bereich kann man das dann so stehen lassen?
Folgende Konstellationen habe ich heute mal versucht:
1. Versuch
rot --> 192.168.0.100 --> an dsl router 192.168.0.1 --> Internetzugang per rose Riese
grün --> 10.1.1.1 --> per cross over Kabel ans Laptop (Arbeitsplatz)
zusätzliche Netzwerkkarte (als uplink/zusätzliches rotes Netz) 192.168.1.1 --> an Linksys Router --> an dsl router 192.168.0.1 .
Das ganze funktionierte leider nicht.
2. Versuch
rot und grün wie zuvor, jedoch zusätzlich eine AVM Fritz PCI Karte, die auch so wohl erkannt wurde.
Damit wollte ich einen Internet by call Zugang anwählen. Leider sieht man aber nciht ob sich da etwas tut bzw. ob die verwendeten Zugangsdaten überhaupt noch aktuell sind.
@ Bierrezept,
hast du das Update auf die 2.4.1 gemacht ?
Mit der 2.4.0 brauchst du gar nicht erst anfangen, da ging so gut wie garnichts.
ZitatSabine bzgl. deiner Konstelletation und Erstellung der FW Richtlinie (siehe Abbildung auf Thread Seite Nr. 1 ) kann ich Dir schon mal sagen, dass das nicht geht.
Im Test hat das genauso funktioniert, wie das mit einer realen DSL- Leitung aussieht kann ich natürlich nicht sagen.
ZitatKennt sich wer mit QOS aus?
Das funktioniert in der 2.4.1 wohl immer noch nicht so, besonders in Verbindung mit VPN nicht.
Gruß Sabine
ich habe die fw nun nicht vor mir, aber eigentlich ist es ganz einfach.
vielleicht kriegst es ja hin, wenn ich dir die gesamte konstelation rein theoretisch erkläre.
uplinks sind nur bedingt gleichzusetzen mit dem roten netz. ein uplink kann natürlich auch fürs blaue netz sein. man bewegt sich dort ein einen sehr schwammigen gebiet. für mich ist auch ein blaues netz ein rotes netz, weil es im endeffekt gleichzusetzen ist mit dem dem internet ( roten netz ). nehmen wir an, blau ist für ein wlan netz. so ist dieses auch ein fremdnetz und wäre rein planerisch als fremdes netz zu betrachten.
heutzutage weitet man die begrifflichkeiten aber etwas weiter aus.
jedoch bei deinem beispiel sind beide uplinks im roten netz.
so nun zu konfiguration:
deine ip addresse hast du ja bereits eingestellt und ich denke, du kannst sie von der endian firewall wenn du dich mit putty verbindest alle pingen?
wenn das nicht geht. dann liegt ein fehler in der konfiguration vor. (mit putty auf endian zugreifen ssh in dem übersicht bereich von der endian firewall freischalten. ist dort irgendein unterpunkt auf der linken seite)
soweit so gut.
nun erstellst du 2 Uplinks und gibst die daten dazu ein.
Der Punkt in Endian heißt Schnittstellen.
eth1 wird vermutlich der erste Uplink sein. Vermutlich mit der IP 192.168.0.100. Diesen gibst du dann am Besten den Namen des DSL Anbieter
eth2 wird der zweite sein mit der IP 192.168.1.1 Auch hier den Namen des DSL Anbieters nutzen, damit du die Schnittstellen auseinander halten kannst.
Ich lese gerade du hast 192.168.1.1 an den Router 192.168.0.1 gehängt? Vermutlich meintest du 192.168.1.254?
Es würde ja nicht funktionieren aus einem Netz mit der 192.168.1.1 auf das Netz 192.168.0.0 zuzugreifen.
So sollte dein Netz aussehen.
Grünes Netz 10.1.1.0 => z.B. 10.1.1.254 Endian Firewall als Gateway => eth1 von der Endian Firewall 192.168.0.100 => DSL Router 1 192.168.0.1
=> eth2 von der Endian Firewall 192.168.1.1 => DSL Router 2 192.168.1.254
so nun richtest du für beide Netze ein Gateway ein.
Bei mir war nur ein Gateway nötig, weil ich eine Wahlverbindnug über eine Netzwerkverbindung habe.
Daher gehst du auf Routing => dynamisches Routing
Dann trägst du ein:
Grün => Schnittstelle 1 (eth1) dort trägst du den Traffic den an, der dorthin geroutet werden soll. (Also die Protokoll Typen einhexeln / Ports )
Dann machst einen 2. Eintrag:
Grün => Schnittstelle 2 (eth2) dort trägst du den restlichen Traffic ein der dort drüber laufen soll. Bei dir wäre das wohl Port 80 TCP.
Zu guter letzt mußt du dann den Traffic als ausgehenden Traffic noch freigeben.
Dies leitet sich aus den Routing Einstellungen ab. Du mußt quasi das gleiche nur noch dort einstellen und dann steht dem Ganzen nichts mehr im Wege.
Sollte das immer noch nicht gehen würde ich meine Einstellungen nochmal für bebildern.
Oder du bebilderst deine dann kann ich dort fix eine Fehleranalyse machen.
@ Sabine ich nutze 2.4.1 seit heute Nach den Updates hatte ich dann noch 2-3 Abstürze aber irgendwann lief es dann.
Vorher hatte ich 2.4.0 und war auch zufrieden. Ich nutze die anderen Dienste nicht. Ich habe mir nur die Endian Firewall besorgt weil ich bei 2.3.0 etwas von Traffic Splitting gelesen habe und immernoch darauf warte. Weil es bisher keine Firewall im freien Bereich vernünftig umsetzt. Ich könnte nun den Kernel anpassen und dann per iptables das ganze im Bonding betreiben aber ich will eine bessere Lösung dafür. Sonst hätte ich Endian nicht installieren müssen
QOS im VPN Modus ist auch so eine Sache.
Das wird wohl auch nie gehen. Dann müßte schon der Provider für beide Zugänge spezielle Hardware zu Verfügung stellen.
Man hat nämlich das Problem, dass die meisten Zugänge, die ein mittelständisches Unternehmen / Privatmann zu hause hat, dynamische IP's erhalten. Selbst wenn sie statisch wären, wären sie immernoch unterschiedlich und dadurch macht es schwer dort eine vernünftiges QoS zum Laufen zu bringen. Weil wie sollte er die Session unterscheiden? Wann sollte er umrouten? Wie teilt er das einem Client mit? Tja gar nicht weil die Verbindung wegbrechen würde.
QOS im VPN Modus ist nur möglich, wenn 2 WAN Einheiten (CE Einheiten) über eine IP Addresse ansprechbar wären.
Dies muß vom Provider geschaltet werden und er müßte auch den QOS aktivieren.
So kann dann entschieden werden welche Verbindung gerade weniger ausgelastet ist um zum Ziel zu kommen.
Hallo Bierrezept,
ZitatZu guter letzt mußt du dann den Traffic als ausgehenden Traffic noch freigeben.
Dies leitet sich aus den Routing Einstellungen ab. Du mußt quasi das gleiche nur noch dort einstellen und dann steht dem Ganzen nichts mehr im Wege.
Was mir hierbei aber nciht ganz klar ist, setze ich die Freigabe dann auf das Rote Netz oder auf Uplink (neuer Uplink)?
natürlich auf den Uplink.
Sonst könnte die Firewall sich nicht entscheiden und wüßte nicht wohin es geroutet werden würde.
Das könnte ein Dienst namens QoS aber das will irgendwie nicht laufen. Jedenfalls krieg ich das nicht hin.
Viele Grüße
Also ich bin jetzt so weit, dass es zwar funktioniert, aber nur, wenn man den Hauptuplink deaktiviert.
Sind beide Uplinks aktiv, wird irgendwie versucht alles über den Hauptuplink zu verschicken.
Leider sehe ich nirgends etwas wo es hängt
Zuerst dachte ich, es liegt evtl. an der Option "verwaltet" bei den Uplinks. Doch daran liegt es auch nicht.
Eine deutsche Dokumentation zur efw gibt es nicht zufällig?
Okay, so wie es scheint habe ich den Fehler gefunden!
Unter Netzwerk --> Richtlinienbasiertes Routing muss unter Ziel <Alle> stehen. Da hatte ich einen Denkfehler und hatte die IP der Netzwerkkarte (hier blaues Netz) eingetragen.
Jo. Kann man auch machen und dann in der Firewall beschränken.
Das würde aber nur dann Sinn machen, wenn man sein Szenario so aussehen läßt.
Ich habe 2 rote Netze und eins davon ist ein Fallbacknetz.
Über das Fallbacknetz lass ich aber zusätzlich noch den Traffic von z.B. Port 80 laufen und das gebe ich per Firewall Richtlinie so frei.
Ansonsten würde ich gleich beim Routen den Dienst an die richtige Schnittstelle verweisen.
Viele Grüße
Anders funktioniert es hier nur als Fallback, was aber nciht gewünscht ist.
aber es geht alles wo wie du es wolltest?
viele grüße
Zitat von "Bierrezept"aber es geht alles wo wie du es wolltest?
viele grüße
Ja so wie es auf den ersten Blick scheint schon.