Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Anfängerfragen/Perfektionierung laufende ASG

Hallo!
Jetzt habe ich mich doch endlich hier angemeldet und hoffe auf Tips von euch nachdem mir als Hobbyadmin sämtliche Handbücher und auch das Netz nicht mehr wirklich helfen können...

Zuerstmal kurz mein System:
ASG 110/120 mit UTM 9.309 (9.310 steht grad zur Installation an) und Homelizenz
-eth0 Intern 192.168.2....
-eth1 Router speedport W923V 192.168.0.... (nur als Gateway genutzt)
-eth2 "Kindernetz" über Powerline auf reines WLAN mit eigener SSID 192.168.3....

Alles funktioniert nach reichlich Frickelei und Selbststudium fast perfekt, das "Kindernetz" läuft mit Webfilter, Zeitfenster für Internetverbindungsfreigabe und Kontingent über die Webprotection.
(Das war der Hauptgrund für die Anschaffung der ASG 110/120)

Jetzt aber meine beiden Hauptprobleme,
mein Küchenradio noxon zeigt mir keine Zeit mehr an, Protokolle habe ich mir angesehen, die NTP-Verbindung in der Firewall freigegeben, nix ändert sich. In anderen NTP-abhängigen Geräten habe ich als NTP-Server die Adresse der ASG eingestellt und dort den NTP-Proxy aktiviert, funktioniert, im noxon kann ich den NTP-Server aber nicht ändern.
Sämtliche iPhones können keine Mails mehr senden und empfangen (Apple-Familie [;)])

Irgendwie kommt mir das so vor als ob die Firewall ohne Funktion ist, egal was ich da an Regeln eintrage wird einfach ignoriert, auch bei deaktivierter Webprotection.
Ich habe das mal getestet, per Regel alles gesperrt, funktioniert alles wie vorher...
Danach Webprotection aus, Regel any/any/any immer erlauben eingestellt, nix geht mehr...

Wo liegt mein Fehler?

Vielen Dank schonmal für Hilfe, ich weiss grad nicht mehr was ich noch versuchen kann


This thread was automatically locked due to age.
  • Du aktivierst eine Any-Regel und "nichts" geht mehr?
    Hast Du das Maskerading / NAT konfiguriert?
  • Nein, habe ich nicht.
    Soweit war ich noch nicht, fange da jetzt aber auch mal an mich zu bilden, Hobbyadmin eben...
    Sollte aber nicht auch ohne Maskerading/NAT eine rein schnittstellenbezogene Regel funktionieren und nicht einfach ignoriert werden?
    Wie zum Beispiel any/any/any immer verboten?
    Denn diese Regel wurde ja auch ignoriert, ich hatte Internet im ganzen Haus.
  • Private Adressen werden im öffentlichen Netzen üblicherweise nicht geroutet. Ohne NAT kommen Deine Anfragen trotz Ana-Regel nicht weit.

    Ohne Netzwerkgrundlagen wird nicht nur die Konfiguration der UTM schwer.
  • Schon klar, ich mag hier auch nicht dauernd mit dummen Fragen nerven, ich bin soweit gekommen das bis auf einige Feinheiten alles läuft, die habe ich hier mal erläutert.
    Wenn das an Maskerading/NAT liegen kann das alle meine Firewallregeln ignoriert werden lese und experimentiere ich in der Richtung weiter. Das war der Tip den ich wollte, bin kein Typ für Stepbystep Anleitungen mit Screenshots, ich muss verstehen was die schwarze Kiste macht.

    Nicht lachen!
     Ich habe Netzwerkkenntnisse die mir bisher ausreichten, nach oben ist immer Luft, und da will ich hin.
  • Vielleicht noch ein weiterer Hinweis:

    Grundsätzlich blockt deine Firewall erstmal - du brauchst also je nach Konfiguration keine "Block-Regel" sondern nur Freigabe-Regeln. Die Liste wird von oben nach unten abgearbeitet - trifft eine Regel vollständig zu werden die nachfolgenden ignoriert. Deshalb ist es auch für dich wichtig an welcher Stelle du welche Regel benutzt.

    Wichtig ist für dich eventuell auch noch, in welcher Reihenfolge ein eingehendes Paket abgearbeitet wird. Siehe Rule 2 https://www.astaro.org/gateway-products/general-discussion/49065-rulz.html


    Rule #2:


    • In general, a packet arriving at an interface is handled only by one of the following, in order: the connection tracker (conntrack) first, then Country Blocking, then DNATs, then VPNs, then Proxies, then Applications Control and, finally, manual Routes and manual Firewall rules, which are considered only if the automatic Routes and rules coming before hadn't already handled the traffic. (see attachment below)



    (Beachte den Flowchart am Ende des "Rulz" Beitrags)

    Viel Spaß mit deiner UTM [:)]
  • Kurzer Zwischenstand:
    Ich habe es begriffen und es läuft, dank NAT weiß mein Küchenradio wieder die Zeit und alle Handys bekommen ihre Mails! [;)]
    Was für mich noch überaus hilfreich war, ich habe die klassische Festplatte des ASG gegen ein SSD getauscht, bringt doch einen nicht unerheblichen Geschwindigkeitsvorteil, gerade in der Experimentierphase...

    Und an dem Punkt kommen da auch schon meine nächsten Projekte ins Spiel, der Netzwerkvideorecorder (nuuo NVR2mini) und die WD-Cloud.
    Damit der nuuo wieder weltweit (vom Handy) erreichbar ist trage ich mich mit dem Gedanken mit dem DynDNS vom Router auf die UTM umzuziehen, ist das sinnvoll? Oder einfach nur durchleiten?
    Zur WD-Cloud habe ich noch keinen Plan, die sagt mir immer nur das sie keine Internetverbindung hätte obwohl die Ports 80 und 443 frei sind.


  • Und an dem Punkt kommen da auch schon meine nächsten Projekte ins Spiel, der Netzwerkvideorecorder (nuuo NVR2mini) und die WD-Cloud.
    Damit der nuuo wieder weltweit (vom Handy) erreichbar ist trage ich mich mit dem Gedanken mit dem DynDNS vom Router auf die UTM umzuziehen, ist das sinnvoll? Oder einfach nur durchleiten?
    Zur WD-Cloud habe ich noch keinen Plan, die sagt mir immer nur das sie keine Internetverbindung hätte obwohl die Ports 80 und 443 frei sind.


    Sind die Geräte die von aussen erreichbar sind in deinem Hausnetz? Wenn ja ist das eine ganz schlechte Idee. Die gehören in eine DMZ so das sie im Falle eines Hacks nicht dazu genutzt werden können den Rest des Netztes Hoch zu nehmen.

    Gruss
  • Noch sind sie im Hausnetz, sind allerdings noch nicht von aussen erreichbar, das will ich ja noch umstellen.
    Bei ersten Versuchen in der Richtung ist mir aufgefallen das das Hausnetz und das Kindernetz komischerweise miteinander verbunden sind, heisst ich erreiche mit PCs aus jedem der Netze problemlos jede IP im jeweils anderen Netz, auf den Router jedoch komme ich aus keinem der beiden Netze.
    Ich habe nur eine NAT-Regel intern-HTTP-WAN mit automatischer FW-Regel festgelegt, Webprotection ist an, IP-Bereiche sind verschiedene.
    Wie trenne ich die Netze und mache den Router erreichbar um mal von meinem Hauptrechner in die Konfiguration zu kommen?