Suche m0n0wall Tut o. Support für...

Borderlinedance

Borderlinedance

Well-Known Member
Hi

Hatte bis jezt nen Business DSL Internetanschluss mit 5 festen IP's.
Der wird nun gestrichen, jezt brauch ich was damit ich den Webserver weiterhin OnLine halten kann.
Mir ist da die m0n0wall 1.2 aufgefallen.
Hab die auch ausprobiert, und mit nem Tutorial auch ein DMZ installiert.
http://www.darkdestination.de/monotuts/

Der Webserver hatte aber weder Internet, noch war er erreichbar.
Ich habs dan (anstelle DMZ) mit ner Wan britge versucht.
Da hatte der Webserver zwar Internet, aber war nicht erreichbar.
Jezt such ich jemand der sich mit m0n0wall gut auskennt und mir da helfen kann.

Das Ziel siet so aus:
dmz-network.gif


- Am besten mit zwei oder drei "DMZ's" :) (zb. für WLAN, WebServ, usw.)
- Alle DMZ's sollten aus dem Internett erreichbar, und ungefiltert sein (also ohne Schutz)


PS: Es muss nicht unbeding m0n0wall sein. Und es muss auch nicht unbedingt mit einem DMZ funktionieren. Haupsache es Funktioniert, und ich weis wie ich das ganze kontrollieren kann.


Danke für Eure Hilfe
Und sorry wenn ich hier etwas hektisch bin, aber ich habs wirklich eilig.

Desswegen nochmals DANKE. :)
 
fang erstmal so an und sag uns lieber ob den internet bei den clients geht?

wenn ja dann haste was falsch konfiguriert und das kann nich so schwer sein weil du bei m0n0wall nix falsch machn kannst oder du hast zu wenig gelesen worauf ich schliesse wenn du sagst du hast es eilig. aber ich hab oft m0n0wall eingerichtet und das in ner ziemlich kurzen zeit. selber hab ich es nich am laufen aber ich hab leute gesehen die haben es eingerichtet und haben sowas noch nie gemacht und wissen noch nichma was bsd oder linux ist.
 
Hi Marvin

Ja, zu wenig gelesen kann gut sein. Allerdings nicht mit Absicht, ich kann einfach kein (nur ganz schlecht) Englisch.
Zu dem hab ich mit guten (komplizierten) Firewalls nur spährlich Erfahrung.

Zu deiner Frage, oder einfach "zur erweiteirung der Informationen". ;)
Ich hab die Monowall nach dem Tut von Darkdestination.de Installiert.
Das LAN ging dabei über DHCP, und hat von Anfang an einwandfrei funktioniert.
(Wie oben auf auf dem Bild, einfach mit anderen IP Adressen)
Im DMZ wollte ich (nicht wie oben angezeit) den Webserver einrichten.
(Ebenfalls mit anderen "passenden" IP Adressen)
Diesen vorgang hab ich ebenfalls nach dem Tutorial gemacht.
Das hat aber so nicht funktionier, ich hatte auf dem Webserver keinen kontakt zum Internet.
Ich hab dann das DMZ in eine "WAN Britge" umgewandelt, von da an hatte ich wieder mit dem Webserver ins Internet.
Jedoch über Internet die Website abrufen oder darauf zugreifen ging nicht.
Im LAN hatte ich dabei immer Internetkontakt.

Zur Hardware:
- m0n0wall: ap CD
- Speichern der Einstellungen: auf Floppy
- NIC: 4 Stück (tauglich & installiert als: WAN, LAN, DMZ und OPT)

Der Webserver funktioniert, und ist forübergehend wieder and der zweiten Wan angeschlossen.

Mein Ziel ist es aber alles funktionstüchtig an nur einer Wan zu installieren.
(Dynamisch oder FixWAN ist mir für die Zukunft eigentlich egal)
 
Hallo,
ich habe hier eine ziemlich ähnliche Konfiguration am laufen (am tuen)

1:WAN
2:LAN
3:DMZ
4:WLAN

die Konfiguration düe deinen Server ist recht simpel. Schließe ihn an die DMZ-Karte an.
In den Firewallregeln mußt du noch n' Loch bohren, damit vom WAN jemand auf die DMZ zugreifen kann.

Rules, WAN:
Proto Source Port Destination Port Description
TCP * * 192.168.124.13 80 (HTTP) NAT HTTP-Zugriff auf -13

NAT, Inbound
If Proto Ext. port range NAT IP Int. port range Description
WAN TCP 80 (HTTP) 192.168.124.13 80 (HTTP) HTTP-Zugriff auf DMZ

Stefan
 
Borderlinedance schrieb:
Der Webserver hatte aber weder Internet, noch war er erreichbar.
Zum Vergrößern anklicken....
Was hast du denn jetzt für eine Verbindung? Home-DSL? In dem Fall hast du sicherlich keine fest zugewiesene IP.
Da geht es dann schon los. In dem Fall ist es normal, dass der WebServer aus dem Internet nicht erreichbar ist. Auch eine Namensauflösung wäre dann nicht ohne weiteres möglich.
Hier könnte zum Beispiel www.dyndns.org unterstützen. Dort gibt es auch Links zu Tools welche für den Update der IP-Info für die Namensauflösung behilflich sind.
Borderlinedance schrieb:
Alle DMZ's sollten aus dem Internett erreichbar, und ungefiltert sein (also ohne Schutz)
Zum Vergrößern anklicken....
Keine gute Idee. Klar, mindestens der Ports 80 muss frei zugänglich sein für eine WebServer. Bei Mail-, FTP-Servern, etc., natürlich entsprechend weitere Ports. Aber völlig offene DMZ ist immer mit unnötigem Risiken verbunden.

Im Moment ist es für uns schwer einzuschätzen wie gut deine Netzwerkkenntnisse sind. Was du bereits berücksichtigt hast und wo ggf. die Fehler liegen. Daher können die Antworten hier nur ein Schuss ins blaue sein und ggf. dein Ziel völlig verfehlen. Ein paar mehr Hintergrundinformationen wären da sehr hilfreich um dir helfen zu können.
 
Hmm

Ein Loch bohren....
Dachte ich mir schon sowas, aber das DMZ sollte doch eigentlcih "voll offen" sein oder ?

Ach was den Internetanschluss angeht,
NOCH ist das ein: DSL mit 8 Fixen IP's (nur 5 sind nutzbar)


EDIT:// Ich hab da noch da noch zwei HW Firewall's für LAN u./o. WLAN. Die kann ich auch nach dem DMZ gut einsetzen, allerdings muss das DMZ erst funktionieren. ;)

Der Sinn dieser Firewall soll sein...

Aus einem Angriffspunkt (FixIP),
viel Angriffspunkte zu machen!

Hinter jedem RoutPort (Lan,Dmz,Wlan....), eine andere Firewall.
 
Zuletzt bearbeitet:
Borderlinedance schrieb:
aber das DMZ sollte doch eigentlcih "voll offen" sein oder ?
Zum Vergrößern anklicken....
Das wäre eine Philosophie die mir nicht bekannt ist.
Nein. Auf gar keinen Fall. Auch und gerade ein Webserver muss geschützt werden.
Er muss lediglich "offen" in der Hinsicht sein, daß er vom Internet aus erreichbar ist. Dafür genügt es meist den Port 80 zu öffnen.
Borderlinedance schrieb:
NOCH ist das ein: DSL mit 8 Fixen IP's (nur 5 sind nutzbar)
Zum Vergrößern anklicken....
Dann sollte das schon mal kein Problem darstellen. Sofern du dein Netzwerk korrekt konfiguriert hast sollte dieser auch von aussen erreichbar sein. Zumindest wenn du diese IP von aussen anpingst. Namensauflösung ist dann das nächste Thema.
Solltest du allerdings versuchen von einem Client in deinem LAN aus diesen Webserver zu erreichen und dabei "feststellen", daß er nicht vom Internet aus erreichbar ist dann hast du ein Verständnisproblem. Um dies zu verifizieren muss wirklich von aussen versucht werden darauf zu zu greifen. Bei Problemen im LAN kann es verschiedene andere Ursachen haben, daß der Zugriff nicht funktioniert (z.B. aufgrund unterschiedliche Netmasks und/oder Filterregeln bzw. Namensauflösung). Wobei der Webserver dann evtl. vom Internet aus doch erreichbar ist (Insbesondere wenn er bei dir wirklich von Aussen "voll offen" ist).
Um dies von einem Client aus dem LAN heraus testen zu können funktioniert das in der Regel dann wenn du einen Client nutzt der zwar Zugang zum Internet hat aber nicht in dem selben Netzwerk hängt wie der Webserver (geht auch anders aber erleichtert die Analyse)
Borderlinedance schrieb:
Der Sinn dieser Firewall soll sein...

Aus einem Angriffspunkt (FixIP),
viel Angriffspunkte zu machen!
Zum Vergrößern anklicken....
Wie, du willst Angriffspunkte machen?
Angriffspunkte macht man nicht, man schützt sie.
Borderlinedance schrieb:
Hinter jedem RoutPort (Lan,Dmz,Wlan....), eine andere Firewall.
Zum Vergrößern anklicken....
Den versteh ich nicht. Liefer doch mal eine Grafik von der Konfiguration die du dir vorstellst.
 
Die Idee ist die:
- Ich mach ein DSL Abo mit ein FixIP.
- Hinter dem Modem kommt die M0n0wall mit 5 DMZ's. (zb. x.x.x.25-30)
- Die dienen für mich dann als 5 Fixe Wan Adressen, und hinter jede kommt ein Router/Firewall.

Das ist die Idee, fragt sich blos ob sie auch funktioniert.
 
Ich habs jezt mal geschaft das DMZ einzurichten.
Der Webserver steht an der Stelle des Acces Points (Bild oben).
Er hat auch Internettkontackt, auf die Website kann aber nicht zugegriffen werden. :(

Wer will kann sich da ruhig mal umschauen.

- Der Internetkontackt ist 81.63.193.26
- Alle anderen IP's sind die selben wie oben aucf dem Bild.
- Name/Passwort = admin/mono

Nur zu!

Dieser Idiotische Eintrag ist kein Fake.

Ich hoffe ihr findet meine(n) Fehler, und könnt mir berichten.
 
Wie gut, das dich die Monowall vor deiner eigenen Dummheit bewahrt...gibst hier doch glatt die Accountdaten für jedermann lesbar an...

Das Webinterface der Monowall ist Gottseidank nicht auf dem WAN-Interface erreichbar...hast nochmal Glück gehabt.

Dein Problem ist eigentlich gar nicht so schwer, und ist afaik sogar in der Anleitung beschrieben.

1. Du musst an deinem Webserver die Monowall natürlich als Gateway und DNS eintragen. Auf der Monowall solltest du deshalb den DNS-Forwarder eingerichtet haben. Ob das funktioniert, kannst du überprüfen, wenn du mit deinem Webserver online gehst und surfst. (Anstatt den DNS-Forwarder auf der Monowall einzurichten, kannst du auch am Webserver die externen DNS-Server-IPs eintragen...geht genauso)

2. Du musst auf der Monowall eine Portweiterleitung von Port 80 WAN Interface auf Port 80 (http) Webserver-IP einrichten. Dann solltest du auch von aussen den Webserver erreichen. Beachte: VON AUSSEN...komm jetzt nicht auf die Idee, es von deinem Internen Netzwerk aus zu probieren, das geht nicht (zumindest nicht, wenn du alles richtig gemacht hast).


"- Hinter dem Modem kommt die M0n0wall mit 5 DMZ's. (zb. x.x.x.25-30)
- Die dienen für mich dann als 5 Fixe Wan Adressen, und hinter jede kommt ein Router/Firewall."

Da hab ich irgendwie nicht verstanden, was du da erreichen willst...klingt komisch...

cla
 
cla schrieb:
Wie gut, das dich die Monowall vor deiner eigenen Dummheit bewahrt...gibst hier doch glatt die Accountdaten für jedermann lesbar an...

Das Webinterface der Monowall ist Gottseidank nicht auf dem WAN-Interface erreichbar...hast nochmal Glück gehabt.

Dein Problem ist eigentlich gar nicht so schwer, und ist afaik sogar in der Anleitung beschrieben.
Zum Vergrößern anklicken....

Naja hab natürlich schon dafür gesorg das da nicht all zu viel zu entdecken ist. ;)

cla schrieb:
1. Du musst an deinem Webserver die Monowall natürlich als Gateway und DNS eintragen. Auf der Monowall solltest du deshalb den DNS-Forwarder eingerichtet haben. Ob das funktioniert, kannst du überprüfen, wenn du mit deinem Webserver online gehst und surfst. (Anstatt den DNS-Forwarder auf der Monowall einzurichten, kannst du auch am Webserver die externen DNS-Server-IPs eintragen...geht genauso)
Zum Vergrößern anklicken....
Also mit dem Webserver Sufen funktioniert.
Wiso man aber auf den Websurfer nicht zugreifen an ist mir nicht ganz klahr. (Page ansehen)

cla schrieb:
2. Du musst auf der Monowall eine Portweiterleitung von Port 80 WAN Interface auf Port 80 (http) Webserver-IP einrichten. Dann solltest du auch von aussen den Webserver erreichen. Beachte: VON AUSSEN...komm jetzt nicht auf die Idee, es von deinem Internen Netzwerk aus zu probieren, das geht nicht (zumindest nicht, wenn du alles richtig gemacht hast).
Zum Vergrößern anklicken....
Ich dachte Portforwarding ist nicht notwändig, da es sich ja um ein DMZ handelt. Ist das Falsch?
Mann ich hab inzwischen voll das Kaos in der Birne. :grumble:

cla schrieb:
"- Hinter dem Modem kommt die M0n0wall mit 5 DMZ's. (zb. x.x.x.25-30)
- Die dienen für mich dann als 5 Fixe Wan Adressen, und hinter jede kommt ein Router/Firewall."

Da hab ich irgendwie nicht verstanden, was du da erreichen willst...klingt komisch...

cla
Zum Vergrößern anklicken....

Vergiss die Idee, man sollte nicht so lange rumbrühten etwas zu erreichen, wo man doch eigentlich sowiso weiss das es nicht funktionieren kann.

Mit einem einfachen DSL Anschluss wia m0n0wall 5 Fixe WAN Adressen generieren,
ist einfach idiotisch.
Ich war wohl ein bischen müde. :o
 
FUNKTIONIERT !!!! ;D

Ooohhh ... Leute ich bin ja sooo ein Idiot.

Ein kleiner Haken, und alles ist Ok.
Ich hasse das, immer das selbe. *ggg*

Naja ich lasse euch den spass über meine Dummheit noch ein wenig,
und lass die beiden Testobiekte (Server & m0n0wall) für euch noch ein bischen laufen.

Ein Teil der Angaben sind ja schon oben aufgeführt.
Kaput gehen kann nichts, es wird später sowiso alles gelöscht.
Macht also was ihr wollt.

Wer das Admin Passwort für den Webserfer benötigt.
Name: Administrator
Passwort: Web1234
Das Adminweb ist auf port 8098 (https). ;)

Viel Spass, und danke für die Hilfe. 8D

EDIT:// Die Adminweb kann nur mit InternetExplorer Angezeigt werden. :(
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben