Problem mit Watchguard x750e

[sepp016 10]

Hallo an alle Watchguardspezialisten :-)

 

Folgendes ist am Laufen: Windows Server 2003 mit AD,DHCP,DNS,SQL mit 15 Clients(192.168.1.x/24). Als Firewall dient eine Watchguard x750e 9.1 welche auch an drei DSL16000 Leitungen hängt.

 

Jetzt wurde eine zweite unabhängige Domäne installiert. Selbe Config wie oben jedoch mit 170.169.100.x/16 Adressen. Hängt physikalisch am selben Switch. Soweit funktioniert auch alles.

 

Um die zweite Domäne ans Internet anzubinden habe ich in der Firewall eine secondary IP angelegt. Somit hat der Port, welcher mit dem Switch verbunden ist, zwei IPs. Die 192.168.1.254 und 170.169.100.254.

 

Problem: Keine Verbindung ins Internet, keine DNS Abfragen usw. von der neuen Domäne aus. Und das komische ist, im Hostwatch wird die Verbindung angezeigt z.B. 170.169.100.10 -->T_Online WAN = allowed :Proxy

 

Die Zweite Domäne benutzt die selben Firewallregeln wie die Erste. Ein Ping auf das Interface ist auch möglich.

 

Sobald ich die Fritz Box wieder anstecke und als Gateway eintrage funktioniert alles wieder.

 

Hat jemand eine Ahnung?

[IThome 10]

Wie sieht eine Beispielregel aus ... ANY-Trusted - ANY-External für HTTP z.B. ? Aktiviere mal die LOG-Allows und schau Dir den Vorgang im Traffic Monitor an. Ist Policy based Routing aktiviert ? Welche Art von Multi-WAN ist definiert ? Ist das Fireware oder Fireware Pro ? Warum benutzt Du für die unabhängige Domäne keinen von den 8 Ports der Box und deklarierst ihn als Trusted ?

[sepp016 10]

Es handelt sich um die Fireware Pro. Regeln sehen so aus: ANY-Trusted-->ANY-External(DNS,HTTP,POP3,FTP alles Proxies und noch HTTPS und PING) Policy Based Routing ist überall deaktiviert. Multi WAN wird über Round Robin gesteuert, Weight 1.

 

So jetzt habe ich gerade einen weiteren Trusted Port aktiviert mit der IP 170.169.100.254. Der Traffic Monitor ist jetzt überschwemmt mit: "2007-11-28 17:37:34 kernel MAC entry (00:0c:f1:be:ef:80 -- 0.0.0.0) changed from interface eth1 to interface eth3".

Die beiden Trusted Inerfaces hängen am selben Switch. Das dürfte aber kein Problem sein oder? Leider gibts immer noch keine Besserung.

 

Im HostWatch kommt folgende Meldung:

170.169.100.233(Server)-192.12.94.30-53 / udp-WUGMAG(Trusted)-1und1_WAN/PPPoE(WAN)-Proxy-DNS: http://www.www.ebay.de.com

 

Ich blick nicht mehr durch!!

[sepp016 10]

170.169.100.233 ist der Server der zweiten Domäne. Dort habe ich versucht auch eine Webseite zu gelagen. Seite nicht gefunden und dann sucht er nach auto.search.com. Diese Anfrage kommt bei der Firebox an und ist auch erlaubt. (laut Host Watch)

Jedoch bekomme ich keinerlei Antwort am IE bzw Server.

[IThome 10]

Entferne mal die Secondary und hänge den Server alleine an den zusätzlichen Trusted. Klappt das ? Warum ist das eigentlich ein öffentlicher Adressbereich in dem zusätzlichen Netzwerk ?

[sepp016 10]

Danke für Deine superschnelle Hilfe. Das habe ich total übersehen das der IP Bereich der zweiten Domäne im Öffentlichen Bereich liegt. Habe gerade die IP des Servers von 170.169.100.233 auf 192.168.100.233 geändert. Zum Schluss noch die Secondary IP des Trusted Interface auf 192.168.100.254 abgeändert und siehe da, jegliche Verbindung kommt zustande :D

Nächstes mal werde ich mehr auf die IP Bereiche achten!

 

Aber noramlerweiße müsste es doch auch funktionieren, dass zwei Trusted Interfaces mit unterschiedlichen IPs an einem Switch hängen oder? Ist jetzt nicht so wichtig aber heute Nachmittag hatte ich sofort sekundenweise Logeinträge mit "kernel MAC entry..."

 

Also nochmal Vielen Dank für Deine Hilfe IThome. Ich weiß das echt zu schätzen...

[sepp016 10]

Der Zugang zum Internet (bzw. zu den External Interfaces) hat von der Adresse 170.169.100.233 deswegen nicht funktioniert, weil der Adressbereich nicht im Dynamic NAT Table eingetragen war. Dort waren nur by default die drei Privaten Adressbereiche eingetragen!

[IThome 10]

Jep, so ist es ... :)