Gäste Netzwerk einrichten
Soll ein Gäste-Netzwerk an einem
DEFENDO betrieben werden, um z.B. Besuchern die Möglichkeit zu geben über WLAN ins Internet zu gelangen, folgen Sie dieser Anleitung.
Beachten Sie, dass bei der hier beschriebenen Konfiguration ein Zugriff vom Gäste-Netzwerk in das interne LAN des DEFENDOs nicht möglich ist.
Schnittstelle anlegen
Zunächst ist unter "Module > Netzwerk > Schnittstellen" eine neue Schnittstelle vom Typ "Ethernet (eth)" mit der Firewall-Vertrauensstufe "gering (Demilitarisierte Zone)" anzulegen. Tragen Sie als "Schnittstellen-Nummer" die Nummer einer ungenutzten Netzwerkkarte ein (z.B. "2" für eth2). Geben Sie dieser Schnittstelle anschließend eine IP-Adresse
aus einem ungenutzten privaten Adressbereich (z.B. 192.168.1.1).
Firewall anpassen
Wechseln Sie ins Menü "Module > Einstellungen > Regeln" und wählen Sie dort Ihre Internet-Schnittstelle (in der Regel adsl0 oder eth1) aus. Wechseln Sie auf den Reiter (Tab) für
Weiterleitungsregeln ("* > DEFENDO > ...") und fügen eine Regel wie folgt hinzu:
- Protokoll
- Wählen Sie "*" um vollen Zugriff auf das Internet zu erlauben. Sollen nur einzelne Protokolle erlaubt werden, erstellen Sie
am besten ein eigenes Protokoll und wählen dieses hier aus. Sie können aber auch mehrere Regeln mit den entsprechenden Protokollen
anlegen.
- Quell-Zone
- DMZ
- Quell-IP/Netzwerk
- Leer lassen oder das Netzwerk der DMZ-Schnittstelle eintragen (z.B. 192.168.1.0/24)
- Ziel (...)
- Leer lassen
- Nur in Versionen vor 7.0
- Aktivieren Sie die NAT-Option
SNAT konfigurieren
Dieser Schritt entfällt in Versionen vor 7.0
Wechseln Sie auf den Reiter "* > SNAT" Ihrer Internet-Schnittstelle und erstellen Sie folgenden Eintrag:
- Protokoll
- *
- Quell-Zone
- DMZ
- Quell-IP/Netzwerk
- Leer lassen oder das Netzwerk der DMZ-Schnittstelle eintragen (z.B. 192.168.1.0/24)
- NAT
- Aktivieren Sie die NAT-Option
- Ziel (...)
- Leer lassen
Bei dieser Regel geht es nicht darum, bestimmte Verbindungen zu erlauben oder zu verbieten. Das erkennen Sie auch an der fehlenden
Spalte "Zugriff". Die Regel sorgt dafür, dass die in der DMZ verwendeten internen IP-Adressen auf eine im Internet gültige IP-Adresse umgesetzt
werden.
IP-Gruppe "INTRANET"
Nicht zwingend notwendig aber dennoch empfohlen ist es, die Gruppe "INTRANET" unter "Definitionen > IP-Objekte" entsprechend Ihrer tatsächlichen lokalen Netzwerke anzupassen. So wird im Auslieferungszustand darin unter anderem das Netzwerk
192.168.0.0 mit einer 16-Bit Netzmaske aufgeführt. Dies steht für ALLE Netzwerke, die mit 192.168. beginnen. Wenn Sie im LAN
nun das Netzwerk 192.168.0.0/24 und im Gästenetzwerk das Netz 192.168.1.0/24 verwenden, könnten auch die Clients aus dem Gästenetz
die Dienste des DEFENDOs nutzen, entsprechende Firewall-Konfiguration vorausgesetzt. Da dies nicht erwünscht ist, sollten Sie alle Einträge aus der
Gruppe "INTRANET" löschen und nur die tatsächlich intern genutzten Netze wie z.B. 192.168.0.0/24 hinzufügen.
Konfiguration der Clients
Den Clients wird die Netzwerk-Konfiguration am besten per DHCP zugewiesen. Falls Sie im Gästenetz einen WLAN Access-Point
betreiben, können Sie dessen DHCP-Server nutzen. Alternativ stellt auch DEFENDO einen DHCP-Server zur Verfügung, der im Menü "Module > DHCP" konfiguriert wird.
Weisen Sie als Standard-Gateway die DMZ-IP des DEFENDOs zu.
Für die Namensauflösung haben Sie mehrere Möglichkeiten. Am einfachsten ist es, wenn Sie als DNS die Server Ihres Providers
zuweisen. Falls diese nicht bekannt sind oder dynamisch zugewiesen werden, können Sie auch öffentliche DNS-Server wie z.B.
die von Google verwenden. Solange im DEFENDO-DNS keine Weiterleitungen an interne DNS-Server aus dem LAN konfiguriert sind, spricht auch nichts dagegen, den DEFENDO-DNS zu verwenden. In der Firewall-Konfiguration der DMZ-Schnittstelle ist dazu der Zugriff für das Protokoll "DNS" freizugeben.
Prüfen Sie ferner im Menü "Module > DNS > Einstellungen" auf dem Reiter (Tab) "Client-Zugriff" unter "Lokale IP-Adressen" ob das DMZ-Netzwerk berechtigt ist, den DEFENDO-DNS zu nutzen. Falls Sie unserer Empfehlung gefolgt sind, ist das DMZ-Netzwerk nicht in der Gruppe "INTRANET" enthalten.
Fügen Sie in diesem Fall einen zusätzlichen Eintrag mit dem DMZ-Netzwerk ein (z.B. 192.168.1.0/24).
In der hier beschriebenen Konfiguration wird der DEFENDO Web-Proxy von den Gästen nicht genutzt. Im Browser darf folglich kein Proxy konfiguriert sein. Die Verwendung des Web-Proxies
ist zwar technisch möglich, über den Proxy kann jedoch zunächst auch auf interne Netzwerke wie das LAN zugegriffen werden!
Wie dies zu verhindern ist, ist abhängig von verschiedenen Randbedingungen, deren genaue Erläuterung den Rahmen dieses Artikels
sprengen würde. Im einfachsten Fall genügt es, in der Firewall den Zugriff von DEFENDO auf schützenswerte Netze zu verbieten.