Firewall nicht brauchbar!

[luddi]

Heute Nachmittag/Abend teste ich das mal aus und berichte

Yo, genau das habe auch ich vor

Gruß
luddi

 

[Crash1601]

Yo, genau das habe auch ich vor

Gruß
luddi

Alles klar - bin gespannt welche Erkenntnisse Du bekommst

 

[luddi]

Ich gebe dir nämlich Recht, den Gedanken mit Regel #1 in deinem Fall hatte ich zuerst auch bei mir so angelegt und war der Meinung dass das so funktionieren würde. Hat aber nicht geklappt und somit habe ich den IP Range auf "ALL" gesetzt für DHCP und somit ging es dann auch. Aber warum das so ist habe ich damals nicht genauer erforscht.
Und das haben dir auch deine Netzwerkjungs bestätigt... aber warum auch immer ist das bei der Syno Firewall anders? Ich weiß es nicht... aber das gilt es später herauszufinden ob meine Theorie dazu plausibel ist.

Ganz ehrlich? Ich bin auch gespannt!

 

[Crash1601]

Und das haben dir auch deine Netzwerkjungs bestätigt... aber warum auch immer ist das bei der Syno Firewall anders? Ich weiß es nicht... aber das gilt es später herauszufinden ob meine Theorie dazu plausibel ist.

Ja - wenn du Port x für z.B. 192.168.178.0/24 frei gibst, dann beinhaltet das auch die Freigabe des Ports X für die Netzwerkadresse und auch Broadcastadresse.

So dachte ich das ja auch, daher meine Verwirrung

In ein paar Stunden sind wir schlauer - wie denn nun die Syno Firewall tickt.

Btw: Ist es korrekt das mit Aktivierung des DNS Servers die Festplatten nicht mehr in den Ruhemodus wechseln? In der Paketbeschreibung steht davon nichts.

 

[Crash1601]

@luddi

Ich habe gerade mal getestet. Also es muss zwingend DHCP für alle Quell IPs freigegeben werden, ansonsten funktioniert es nicht. Theoretisch müsste man wahrscheinlich DHCP für 0.0.0.0 freigeben, aber da das ungültig ist bleibt nur die Option für alle Quell IPs zu öffnen.

Im übrigen bekomme ich bei nicht funktionierendem DHCP auf der DS eine IP aus dem Netzwerk 192.168.1.0 zugewiesen. Wo die herkommt weiss ich nicht. Ich meine Windows 7 würde selbst IPs vergeben, wenn sonst nichts verfügbar ist, aber das sind meine ich auch wieder ganz andere Adressen. Sehr komisch. Der DHCP auf der Fritzbox ist deaktiviert - der kann es also nicht sein.

 

[luddi]

@crash1601

Vielen Dank für deine Ergebnisse. Ich komme nämlich genau auf das gleiche Resultat. Man kann darin definieren was man will und bekommt es nicht zum laufen. Es muss wie du schon schreibst tatsächlich auf ALL gesetzt werden... Somit war meine Vermutung über die Funktionsweise der Firewall nicht korrekt. Sorry an alle, falls ich für Verwirrung gesorgt haben sollte.
Somit bleibt uns vorerst nichts anderes übrig die Firewall für DHCP genau so einzustellen.

Also wenn kein weiterer DHCP Server in deinem Netzwerk läuft dann ist es schon recht seltsam... Und wie du schon sagst, man würde doch irgendeine 169.254... Adresse bekommen.

Gruß
luddi

 

[Crash1601]

@crash1601

Vielen Dank für deine Ergebnisse. Ich komme nämlich genau auf das gleiche Resultat. Man kann darin definieren was man will und bekommt es nicht zum laufen. Es muss wie du schon schreibst tatsächlich auf ALL gesetzt werden... Somit war meine Vermutung über die Funktionsweise der Firewall nicht korrekt. Sorry an alle, falls ich für Verwirrung gesorgt haben sollte.
Somit bleibt uns vorerst nichts anderes übrig die Firewall für DHCP genau so einzustellen.

Also wenn kein weiterer DHCP Server in deinem Netzwerk läuft dann ist es schon recht seltsam... Und wie du schon sagst, man würde doch irgendeine 169.254... Adresse bekommen.

Gruß
luddi

Schonmal gut das wir auf das gleiche Ergebnis kommen Ich hatte schon überlegt ob evtl. mein Netgear Switch Adressen vergibt, aber dort habe ich auch nichts gefunden.

Btw: Habe meinen OpenVPN Server auch gerade mal getestet (wegen der Firewall). Für diesen muss kein extra Netz freigegeben werden. ABER ich habe festgestellt das scheinbar seit der neuen OpenVPN Version 2.3.6 das "Remote Netz" extra einen route Eintrag in der OpenVPN Config braucht, sonst werden IP-Adressen von dem Remote Netz nicht gefunden. Bisher ging das ohne extra eintrag. Folgendes habe in der openvpn.ovpn Config auf dem Client zu der "Standard" Config eingetragen:

route 192.168.178.0 255.255.255.0

...das nur als Info falls jemand gerade am gleichen Problem sitzt und den kram hier liest

 

[luddi]

...seit der neuen OpenVPN Version 2.3.6 ...

Von welcher Version ist die Rede??? Sprichst du von dem VPN Server Package?

*EDIT: Ach jetzt komme ich mit... du meinst auf der Client Seite.
Ich werde das mal installieren und es selbst prüfen. Wenn es nicht geht, dann weiß ich ja was zu tun ist

Gruß
luddi

 

[Crash1601]

Von welcher Version ist die Rede??? Sprichst du von dem VPN Server Package?

*EDIT: Ach jetzt komme ich mit... du meinst auf der Client Seite.
Ich werde das mal installieren und es selbst prüfen. Wenn es nicht geht, dann weiß ich ja was zu tun ist

Gruß
luddi

Ja genau, den Client meine ich Ich war gestern etwas in Eile und habe mir nicht so viel Mühe gegeben beim formulieren sorry

 

[mabox]

Vielleicht solte jemand meinen Themen Titel ändern und das "nicht brauchbar" entfernen oder ein ? dahinter machen und am besten das Thema "anpinnen"

Mitlerweile denke ich ist die Firewall durchaus brauchbar, aber schon ziemlich speziell. Ich verstehe meinen offenen Punkten zu den Regeln ja immer noch nicht so recht.
Vor allem weil es mir immer noch nicht möglich ist einen einzelnen Client in meinem LAN der in einer "Verweigern" Regel an oberster Stelle steht zu blocken. Ich denke die Firewall arbeitet bei mir nicht von oben nach unten
Und warum die Firewall den internen DNS Namen nicht auflösen kann und daraus quais eine "nicht DE" Adresse macht ist auch komisch....

 

[Frogman]

Vielleicht solte jemand meinen Themen Titel ändern und das "nicht brauchbar" entfernen oder ein ? dahinter machen und am besten das Thema "anpinnen"

Ein sehr gutes Beispiel dafür, dass man sich bei der Threaderstellung durchaus Gedanken über den Titel machen sollte. Ganz ehrlich? Als ich das erste Mal Deinen Thread gesehen hatte, habe ich mich an der Aussage - bekräftigt auch noch durch das Ausrufezeichen - ordentlich gestört und war drauf und dran, Dir dazu einen Kommentar zu schreiben Solange es sich nicht um Fakten handelt, sondern um Probleme oder Fragen, sollte man das im Titel wie auch im Text deutlich zu verstehen geben - "reißerische" Statements sind im Frust manchmal verständlich, aber wenig hilfreich...

Und warum die Firewall den internen DNS Namen nicht auflösen kann und daraus quais eine "nicht DE" Adresse macht ist auch komisch....

Alles, was in Deinem LAN stattfindet, kann nicht auf Deutschland oder ein anderes Land zugeordnet werden

 

[dil88]

Mir geht es ähnlich wie Frogman mit diesem Thread. Ich war schon mehrfach versucht, darum zu bitten, einen neuen Thread zu erstellen, um diesen Threadtitel loszuwerden. Vielleicht wäre das möglich.

 

[Crash1601]

Mir geht es ähnlich wie Frogman mit diesem Thread. Ich war schon mehrfach versucht, darum zu bitten, einen neuen Thread zu erstellen, um diesen Threadtitel loszuwerden. Vielleicht wäre das möglich.

Den Titel kann man doch einfach ändern, oder liege ich da falsch? Ich meine das geht

 

[mabox]

Oh je....... ich glaub sogar das ich das eigentlich nicht mit Absicht gemacht hatte sondern statt Ausrufezeichen ein Fragezeichen machten wollte, wenn auch die Tasten eigentlich weit auseinander liegen.
Wenn man aber eigentlich nur meinen noch einen offen Punkt betrachtet in dem ich diesen einzelnen Client nicht blockieren kann, ist es eigentlich wieder gar nciht so falsch.
Egal, wenn mir jemand sagt wie ich den Titel anpassen kann, mach ich das, ansonsten soll ihn ein Admin löschen wenn er so störend ist.

Alles, was in Deinem LAN stattfindet, kann nicht auf Deutschland oder ein anderes Land zugeordnet werden

Es soll ja nicht einem Land zugeordnet werden. Ich habe die Regel aktiv "nur DE" Adressen und dort verschieden Ports, aber nicht den ssh Port. In der Konstallation kann ich nicht meine NAS aufrufen mit ssh root@dnsname, sondern nur mit ssh root@IPadresse. Erst wenn ich in der DE Regel auch den Port ssh zulasse kann ich wieder über den internen DNS Name verbinden.

 

[Frogman]

Es soll ja nicht einem Land zugeordnet werden. Ich habe die Regel aktiv "nur DE" Adressen und dort verschieden Ports, aber nicht den ssh Port. In der Konstallation kann ich nicht meine NAS aufrufen mit ssh root@dnsname, sondern nur mit ssh root@IPadresse. Erst wenn ich in der DE Regel auch den Port ssh zulasse kann ich wieder über den internen DNS Name verbinden.

Nein - solange die DDNS-Adresse (bitte nicht mit DNS verwechseln!) nicht über einen externen DNS-Server aufgelöst wird, weiß die Firewall nichts davon, ob es sich dahinter um eine deutsche IP handelt...

 

[dil88]

Den Titel kann man doch einfach ändern, oder liege ich da falsch? Ich meine das geht

Nach meinem Kenntnisstand kann man ein Posting nur eine gewisse Zeit editieren, dann nicht mehr.

 

[Crash1601]

Nach meinem Kenntnisstand kann man ein Posting nur eine gewisse Zeit editieren, dann nicht mehr.

Achso. Ich wollte gerade schreiben das ich die Option zur Bearbeitung nicht mehr finden kann, aber weiss das ich das schon mal gemacht habe

 

[nicoho98]

Wirklich?Danke schoen fuer euche Antworten!