ComputerBase Menü
Aktuelles

Konfiguration von Firewall SonicWall NSA240

Sithys

Sithys

Captain Pro
Registriert
Dez. 2010
Beiträge
3.489
Moin zusammen,
vermutlich richtet sich der Beitrag an die erfahrenen Netzwerkspezialisten unter Euch. Es geht um folgendes...

Problem
Wir haben im Büro ständig Probleme mit dem Internet gehabt. Wir arbeiten mit ca. 10 - 12 Personen über eine Synchrone 6.000er Leitung und haben 16 feste IP-Adressen. Die benötigen wir hauptsächlich für den E-Mail Verkehr und den Apache Web-Server, welcher bei uns läuft. Vorhanden sind außerdem eine Active Directory und ein bisschen Kleinkram.
Da es aber immer wieder dazu kommt, dass die Leitung durch Updates von Windows oder sonstigem blockiert ist und dann niemand mehr richtig arbeiten kann, haben wir noch eine 100.000er Leitung von Kabel Deutschland dazu gebucht.
Es gibt also 2 Internetleitungen, die Synchrone 6000er und die 100.000er von Kabel.


Wir möchten nun gerne die Firewall so konfigurieren, dass die externen Anfragen der Nutzer von der 100.000er Leitung verarbeitet werden, und alles andere (E-Mails, der Apache Web-Server etc.) über die synchrone Leitung läuft.

Ich bekomme es aber nicht hin, die Firewall so einzustellen, dass genau das passiert. Ist das überhaupt möglich? Ich war schon so weit, dass alles funktioniert hat bis auf die E-Mails... die gingen dann gar nicht mehr. Da hab ich noch eine Stunde dran gesessen, und anschließend das zuvor gezogene Backup eingespielt.

Vielleicht kennt sich von Euch ja jemand aus und kann mir sagen, wie ich das gewünsche Vorhaben realisieren kann.


 
WSUS wäre auf jeden Fall sinnvoll, allerdings muss ich mich in die Thematik erstmal einlesen. Zurzeit laden hier ja 10 Rechner die gleichen Updates runter was völlig bescheuert ist. Das schaue ich mir noch mal an.

​Danke für den Link!
Ergänzung ()

Wenn es hier jemand aus dem Postleitzahlgebiet 2821* geben sollte, oder Umkreis, der Bereit wäre das für uns einzurichten, wäre das natürlich toll. Das soll natürlich nicht unendgeltlich erfolgen.
 
Ich kenne die SonicWall nur vom Namen her, daher kann ich nur mutmaßen. Grundsätzlich sollte es möglich sein, eMail-Verkehr separat zu routen. Dazu musst du nur entsprechende Filter-Regeln definieren, die Traffic auf folgenden Ports über das entsprechende Gateway routen. Evtl. gibt es dafür sogar schon definierte Portgruppen, das musst du mal in der GUI nachschauen.


SMTP: TCP 25, 465, 587

POP: TCP 110, 995

IMAP: TCP 143, 993



Die Regel sähe dann in etwa so aus:

Zielport in PortGruppe_EMAIL => Gateway2
Default => Gateway1

So würde jeder eMail-Client bei jedem eMail-Konto (also auch potentiell eingerichteten privaten Konten) grundsätzlich über Gateway2 routen. Alternativ könnte man auch nur die Ziel-IP des eMail-Servers routen. Das gilt dann natürlich nur für diesen einen Server.


Ähnlich verfährst du mit den anderen Diensten, die anders geroutet werden sollen. Hilfreich ist dabei stets ein Laptop mit WireShark. Damit kannst du dann den Traffic im LAN mitschneiden und schauen ob evtl. über zusätzliche Ports kommuniziert wird, weil zB der eMail-Server mit anderen Ports arbeitet.
 
Das ist ein Exchange 2008 evtl. finde ich dazu ja noch weitere Informationen im Netz. Alles etwas kompliziert für mich :/ Klar, WireShark sagt mir auch was, aber das dann alles einzurichten, so dass ich die benötigten Informationen erhalte etc. die Firewall zu konfigurieren...

Jede weitere Info ist natürlich nach wie vor nützlich!
 
Wenn man sich nen Moment Zeit nimmt, ist WireShark recht einfach zu bedienen. Es steht und fällt mit dem Paketfilter. Willst du zB checken ob eMails wirklich über die obigen Ports laufen, stellst du den Filter auf

ip.addr == ip.des.email.servers

Nun siehst du die alle Pakete, die vom/zum eMail-Server kommen/gehen. Nebst den jeweiligen Ports.

Natürlich kann man dich über das Forum Stück für Stück führen, aber das ist doch sehr langwierig und wenn's nicht klappt, kann man es selbst nicht debuggen. Ich würde mich vielleicht mal direkt im Forum der SonicWall melden.


Wenn dir dazu die Kenntnisse bzw. Fähigkeiten fehlen, dann kannst du natürlich auch mal bei einem Systemhaus anrufen. Ich kann mir eigentlich nicht vorstellen, dass die für ein bischen Routing so teuer sind - es sei denn sie wollen gleich noch Hardware und ein Support-Abo verkaufen...
 
Mit einem Cisco Router wäre es definitiv über die funktion "route-map & first-hop-address" möglich.
Hier kann man beliebig einstellen welche "Verbindungen/Protokolle" über einen bestimmten Port fließen sollen oder nicht.

Wie wäre es zunächst mal mit einem lokalen WSUS, dann werden nur 1x die Updates geladen, der rest wird dann über das LAN und GPOs zu den Clients gepusht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
Windows XP Dienste mit Internetfreigabe - Konfiguration der Firewall
Antworten
1
Aufrufe
3.539
Scheinweltname
Scheinweltname
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz