Menü „Netzwerk“

Im Menü „Netzwerk“ kann die Netzwerkkonfiguration durch Hinzufügen bestimmter Hosts und Routen optimiert werden.Zudem können Uplinks konfiguriert und VLANs hinzugefügt werden. Das Menü darf nicht mit dem Netzwerkkonfiguration-Assistenten unter Menüleiste ‣ System ‣ Netzwerkkonfiguration verwechselt werden, über den Schnittstellen und Zonen konfiguriert sowie Uplinks definiert werden können. Viele Einstellungen und Konfigurationsoptionen – insbesondere die nachfolgend unter Schnittstellen dargestellten – sind jedoch mit denen unter Netzwerkkonfiguration identisch, wo Sie auch ausführlichere Informationen dazu finden.

Das Untermenü auf der linken Seite enthält die folgenden Elemente, unter denen jeweils mehrere Konfigurationsoptionen zusammengefasst sind:

• Hosts bearbeiten: Definieren von Hosts für die Auflösung lokaler Domainnamen
• Routing: Einrichten von statischem und richtlinienbasiertem Routing
• Schnittstellen: Bearbeiten der Uplinks und Erstellen von VLANs

Hosts bearbeiten

Die Panda GateDefender-Appliance verfügt über einen Caching-DNS-Server (dnsmasq), von dem die Host-Datei (/etc/hosts) des Systems gelesen und zum Nachschlagen von Hostnamen verwendet wird. Diese Datei enthält die sogenannte statische Lookup-Tabelle, die das folgende Format aufweist:

IP1  Hostname1  [Hostname2]
...
IP2  Hostname3  [Hostname4]

IP1 und IP2 stehen dabei für eindeutige (numerische) IP-Adressen, während Hostname für einen benutzerdefinierten Namen für die entsprechende Adresse steht. Jeder IP-Adresse können also Namen bekannter Hosts zugeordnet werden. Es ist möglich, zur Datei benutzerdefinierte Hosteinträge hinzuzufügen, die dann für alle Clients, die über die Panda GateDefender-Appliance eine Verbindung herstellen, entsprechend aufgelöst werden.

Die Seite enthält zu Beginn keine Einträge oder die Liste zuvor definierter Hosts. In jeder Zeile werden eine IP-Adresse, der zugeordnete Hostname und, sofern angegeben, der Domänenname angezeigt. Für jeden Eintrag können jeweils zwei Aktionen ausgeführt werden: den Eintrag bearbeiten oder den Eintrag löschen.

Ein neuer Eintrag kann durch Klicken auf den über der Tabelle angezeigten Link Host hinzufügen hinzugefügt werden. Ein einfaches Formular wird die Tabelle ersetzen, in dem die folgenden Optionen angegeben werden:

IP-Adresse

Die IP-Adresse des Remote-Hosts.

Hostname

Der Hostname und die IP-Adresse des BDC.

Domainname

Ein optionaler Domainname.

Durch Klicken auf die Schaltfläche Host hinzufügen wird die Auswahl bestätigt. Weitere Hostnamen für dieselbe IP-Adresse können zugeordnet werden, indem die IP-Adresse nochmals auf die gleiche Weise mit einem anderen Namen eingefügt wird.

Die für jeden Host verfügbaren Aktionen sind Bearbeiten und Löschen.

Warnung

Das Löschen eines Hosteintrags durch Klicken auf das kleine Symbol erfordert keine zusätzliche Bestätigung und kann nicht rückgängig gemacht werden. Wurde ein Eintrag versehentlich gelöscht, muss dieser manuell erneut hinzugefügt werden.

Routing

Als Ergänzung zur Standardroutingtabelle unter Menüleiste ‣ Status ‣ Netzwerkstatus kann die Routingtabelle durch Regeln für statisches und richtlinienbasiertes Routing optimiert werden. Auf der Seite wird eine Tabelle mit allen benutzerdefinierten Routings angezeigt. Neue Regeln werden jedoch über zwei verschiedene Registerkarten hinzugefügt, da für sie leicht abweichende Einstellungen erforderlich sind. Die Tabelle enthält jeweils eine Zusammenfassung der Regel mit Quelle und Ziel für Netzwerke bzw. Zonen, dem Gateway, einer Anmerkung und der Liste der verfügbaren Aktionen: Regel aktivieren oder deaktivieren, Regel bearbeiten und Regel löschen.

Bei jeder Änderung an der Routingtabelle müssen die Änderungen gespeichert und der Dienst neu gestartet werden.

Statisches Routing

Mithilfe von statischen Routen können bestimmte Quell- und Zielnetzwerke festgelegten Gateways oder Uplinks zugeordnet werden. Neue Routen werden durch Klicken auf den Link Eine neue Route hinzufügen über der Tabelle erstellt. In dem daraufhin angezeigten Formular müssen die folgenden Felder definiert werden:

Quell Netzwerk

Angabe des Quellnetzwerks in CIDR-Notation.

Ziel Netzwerk

Angabe des Zielnetzwerks in CIDR-Notation.

Route über

Für die Durchleitung des Datenverkehrs stehen vier Optionen zur Auswahl: Statisches Gateway, Uplink, OpenVPN User und L2TP Benutzer. Wird Statisches Gateway ausgewählt, muss in dem Textfeld rechts daneben die IP-Adresse eines Gateways angegeben werden. In jedem anderen Fall wird ein Dropdown-Menü mit der entsprechenden Auswahl verfügbarer Uplinks, OpenVPN-Benutzer oder L2TP-Benutzer angezeigt.

Aktiviert

Ein aktiviertes Kontrollkästchen steht für eine aktivierte Regel (Standardeinstellung). Wird das Kontrollkästchen deaktiviert, wird die Regel zunächst nur erstellt und kann später jederzeit aktiviert werden.

Anmerkung

Anmerkung oder Kommentar zum Zweck dieser Regel.

Richtlinienbasiertes Routing

Mithilfe von richtlinienbasierten Routen können bestimmte Netzwerkadressen, Zonen oder Dienste (ausgedrückt als Port und Protokoll) festgelegten Uplinks zugeordnet werden. Beim Klicken auf den Link Erstelle eine Richtlinienroutingregel wird ein Formular geöffnet, das zunächst komplexer als das für statische Routen erscheint und dem Firewall-Regeleditor sehr ähnlich sieht. Der Richtlinien-Regeleditor entspricht insgesamt dem zuvor beschriebenen Formular, erlaubt aber eine detailliertere Regeldefinition. Das Einrichten der Regel wird zusätzlich durch mehrere Dropdown-Menüs unterstützt, um das Eingeben von Daten in den folgenden Feldern zu erleichtern:

Quelle

Mithilfe des ersten Dropdown-Menüs werden die Quellnetzwerke ausgewählt. Es sind mehrere Einträge zulässig, die jeweils in einer eigenen Zeile stehen und demselben Typ angehören müssen: Zone oder Schnittstelle, OpenVPN- oder L2TP-Benutzer, IP-Adressen oder Netzwerke, oder MAC-Adressen. Je nach Auswahl müssen unterschiedliche Werte angegeben werden. Durch Auswahl von <ANY> wird die Regel auf alle Quellen angewendet.

Ziel

Mithilfe des zweiten Dropdown-Menüs werden die Zielnetzwerke als Liste von IP-Adressen, Netzwerken oder OpenVPN- bzw. L2TP-Benutzern ausgewählt. Durch Auswahl von <ANY> trifft die Regel wiederum auf alle Ziele zu.

Service/Port

Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei Auswahl der Protokolle TCP, UDP oder TCP und UDP wird zusätzlich ein Ziel-Port angegeben. Es sind auch einige vordefinierte Dienst/Protokoll/Port- Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>, wobei Letzteres für alle Dienste, Protokolle und Ports steht. Mithilfe von Benutzerdefiniert können ein benutzerdefiniertes Protokoll und zu blockierende Ports angegeben werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die Standardports erfolgt.

Protokoll

Die Art des Datenverkehrs, auf den sich die Regel bezieht: TCP, UDP, TCP+UDP, ESP, GRE oder ICMP. Am häufigsten werden TCP und UDP verwendet. GRE wird von Tunneln, ESP von IPsec und ICMP von den Befehlen ping und traceroute verwendet.

Route über

Wie der Datenverkehr für diese Regel weitergeleitet werden sollen. Folgende Optionen stehen zur Auswahl:

Statisches Gateway: In diesem Fall muss eine IP-Adresse angegeben werden.

Uplink: Der Uplink, der für die Regel verwendet werden soll. Optional kann das Routing bei Nichtverfügbarkeit des ausgewählten Uplinks auf den entsprechenden Backup-Link übertragen werden. Diese Option wird durch Aktivieren des Kontrollkästchens neben dem Dropdown-Menü aktiviert.

OpenVPN-Benutzer: Ein OpenVPN-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.

L2TP-Benutzer: Ein L2TP-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.

Diensttyp

Hiermit wird der ToS (Type of Service, Diensttyp) ausgewählt. Ausführlichere Informationen erhalten Sie in dem nachfolgenden Abschnitt.

Anmerkung

Anmerkung oder Kommentar zum Zweck dieser Regel.

Position

Die Position, an der die Regel eingefügt werden soll (relative Position in der Liste der Regeln).

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert (Standardeinstellung). Wird das Kontrollkästchen deaktiviert, wird die Regel zwar erstellt, aber nicht aktiviert. Eine Regel kann auch zu einem späteren Zeitpunkt aktiviert werden.

Alle akzeptierten Pakete loggen

Dieses Kontrollkästchen muss aktiviert sein, wenn alle von der Regel betroffenen Pakete protokolliert werden sollen.

TOS (Type of Service) und DSCP (Differentiated Services Code Point).

Beim ToS (Type of Service, Diensttyp) handelt es sich um ein acht Bit langes Protokollfeld im IP-Header eines IPv4-Pakets, das ursprünglich den Servern zur gezielten Behandlung der Pakete auf ihrem Weg zum Ziel dienen sollte. Ursprünglich wurde es in RFC 791 und RFC 1349 definiert.

Die binäre Zahl hinter dem jeweiligen Diensttyp beschreibt die Funktion des Typs. Durch die ersten drei Bits wird die Vorrangsteuerung (Präzedenz) des Pakets beschrieben (000 für Standardpräzedenz, 111 für höchste Präzedenz). Durch das vierte Bit wird die Verzögerung beschrieben (0 für normale Verzögerung, 1 für niedrige Verzögerung). Durch das fünfte Bit wird der Durchsatz beschrieben (1 für erhöhten Durchsatz , 0 für normalen Durchsatz) und durch das sechste die Zuverlässigkeit gesteuert (1 für erhöhte Zuverlässigkeit, 0 für normale Zuverlässigkeit). Die letzten beiden Bits werden nicht verwendet.

Aufgrund seiner seltenen Verwendung wurde das 8 Bit lange ToS-Feld für DSCP (Differentiated Services Code Point) – die Weiterentwicklung von ToS – wiederverwendet, durch das die Dienstgüte (Quality of Service) für Netzwerkdatenverkehr definiert werden kann.

In der Panda GateDefender-Appliance stehen die folgenden ToS-Werte zur Auswahl, wobei es sich tatsächlich um DSCP handelt:

Schnittstellen

Mithilfe des Uplinkmanagers können verschiedene Aufgaben im Hinblick auf den Uplink und die Schnittstellen ausgeführt und insbesondere benutzerdefinierte VLANs an den Netzwerkschnittstellen definiert werden.

Uplink Editor

Standardmäßig werden im Uplink Editor die erstellten verfügbaren Uplinks angezeigt. Weitere Uplinks können durch Klicken auf den Link Uplink erstellen über der Uplinkliste erstellt werden. Daraufhin wird eine umfangreiche Seite mit zahlreichen Konfigurationsoptionen angezeigt, auf der geeignete Werte angegeben werden müssen, die denen im Assistenten für die Netzwerkkonfiguration sehr ähnlich sind. Die verfügbaren Einstellungen unterscheiden sich je nach Typ des ausgewählten Uplinks.

Bemerkung

An dieser Stelle werden nicht alle verfügbaren Optionen beschrieben, da es sich um dieselben Optionen wie in der Netzwerkkonfiguration handelt und sie vom Typ des ausgewählten Uplinks abhängig sind. Vollständige Erläuterungen zu den Optionen können im entsprechenden Abschnitt (Link unten) gefunden werden.

Typ

Die Auswahl des ROTEN Verbindungstyps umfasst ein Protokoll mehr als die im Assistenten für die Netzwerkkonfiguration verfügbaren Optionen: PPTP. PPTP kann durch Auswahl des entsprechenden Werts im Dropdown-Menü „PPTP Methode“ für den statischen Modus oder den DHCP-Modus konfiguriert werden. Bei Auswahl der statischen Methode müssen IP-Adresse und Netzwerkmaske in den entsprechenden Textfeldern angegeben werden. In diesem Fall können auch zusätzliche Kombinationen von IP/Netzwerkmaske oder IP/CIDR im Feld darunter hinzugefügt werden, sofern das Kontrollkästchen aktiviert ist. Telefonnummer, Benutzername und Passwort sind nicht erforderlich, werden aber abhängig von den Einstellungen des Providers unter Umständen für das Funktionieren einiger Konfigurationen benötigt. Als Authentifizierungsmethode kann entweder PAP oder CHAP verwendet werden. Im Zweifelsfall wird empfohlen, den Standardwert „PAP oder CHAP“ beizubehalten.

Uplink ist aktiviert

Durch Aktivieren dieses Kontrollkästchens wird der Uplink aktiviert.

Uplink beim Starten aktivieren

Durch dieses Kontrollkästchen wird angegeben, ob ein Uplink beim Starten aktiviert werden soll oder nicht. Die Option ist für Backup- Uplinks nützlich, die zwar verwaltet, aber während des Startvorgangs nicht aktiviert werden müssen.

Uplink ist verwaltet

Durch Aktivieren dieses Kontrollkästchens wird der Uplink verwaltet. Eine Erörterung zum verwalteten und zum manuellen Modus kann unter Uplink Information Plugin gefunden werden, das über Menüleiste ‣ System ‣ Übersicht aufgerufen wird.

Wenn dieser Uplink fehlschlägt aktiviere

Wenn diese Option aktiviert ist, kann aus einem Dropdown-Menü eine alternative Verbindung ausgewählt werden, die bei Fehlschlagen des Uplinks aktiviert wird.

Erreichbarkeit dieser Hosts überprüfen

Durch Aktivieren dieser Option kann eine Liste von IP-Adressen oder Hostnamen eingegeben werden, die bei Fehlschlagen des Uplinks ge pingt werden, um das erfolgreiche Wiederverbinden zu überprüfen.

Im Bereich „Erweiterte Einstellungen“ können zwei weitere Optionen angepasst werden:

Wiederverbindungs Timeout

Das Zeitintervall in Sekunden, nach dem von einem fehlgeschlagenen Uplink ein erneuter Verbindungsversuch unternommen wird. Dieser Wert ist von den Einstellungen des Providers abhängig. Das Feld sollte im Zweifelsfall leer gelassen werden.

MTU

Ein benutzerdefinierter Wert für die MTU-Größe. Mögliche Gründe für ein Ändern des Standardwerts werden hier erörtert.

Siehe auch

Netzwerkkonfiguration: Schritte 1, 4 und 5

Menüleiste ‣ System ‣ Netzwerkkonfiguration

VLANs

VLAN wird von der Panda GateDefender-Appliance unterstützt, um beliebige Zuordnungen von VLAN-IDs zu Firewallzonen und eine zusätzliche Trennungsebene zwischen Zonen zu ermöglichen. Vorhandene VLANs werden in der Tabelle angezeigt, sofern bereits welche erstellt wurden.

Ein neues VLAN kann durch Klicken auf den Link Neues VLAN hinzufügen über der Liste der VLANs definiert werden. Im daraufhin angezeigten Formular wird durch Angabe einiger Werte eine Zuordnung zwischen einer Schnittstelle und einem VLAN erstellt:

Schnittstelle

Die physische Schnittstelle, mit der das VLAN verbunden ist. Nur die verfügbaren Schnittstellen können aus dem Dropdown-Menü ausgewählt werden. Im Menü wird auch der Verbindungsstatus der Schnittstelle angezeigt.

VLAN ID

Die VLAN-ID, bei der es sich um eine ganze Zahl zwischen 0 und 4095 handeln muss.

Zone

Die Zone, der das VLAN zugeordnet ist. Es können nur die Zonen ausgewählt werden, die im Assistenten für die Netzwerkkonfiguration definiert wurden. Die Option „Keine“ kann ausgewählt werden, wenn die Schnittstelle als Management Port für Hochverfügbarkeit verwendet wird.

Warnung

Ein VLAN für eine bestimmte Zone (z. B. ein VLAN für BLAU) kann nicht an einer Schnittstelle definiert werden, die bereits für eine andere Zone (z. B. eth1 für GRÜN) verwendet wird. Bei dem Versuch wird das Formular geschlossen und ein roter Hinweis angezeigt, dass das VLAN nicht erstellt werden kann.

Bei der Erstellung eines virtuellen LAN wird eine neue Schnittstelle mit dem Namen ethX.y erstellt (wobei X für die Nummer der Schnittstelle und y für die VLAN-ID steht) und dann der ausgewählten Zone zugeordnet. Danach wird die Schnittstelle in den verschiedenen Abschnitten mit Netzwerkinformationen, z. B. unter Menüleiste ‣ Status ‣ Netzwerkkonfiguration oder in der Übersicht, als reguläre Schnittstelle angezeigt und kann zur Darstellung im Diagramm ausgewählt werden.