Menü „Netzwerk“

Mithilfe des Netzwerkmenüs können Sie die Netzwerkkonfiguration verändern, indem Sie bestimmte Hosts und Routen hinzufügen oder Uplinks konfigurieren und VLANs hinzufügen. Das Menü darf nicht mit dem Netzwerkkonfiguration-Assistenten unter Menüleiste ‣ System ‣ Netzwerkkonfiguration verwechselt werden, über den Schnittstellen und Zonen konfiguriert sowie Uplinks definiert werden können. Viele Einstellungen und Konfigurationsoptionen – insbesondere die nachfolgend unter Schnittstellen dargestellten – sind jedoch mit denen unter Netzwerkkonfiguration identisch, wo Sie auch ausführlichere Informationen dazu finden.

Das Untermenü auf der linken Seite enthält die folgenden Elemente, unter denen jeweils mehrere Konfigurationsoptionen zusammengefasst sind:

• Hosts bearbeiten: Definieren von Hosts für die Auflösung lokaler Domänennamen
• Routing: Einrichten von statischem und richtlinienbasiertem Routing
• Schnittstellen: Bearbeiten der Uplinks und Erstellen von VLANs

Hosts bearbeiten

Die Seite enthält die Liste der zuvor definierten Hosts. In jeder Zeile werden eine IP-Adresse, der zugeordnete Hostname und, sofern angegeben, der Domänenname angezeigt. Für jeden Eintrag stehen zwei Aktionen zur Verfügung: den Eintrag bearbeiten oder den Eintrag löschen.

Warnung

Das Löschen eines Hosteintrags durch Klicken auf das kleine Symbol erfordert keine zusätzliche Bestätigung und kann nicht rückgängig gemacht werden. Wurde ein Eintrag versehentlich gelöscht, muss dieser manuell erneut hinzugefügt werden.

Ein neuer Eintrag kann durch Klicken auf den über der Tabelle angezeigten Link Host hinzufügen hinzugefügt werden. Die Tabelle wird durch ein einfaches Formular ersetzt, in dem die folgenden Optionen angegeben werden:

IP-Adresse

Die IP-Adresse des Remote-Hosts.

Hostname

Der Hostname und die IP-Adresse des BDC.

Domänenname

Ein optionaler Domänenname.

Hinweis

Anders als in der Datei /etc/hosts (siehe unten) entspricht jede hier hinzugefügte IP-Adresse einem Hostnamen und umgekehrt. Fügen Sie zum Hinzufügen von zwei Hostnamen zu einer IP-Adresse zwei Einträge mit der gleichen IP-Adresse hinzu.

Durch Klicken auf die Schaltfläche Host hinzufügen wird die Auswahl bestätigt. Weitere Hostnamen für dieselbe IP-Adresse können zugeordnet werden, indem die IP-Adresse nochmals auf die gleiche Weise mit einem anderen Namen eingefügt wird.

Hostverwaltung, dnsmasq und /etc/hosts.

Die Anwendung „dnsmasq“ wird in kleinen Netzwerken als DNS-Server für lokale Hosts und als DNS-Weiterleitung und Caching-Server für weltweite DNS-Server verwendet. Die Panda GateDefender-Appliance verwendet dnsmasq zur korrekten Lösung und Beantwortung von DNS-Anfragen der GRÜNEN, ORANGEFARBENEN und BLAUEN Zone. In manchen Fällen ist es wünschenswert (z. B. für Testzwecke auf einer Remote-Website), einige Einträge in dnsmasq zu überschreiben oder dem Cache von dnsmasq einen lokalen Server hinzuzufügen, damit sich lokale Clients damit verbinden können.

Die auf dieser Seite hinzugefügten Hosts werden in der Einstellungsdatei von dnsmasq gespeichert und mit der Datei /etc/hosts bei jedem Daemon-Neustart zusammengeführt. Zu diesen Dateien direkt über CLI hinzugefügte Hosts bleiben nach einem Neustart der Panda GateDefender-Appliance oder einem Neustart von dnsmasq nicht bestehen.

Die Datei /etc/hosts enthält die so genannte statische Lookup-Tabelle, die das folgende Format aufweist:

IP1 hostname1 [hostname2] IP2 hostname3 [hostname4] [hostname5]

IP1 und IP2 stehen dabei für eindeutige (numerische) IP-Adressen, während hostname1, hostname2, hostname3, hostname4 und hostname5 für benutzerdefinierte Namen dieser IP-Adressen stehen. Die Namen in eckigen Klammern sind optional: Jeder IP-Adresse können also Namen bekannter Hosts zugeordnet werden. Es ist möglich, zur Datei benutzerdefinierte Hosteinträge hinzuzufügen, die dann für alle Clients, die über die Panda GateDefender-Appliance eine Verbindung herstellen, entsprechend aufgelöst werden. Auf einer typischen Panda GateDefender Appliance enthält die Datei /etc/hosts mindestens die folgenden Einträge:

127.0.0.1 localhost.localhost localhost 172.20.0.21 myappliance.localdomain myappliance 172.20.0.21 spam.spam spam 172.20.0.21 ham.ham ham 172.20.0.21 wpad.localdomain wpad

Hierbei ist 127.0.0.1 die IP-Adresse des Loopback-Geräts, localhost ein Pflichteintrag für den korrekten Arbeitslink eines Linux-Systems und 172.20.0.21 die IP-Adresse der GRÜNEN Schnittstelle. Die für diese IP-Adresse ausgeführten Einträge haben die folgende Bedeutung und den folgenden Zweck:

myappliance.localdomain

Der Hostname und Domänenname der Panda GateDefender-Appliance, wie sie in der Netzwerkkonfiguration eingerichtet sind.

spam.spam spam und ham.ham ham

Diese beiden Einträge werden kombiniert für das Anlernen des E-Mail-Filters „spamassassin“ verwendet.

wpad.localdomain wpad

Eine Einrichtung für einige Browser, um Proxyeinstellungen automatisch und ohne Eingreifen des Benutzers zu erkennen, wenn der Proxy nicht transparent ist.

Routing

Als Ergänzung zur Standardroutingtabelle unter Menüleiste ‣ Status ‣ Netzwerkstatus kann das Routing auf der Panda GateDefender-Appliance mit den statischen und richtlinienbasierten Routingregeln optimiert werden. Auf dieser Seite wird eine Tabelle mit allen benutzerdefinierten Routings angezeigt. Neue Regeln werden jedoch von zwei unterschiedlichen Registerkarten auf dieser Seite hinzugefügt. Dabei erfordern statische und richtlinienbasierte Regeln leicht voneinander abweichende Einstellungen. Die Tabelle enthält jeweils eine Zusammenfassung der Regel mit Quelle und Ziel für Netzwerke bzw. Zonen, dem Gateway, einer Anmerkung und der Liste der verfügbaren Aktionen: Regel aktivieren oder deaktivieren, Regel bearbeiten und Regel löschen.

Bei jeder Änderung an der Routingtabelle müssen die Änderungen gespeichert und der Dienst neu gestartet werden.

Statisches Routing

Mithilfe von statischen Routen können bestimmte Quell- und Zielnetzwerke festgelegten Gateways oder Uplinks zugeordnet werden. Neue Routen werden durch Klicken auf den Link Eine neue Route hinzufügen über der Tabelle erstellt. In dem daraufhin angezeigten Formular müssen die folgenden Felder definiert werden:

Quell Netzwerk

Angabe des Quellnetzwerks in CIDR-Notation.

Ziel Netzwerk

Angabe des Zielnetzwerks in CIDR-Notation.

Route über

Für die Durchleitung des Datenverkehrs stehen vier Optionen zur Auswahl: Statisches Gateway, Uplink, OpenVPN-Benutzer und L2TP-Benutzer. Wird Statisches Gateway ausgewählt, muss in dem Textfeld rechts daneben die IP-Adresse eines Gateways angegeben werden. In jedem anderen Fall wird ein Dropdown-Menü mit der entsprechenden Auswahl verfügbarer Uplinks, OpenVPN-Benutzer oder L2TP-Benutzer angezeigt.

Aktiviert

Ein aktiviertes Kontrollkästchen steht für eine aktivierte Regel (Standardeinstellung). Wenn das Kontrollkästchen deaktiviert ist, wird die Regel nur erstellt, aber nicht aktiviert: Sie können später jederzeit aktivieren.

Anmerkung

Anmerkung oder Kommentar zum Zweck dieser Regel.

Durch Klicken auf eines der Symbole wird für das entsprechende Element eine Aktion ausgelöst:

• – Den Status des Elements umschalten: aktiviert oder deaktiviert.
• – Die Eigenschaften des Elements ändern.
• – Das Element entfernen.

Richtlinienbasiertes Routing

Mithilfe von richtlinienbasierten Routen können bestimmte Netzwerkadressen, Zonen oder Dienste (ausgedrückt als Port und Protokoll) einem festgelegten Uplink zugeordnet werden.

Die Tabelle enthält alle bereits definierten Regeln für das statische und richtlinienbasierte Routing mit einigen Eigenschaften: Quelle, Ziel, TOS, Gateway, Dienst, Anmerkung und verfügbare Aktionen:

• – Eine Regel verschieben.
• – Den Status des Elements umschalten: aktiviert oder deaktiviert.
• – Die Eigenschaften des Elements ändern.
• – Das Element entfernen.

Tipp

Die Spalte TOS wird nur angezeigt, wenn mindestens eine Regel mit diesem Feld definiert wurde.

Regeln im oberen Bereich der Tabelle haben eine höhere Priorität.

Richtlinienbasiertes Routing, HTTP-Proxy und Uplink.

Hinweis

Die nachfolgende Beschreibung gilt nur für Versionen von Panda GateDefender Appliance vor 5.50.00.

Die Interaktion zwischen diesen drei Komponenten der Panda GateDefender-Appliance kann zu einem seltsamen oder sogar falschen Verhalten führen, wenn Clients in den Zonen versuchen, auf das Internet zuzugreifen. Für ein korrektes Verständnis sind drei Schritte erforderlich, um hervorzuheben, wie der Datenfluss zum Internet erfolgt, wenn sowohl HTTP-Proxy aktiviert als auch richtlinienbasierte Regeln definiert sind:

1. Ein HTTP-Proxy verwendet den Haupt-Uplink (d. h. er greift auf die ROTE Zone und das Internet mithilfe des Haupt-Uplinks zu).
2. Ein HTTP-Proxy „unterteilt“ eine Verbindung von einem Client zu einem Remote-Server in zwei Verbindungen: Eine vom Client zur Panda GateDefender-Appliance und eine von der Panda GateDefender-Appliance zum Remote-Server.
3. Richtlinienbasierte Routingregeln werden berücksichtigt, nachdem der Datenverkehr durch das HTTP-Proxy gelaufen ist.

Beim Klicken auf den Link Erstelle eine Richtlinienroutingregel wird ein Formular geöffnet, das zunächst komplexer als das für statische Routen erscheint und dem Firewall-Regeleditor sehr ähnlich sieht. Der Richtlinien-Regeleditor entspricht insgesamt dem zuvor beschriebenen Formular, erlaubt aber eine detailliertere Regeldefinition. Das Einrichten der Regel wird zusätzlich durch mehrere Dropdown-Menüs unterstützt, um das Eingeben von Daten in den folgenden Feldern zu erleichtern:

Quelle

Mithilfe des ersten Dropdown-Menüs wird die Quelle des Verkehrs ausgewählt. Es sind mehrere Einträge zulässig, die jeweils in einer eigenen Zeile stehen und demselben Typ angehören müssen: Zone oder Schnittstelle, OpenVPN- oder L2TP-Benutzer, IP-Adressen oder Netzwerke, oder MAC-Adressen. Je nach Auswahl müssen unterschiedliche Werte angegeben werden. Durch Auswahl von <ANY> wird die Regel auf alle Quellen angewendet.

Ziel

Mithilfe des zweiten Dropdown-Menüs werden die Verkehrsziele als Liste von IP-Adressen, Netzwerken oder OpenVPN- bzw. L2TP-Benutzern ausgewählt. Durch Auswahl von <ANY> trifft die Regel wiederum auf alle Ziele zu.

Service/Port

Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei Auswahl der Protokolle TCP, UDP oder TCP und UDP wird zusätzlich ein Ziel-Port angegeben. Es sind auch einige vordefinierte Dienst/Protokoll/Port-Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>, wobei Letzteres für alle Dienste, Protokolle und Ports steht. Mithilfe von Benutzerdefiniert können ein benutzerdefiniertes Protokoll und zu blockierende Ports angegeben werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die Standardports erfolgt.

Protokoll

Die Art des Datenverkehrs, auf den sich die Regel bezieht: TCP, UDP, TCP+UDP, ESP, GRE oder ICMP. Am häufigsten werden TCP und UDP verwendet. GRE wird von Tunneln, ESP von IPsec und ICMP von den Befehlen ping und traceroute verwendet.

Route über

Wie der Datenverkehr für diese Regel weitergeleitet werden sollen. Folgende Optionen stehen zur Auswahl:

1. Statisches Gateway: In diesem Fall muss eine IP-Adresse angegeben werden.
2. Uplink: Der Uplink, der für die Regel verwendet werden soll. Optional kann das Routing bei Nichtverfügbarkeit des ausgewählten Uplinks auf den entsprechenden Backup-Link übertragen werden. Diese Option wird durch Aktivieren des Kontrollkästchens neben dem Dropdown-Menü aktiviert.
3. OpenVPN-Benutzer: Ein OpenVPN-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.
4. L2TP-Benutzer: Ein L2TP-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.

Diensttyp

Hiermit wird der ToS (Type of Service, Diensttyp) ausgewählt. Dabei können je nachdem, was die wichtigste Eigenschaft des Verkehrs für dieses Regel ist, vier Werte ausgewählt werden: Standard, Kurze Verzögerung, Zuverlässigkeit oder Durchsatz.

Anmerkung

Anmerkung oder Kommentar zum Zweck dieser Regel.

Position

Die Position, an der die Regel eingefügt werden soll (relative Position in der Liste der Regeln).

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert (Standardeinstellung). Wird das Kontrollkästchen deaktiviert, wird die Regel zwar erstellt, aber nicht aktiviert. Eine Regel kann auch zu einem späteren Zeitpunkt aktiviert werden.

Alle akzeptierten Pakete loggen

Dieses Kontrollkästchen muss aktiviert sein, wenn alle von der Regel betroffenen Pakete protokolliert werden sollen.

Warnung

Durch die Aktivierung dieser Option kann sich die Größe der Protokolldateien drastisch erhöhen.

Schnittstellen

Mithilfe des Uplink-Managers können verschiedene Aufgaben im Hinblick auf den Uplink und die Schnittstellen ausgeführt und insbesondere benutzerdefinierte VLANs an den Netzwerkschnittstellen definiert werden.

Uplink Editor

Durch Klicken auf die letzte Spalte Aktionen werden standardmäßig die im Uplink-Editor erstellten verfügbaren Uplinks und die Aktionen angezeigt, die für jeden Uplink ausgeführt werden können:

• – Den Status des Elements umschalten: aktiviert oder deaktiviert.
• – Die Eigenschaften des Elements ändern.
• – Das Element entfernen.

Tipp

Der Haupt-Uplink kann nicht gelöscht werden.

Weitere Uplinks können durch Klicken auf den Link Uplink erstellen über der Uplink-Liste erstellt werden. Daraufhin wird eine umfangreiche Seite mit zahlreichen Konfigurationsoptionen angezeigt, auf der geeignete Werte angegeben werden müssen, die denen in der Netzwerkkonfiguration sehr ähnlich sind. Die verfügbaren Einstellungen unterscheiden sich je nach Typ des ausgewählten Uplinks.

Hinweis

Hier werden nicht alle verfügbaren Optionen beschrieben: Sie entsprechen den Optionen im Netzwerkkonfigurationsassistenten und hängen vom Typ des ausgewählten Uplinks ab. Vollständige Erläuterungen zu den Optionen können dem entsprechenden Abschnitt entnommen werden.

Beschreibung

Eine Beschreibung des Uplinks

Typ

Die Auswahl des ROTEN Verbindungstyps umfasst ein Protokoll mehr als die im Assistenten für die Netzwerkkonfiguration verfügbaren Optionen: PPTP: PPTP kann durch Auswahl des entsprechenden Werts im Dropdown-Menü „PPTP Methode“ für den statischen Modus oder den DHCP-Modus konfiguriert werden. Bei Auswahl der statischen Methode müssen IP-Adresse und Netzwerkmaske in den entsprechenden Textfeldern angegeben werden. In diesem Fall können auch zusätzliche Kombinationen von IP/Netzwerkmaske oder IP/CIDR im Feld darunter hinzugefügt werden, sofern das Kontrollkästchen aktiviert ist. Telefonnummer, Benutzername und Kennwort sind nicht erforderlich, werden aber abhängig von den Einstellungen des Anbieters unter Umständen für das Funktionieren einiger Konfigurationen benötigt. Als Authentifizierungsmethode kann entweder PAP oder CHAP verwendet werden. Im Zweifelsfall wird empfohlen, den Standardwert „PAP oder CHAP“ beizubehalten.

Hinweis

Bei der Auswahl von Analog/UTMS-Modem oder Mobiles Breitband muss die SIM-Karte eingesteckt werden, wenn die Panda GateDefender Appliance ausgeschaltet ist.

Uplink ist aktiviert

Durch Aktivieren dieses Kontrollkästchens wird der Uplink aktiviert.

Uplink beim Starten aktivieren

Durch dieses Kontrollkästchen wird angegeben, ob ein Uplink beim Starten aktiviert werden soll oder nicht. Die Option ist für Backup-Uplinks nützlich, die zwar verwaltet, aber während des Startvorgangs nicht aktiviert werden müssen.

Uplink ist verwaltet

Durch Aktivieren dieses Kontrollkästchens wird der Uplink verwaltet. Eine Erörterung zum verwalteten und zum manuellen Modus kann unter Uplink Information Plugin gefunden werden, das über Menüleiste ‣ System ‣ Übersicht aufgerufen wird.

Laden Sie keine Signaturen herunter, wenn dieser Uplink verbunden ist

Aktivieren Sie dieses Kontrollkästchen, wenn Sie Uplinks verwenden, für die der generierte Verkehr teuer werden könnte. Wenn es aktiviert und der Uplink online ist, werden die Signaturen von Diensten nicht aktualisiert. Beachten Sie, dass dies zu Sicherheitsproblemen führen kann, da Bedrohungen eventuell nicht mehr erkannt werden.

Wenn dieser Uplink fehlschlägt, Folgendes aktivieren:

Wenn diese Option aktiviert ist, kann aus einem Dropdown-Menü eine alternative Verbindung ausgewählt werden, die bei Fehlschlagen des Uplinks aktiviert wird.

Erreichbarkeit dieser Hosts überprüfen

Durch Aktivieren dieser Option kann eine Liste von IP-Adressen oder Hostnamen eingegeben werden, die bei Fehlschlagen des Uplinks gepingt werden, um das erfolgreiche Wiederverbinden zu überprüfen.

Tipp

Einer dieser Hosts könnte der DNS-Server oder Gateway des Anbieters sein.

Im Bereich „Erweiterte Einstellungen“ können zwei weitere Optionen angepasst werden:

Zeitüberschreitung bei erneuter Verbindung

Das Zeitintervall in Sekunden, nach dem von einem fehlgeschlagenen Uplink ein erneuter Verbindungsversuch unternommen wird. Dieser Wert ist von den Einstellungen des Anbieters abhängig. Das Feld sollte im Zweifelsfall leer gelassen werden.

MTU

Ein benutzerdefinierter Wert für die MTU-Größe. Mögliche Gründe für eine Änderung des Standardwerts werden hier erörtert.

Siehe auch

Netzwerkkonfiguration: Schritte 1, 4 und 5.

Menüleiste ‣ System ‣ Netzwerkkonfiguration

VLANs

VLAN wird von der Panda GateDefender-Appliance unterstützt, um beliebige Zuordnungen von VLAN-IDs zu Firewall-Zonen und eine zusätzliche Trennungsebene zwischen Zonen zu ermöglichen. Vorhandene VLANs werden in der Tabelle angezeigt, sofern bereits welche erstellt wurden. Die einzig verfügbare Aktion ist:

• – Das VLAN entfernen. Ein Popup-Fenster wird geöffnet, in dem Sie den Löschvorgang bestätigen müssen.

Ein neues VLAN kann durch Klicken auf den Link Neues VLAN hinzufügen über der Liste der VLANs definiert werden. Im daraufhin angezeigten Formular wird durch Angabe einiger Werte eine Zuordnung zwischen einer Schnittstelle und einem VLAN erstellt:

Schnittstelle

Die physische Schnittstelle, mit der das VLAN verbunden ist. Nur die verfügbaren Schnittstellen können aus dem Dropdown-Menü ausgewählt werden. Im Menü wird auch der Verbindungsstatus der Schnittstelle angezeigt.

VLAN ID

Die VLAN-ID, bei der es sich um eine ganze Zahl zwischen 0 und 4095 handeln muss.

Zone

Die Zone, der das VLAN zugeordnet ist. Es können nur die Zonen ausgewählt werden, die im Assistenten für die Netzwerkkonfiguration definiert wurden. Die Option „Keine“ kann ausgewählt werden, wenn die Schnittstelle als Management Port für Hochverfügbarkeit verwendet wird.

Warnung

Ein VLAN für eine bestimmte Zone (z. B. ein VLAN für BLAU) kann nicht an einer Schnittstelle definiert werden, die bereits für eine andere Zone (z. B. eth1 für GRÜN) verwendet wird. Bei dem Versuch wird das Formular geschlossen und ein roter Hinweis angezeigt, dass das VLAN nicht erstellt werden kann.

Bei der Erstellung eines virtuellen LAN wird eine neue Schnittstelle mit dem Namen ethX.y erstellt (wobei X für die Nummer der Schnittstelle und y für die VLAN-ID steht). Danach wird die Schnittstelle der ausgewählten Zone zugeordnet und in den verschiedenen Abschnitten mit Netzwerkinformationen, z. B. unter Menüleiste ‣ Status ‣ Netzwerkkonfiguration oder in der Übersicht, als reguläre Schnittstelle angezeigt und kann zur Darstellung im Diagramm ausgewählt werden.