Netzwerkdefinitionen

Auf der Registerkarte Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen werden die Hosts, Netzwerke und Netzwerkgruppen der UTM festgelegt. Die hier angelegten Definitionen können an vielen anderen Stellen der WebAdmin-Konfigurationsmenüs verwendet werden.

Beim Öffnen der Registerkarte werden standardmäßig alle Netzwerkdefinitionen angezeigt. Mit Hilfe der Auswahlliste oberhalb der Liste können Sie die angezeigte Auswahl auf Netzwerkdefinitionen mit bestimmten Eigenschaften einschränken.

Tipp – Durch einen Klick auf das Infosymbol einer Netzwerkdefinition in der Liste Netzwerkdefinitionen können Sie alle Konfigurationsoptionen sehen, in denen diese Netzwerkdefinition verwendet wird.

Die Netzwerktabelle enthält auch statische Netzwerke, die automatisch vom System angelegt wurden und die weder bearbeitet noch gelöscht werden können:

  • Internal (Address): Eine Definition dieser Art wird für jede Netzwerkkarte hinzugefügt. Sie enthält die aktuelle IPClosed-Adresse der Schnittstelle. Ihr Name besteht aus dem Namen der Schnittstelle, gefolgt von dem Zusatz „(Address)“.
  • Internal (Broadcast): Eine Definition dieser Art wird für jede Ethernet-artige Netzwerkschnittstelle hinzugefügt. Sie enthält die aktuelle IPv4-Broadcast-Adresse der Schnittstelle. Ihr Name besteht aus dem Namen der Schnittstelle, gefolgt von dem Zusatz „(Broadcast)“.
  • Internal (Network): Eine Definition dieser Art wird für jede Ethernet-artige Netzwerkschnittstelle hinzugefügt. Sie enthält das aktuelle IPv4-Netzwerk der Schnittstelle. Ihr Name besteht aus dem Namen der Schnittstelle, gefolgt von dem Zusatz „(Network)“.
  • Any (IPv4/IPv6): Eine Netzwerkdefinition (jeweils für IPv4 und IPv6, falls IPv6 aktiviert ist), die an diejenige Schnittstelle gebunden ist, die als Standardgateway fungiert. Die Benutzung dieser Definition sollte Ihren Konfigurationsprozess erleichtern. Wenn die Uplink-Ausgleich-Funktion aktiviert ist, ist die Definition Internet an die Uplink-Schnittstellen gebunden.
  • Hinweis – IPv6-Einträge sind nur sichtbar, wenn Sie unter Schnittstellen & Routing > IPv6 aktiviert wurden.

Hinweis – Benutzernetzwerkobjekte, die über die Client-Authentifizierung authentifiziert sind, werden aus Leistungsgründen immer als nicht aufgelöst (unresolved) angezeigt.

Um eine Netzwerkdefinition anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Netzwerkdefinitionen auf Neue Netzwerkdefinition.

    Das Dialogfeld Neue Netzwerkdefinition hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    (Abhängig von dem gewählten Definitionstyp werden weitere Parameter der Netzwerkdefinition angezeigt.)

    Name: Geben Sie einen aussagekräftigen Namen für diese Definition ein.

    Typ: Wählen Sie den Typ der Netzwerkdefinition. Die folgenden Typen sind verfügbar:

    • Host: Einzelne IP-Adresse. Geben Sie die folgenden Informationen an:

      • IPv4/IPv6-Adresse: Die IP-Adresse des Hosts (Sie können keine IP-Adresse einer bereits konfigurierten Schnittstelle eingeben).
      • DHCP-Einstellungen (optional): In diesem Bereich können Sie statische Zuordnungen zwischen Hosts und IP-Adresse festlegen. Zu diesem Zweck benötigen Sie einen konfigurierten DHCPClosed-Server (siehe Netzwerkdienste > DHCP > Server).

        Hinweis– Um IP-Adresskonflikten zwischen regulär zugeordneten Adressen aus dem DHCP-Pool und statisch zugeordneten Adressen vorzubeugen, stellen Sie sicher, dass die statisch zugeordnete Adresse nicht aus dem DHCP-Pool stammt. Zum Beispiel könnte die statische Zuordnung von 192.168.0.200 darin resultieren, dass zwei Systeme dieselbe IP-Adresse erhalten, wenn der DHCP-Pool 192.168.0.100192.168.0.210 umfasst.

        IPv4-DHCP: Wählen Sie den IPv4-DHCP-Server, der für die statische Zuordnung verwendet werden soll.

        MAC-Adressen: Geben Sie die MACClosed-Adresse der Host-Netzwerkkarten ein. MAC-Adressen werden gewöhnlich in sechs Gruppen von je zwei durch Doppelpunkt getrennte Hexadezimalziffern angegeben (z.B. 00:04:76:16:EA:62).

        Hinweis – Der MAC-Adressbereich 00:1a:8c:f0.xx.xx wird von HA/Cluster verwendet. Sie können diesen Bereich nicht für andere Zwecke verwenden, da MAC-Adressen innerhalb dieses Bereiches vom System überschrieben werden.

        IPv6-DHCP: Wählen Sie den IPv6-DHCP-Server, der für die statische Zuordnung verwendet werden soll.

        DHCP Unique IDs: Geben Sie die DUIDs der Hosts ein. Bei Windows-Betriebssystemen finden Sie die DUID beispielsweise im Windows Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters

        Bitte beachten Sie, dass Sie zwei Hexadezimalziffern jeweils durch einen Doppelpunkt trennen müssen, z. B. 00:01:00:01:13:30:65:56:00:50:56:b2:07:51).

      • DNS-Einstellungen (optional): Wenn Sie keinen eigenen DNSClosed-Server einrichten wollen, aber statische DNS-Zuordnungen für einige Hosts Ihres Netzwerks benötigen, können Sie diese Zuordnungen in diesem Abschnitt der entsprechenden Hosts angeben. Beachten Sie, dass diese Lösung sich nur für eine begrenzte Anzahl von Hosts eignet und in keiner Weise als Ersatz für einen richtigen DNS-Server dienen kann.

        Hostname: Geben Sie den vollständigen Domänennamen (FQDN, fully qualified domain name) des Hosts ein.

        Reverse-DNS: Markieren Sie dieses Auswahlkästchen, um die Zuordnung der IP-Adresse des Hosts zu seinem Namen zu ermöglichen. Beachten Sie, dass eine IP-Adresse immer nur auf einen Namen verweisen kann, wohingegen mehrere Namen auf die gleiche IP-Adresse verweisen können.

        Zusätzliche Hostnamen: Klicken Sie auf das Plussymbol um zusätzliche Hostnamen für den Host hinzuzufügen.

    • DNS Host: Ein DNSClosed-Hostname, der dynamisch vom System aufgelöst wird, um eine IP-Adresse zu erhalten. DNS-Hosts sind nützlich, wenn es darum geht, mit dynamischen IP-Endpoints zu arbeiten. Das System löst diese Definitionen periodisch immer wieder neu auf, wobei es sich an den TTL-Werten (Time To Live) orientiert, und aktualisiert die Definitionen bei Bedarf mit den neuen IP-Adressen. Geben Sie die folgenden Informationen an:

      • Hostname: Der Name des Hosts, der aufgelöst werden soll.
    • DNS Group: Eine DNS-Gruppe ähnelt einem DNS-Host, aber sie kann mehrere RRs (Resource Records, dt. Ressourcen-Einträge) für einen einzelnen Host im DNS verarbeiten. Eine DNS-Gruppe ist nützlich zur Definition von Firewallregeln und Ausnahmen in transparenten Proxies.
    • Netzwerk: Ein Standard-IP-Netzwerk, das aus einer Netzwerkadresse und einer Netzmaske besteht. Geben Sie die folgenden Informationen an:

      • IPv4 Adresse/IPv6 Adresse: Die Netzwerkadresse des Netzwerks (Sie können keine IP-Adresse einer bereits konfigurierten Schnittstelle eingeben).
      • Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das Subnetzwerk spezifizieren und wie viele Bits Platz für Hostadressen bieten.
    • Bereich: Wählen Sie diese Option, um einen ganzen Bereich von IPv4-Adressen zu definieren. Geben Sie die folgenden Informationen an:

      • IPv4 von: Die erste IPv4-Adresse des Bereichs.
      • IPv4 bis: Die letzte IPv4-Adresse des Bereichs.
      • IPv6 von: Die erste IPv6-Adresse des Bereichs.
      • IPv6 bis: Die letzte IPv6-Adresse des Bereichs.

      Netzwerkbereich-Objekte können im WebAdmin nicht mit jeder Netzwerkkonfiguration verwendet werden. Weitere Informationen zu Netzwerkbereich-Objekten finden Sie unter Wo Netzwerkbereich-Objekte verwendet werden können.

    • Multicast-Gruppe: Ein Netzwerk, das einen festgelegten Multicast-Netzwerkbereich umfasst.

      • IPv4-Adresse: Die Netzwerkadresse des Multicast-Netzwerks, die im Bereich 224.0.0.0 bis 239.255.255.255 liegen muss.
      • Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das Subnetzwerk spezifizieren und wie viele Bits Platz für Hostadressen bieten.
    • Netzwerkgruppe: Eine Art Behälter, der eine Liste anderer Netzwerkdefinitionen enthält. Sie können ihn verwenden, um Netzwerke und Hosts zusammenzufassen, damit Ihre Konfiguration übersichtlicher wird. Sobald Sie die Netzwerkgruppe ausgewählt haben, erscheint das Feld Mitglieder, über das Sie die Gruppenmitglieder hinzufügen können.
    • Verfügbarkeitsgruppe: Eine Gruppe aus Hosts und/oder DNS-Hosts, die nach Priorität angeordnet sind. Die Verfügbarkeit aller Hosts wird standardmäßig mit ICMP-Pings, die im Abstand von 60 Sekunden erfolgen, überprüft. Der (verfügbare) Host mit der höchsten Priorität wird für die Konfiguration verwendet. Sobald Sie die Verfügbarkeitsgruppe ausgewählt haben, erscheint das Feld Mitglieder, über das Sie die Gruppenmitglieder hinzufügen können.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Optional können Sie folgende erweiterte Einstellungen vornehmen:

    Die angezeigten Optionen hängen vom oben ausgewählten Typ ab.

    Schnittstelle (optional): Die Netzwerkdefinition kann an eine bestimmte Schnittstelle gebunden werden, sodass Verbindungen zu dieser Definition nur über diese Schnittstelle zustande kommen.

    Warnung – Seien Sie umsichtig mit der Bindung bestimmter Schnittstellen an Netzwerkdefinitionen, da dies zu Konflikten mit anderen Konfigurationen führen könnte. Datenpakete, die durch diese speziellen Schnittstellen gesendet werden, könnten verloren gehen. Dies wäre schwer zu erkennen.

    Überwachungstyp (nur beim Typ Verfügbarkeitsgruppe): Wählen Sie das Dienstprotokoll für die Verfügbarkeitsprüfung. Wählen Sie für die Dienstüberwachung entweder TCP (TCPClosed-Verbindungsaufbau), UDP (UDPClosed-Verbindungsaufbau), Ping (ICMPClosed-Ping), HTTP Host (HTTPClosed-Anfragen) oder HTTPS Host (HTTPS-ClosedAnfragen). Wenn Sie UDP verwenden, wird zunächst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paket mit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt der Host als ausgefallen.

      Port (nur beim Überwachungstyp TCP oder UDP): Nummer des Ports, an den die Anfrage gesendet wird.

      URL (optional, nur bei den Überwachungstypen HTTP Host oder HTTPS Host): Angefragte URL. Sie können statt den Standard-Ports 80 und 443 auch andere Ports verwenden, indem Sie die Port-Information an die URL anhängen, z. B. http://beispiel.domaene:8080/index.html. Wenn keine URL angegeben ist, wird das Wurzelverzeichnis angefragt.

      Intervall: Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts überprüft werden.

      Zeitüberschreitung: Geben Sie einen maximalen Zeitraum in Sekunden an, in dem die überwachenden Hosts eine Antwort senden können. Wenn ein Host während dieser Zeit nicht antwortet, wird er als tot betrachtet.

      Immer aufgelöst: Diese Option ist vorausgewählt, sodass für den Fall, dass kein Host erreichbar ist, die Gruppe zu jenem Host aufgelöst wird, der zuletzt verfügbar war. Andernfalls, wenn alle Hosts tot sind, wird die Gruppe auf nicht aufgelöst gesetzt.

  4. Klicken Sie auf Speichern.

    Die neue Definition wird in der Liste Netzwerke angezeigt.

Um eine Definition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.

Wo Netzwerkbereich-Objekte verwendet werden können

Netzwerkbereich-Objekte können in folgenden Konfigurationen verwendet werden:

  • Verwaltung > Systemeinstellungen > Shell-Zugriff, Bereich Zugelassene Netzwerke
  • Verwaltung > WebAdmin-Einstellungen > Allgemein, Bereich WebAdmin-Zugriffskonfiguration, Feld Zugelassene Netzwerke
  • Verwaltung > SNMP > Anfrage, Bereich SNMP-Zugriffssteuerung, Feld Zugelassene Netzwerke
  • Schnittstellen & Routing > Dienstqualität (QoS) > Verkehrskennzeichner, Bereich Verkehrskennzeichner hinzufügen, Feld Quelle und Ziel
  • Netzwerkdienste > DNS > Allgemein, Bereich Zugelassene Netzwerke
  • Netzwerkdienste > NTP, Bereich NTP-Optionen, Feld Zugelassene Netzwerke
  • Network Protection > Firewall > Regeln, Bereich Regel hinzufügen, Feld Quellen und Ziele
  • Network Protection > Firewall > Country-Blocking-Ausnahmen, Bereich Ausnahmenliste hinzufügen, Feld Host/Netzwerke
  • Network Protection > NAT > Maskierung, Bereich Maskierungsregel hinzufügen, Feld Netzwerk
  • Network Protection > NAT > NAT, Bereich NAT-Regel hinzufügen, Feld Datenverkehrsquelle und Datenverkehrsziel
  • Network Protection > Erweitert > SOCKS-Proxy, Bereich SOCKS-Proxy-Optionen, Feld Zugelassene Netzwerke
  • Web Protection > Filteroptionen > Sonstiges, Bereich Transparenzmodus-Ausnahmen, Feld Quellhosts/-netze vom Transparenzmodus ausnehmen und Zielhosts/-netze vom Transparenzmodus ausnehmen
  • Web Protection > FTP > Allgemein, Bereich FTP-Einstellungen, Feld Zugelassene Netzwerke
  • Email Protection > SMTP > Relaying, Bereich Hostbasiertes Relay, Feld Zugelassene Hosts/Netzwerke
  • Email Protection > SMTP > Erweitert, Bereich Transparenzmodus, Feld Auszunehmende Hosts/Netze
  • Wireless Protection > Hotspots > Erweitert, Bereich Kontrollierte Umgebung, Feld Zulässige Hosts/Netzwerke