Wie lässt man bestimmten Datenverkehr durch den QuWAN-Firewall-Dienst zu?

Betroffene Produkte

QuWAN Orchestrator

Informationen

Diese FAQ befasst sich mit gängigen Firewall-Konfigurationsmethoden für entsprechende Einstellungen, wenn die Mesh-VPN-Verbindung fehlschlägt:

Beste Verfahren

Ausführliche Informationen zum Erstellen oder Ändern einer Firewall-Regel finden Sie unter "Firewall-Einstellungen" in der Webhilfe von QuWAN und QuWAN Orchestrator.

1. Getrennt von QuWAN Orchestrator

Problem: Sie können keine Verbindung zur Verwaltungsschnittstelle von QuWAN Orchestrator herstellen.

Lösung: Stellen Sie sicher, dass die Firewall die Kommunikation auf Port 8883 (TCP) mit dem QuWAN Orchestrator mit der folgenden Konfiguration zulässt.

• Quelle: Klicken Sie auf Definieren, um die IP-Adresse oder das Subnetz von QuWAN Orchestrator anzugeben
• Protokoll: TCP
• Quell-Ports: 8883
• Ziel: Beliebig
• Aktion: Zulassen

2. Getrennt vom QuWAN-QBelt-VPN-Server

Problem: Sie können keine VPN-Verbindung mit dem QuWAN-QBelt-VPN-Server aufbauen.

Lösung: Stellen Sie sicher, dass die Firewall die Kommunikation mit dem QuWAN Orchestrator anhand der folgenden konfigurierten Regeln zulässt.

1. Regel 1 (Eingehender Verkehr):
   • Quelle: Klicken Sie auf Definieren, um die Quellverbindung anzugeben
   • Protokoll: UDP
   • Quell-Ports: 5533
   • Ziel: Beliebig
   • Aktion: Zulassen
2. Regel 2 (Ausgehender Verkehr):
   • Quelle: Klicken Sie auf Definieren, um die Details des Remote-Geräts anzugeben
   • Protokoll: UDP
   • Quell-Ports: Beliebig
   • Ziel: 5533
   • Aktion: Zulassen

3. Blockierter Mesh-VPN-Site-to-Site-Verkehr

Problem: Die Datenübertragung zwischen dem Site-to-Site-Mesh-VPN ist blockiert.

Lösung: Um sicherzustellen, dass der vom Mesh-VPN-Dienst verwendete Datenverkehr die Firewall passieren kann, erstellen Sie zwei Firewall-Regeln, die die erforderlichen UDP-Ports zulassen.

1. Regel 1 (Eingehender Verkehr):
   • Quelle: Klicken Sie auf Definieren, um die Quellverbindung anzugeben
   • Protokoll: UDP
   • Quell-Ports: 500, 4500 (Wechseln Sie zur Seite "Dienstverwaltung", um festzustellen, ob andere IPSec NAT Traversal Ports erforderlich sind), 5555, 7788
   • Ziel: Beliebig
   • Aktion: Zulassen
2. Regel 2 (Ausgehender Verkehr):
   • Quelle: Beliebig
   • Protokoll: UDP
   • Quell-Ports: Beliebig
   • Ziel: 500, 4500 (Wechseln Sie zur Seite "Dienstverwaltung", um festzustellen, ob andere IPSec NAT Traversal Ports erforderlich sind), 5555, 7788
   • Aktion: Zulassen

4. Fehlgeschlagene Ping-Anfragen von LAN-Geräten

Problem: Sie können das Internet von Ihren LAN-Geräten aus nicht anpingen. 

Lösung: Stellen Sie sicher, dass die Firewall-Regel ICMP-Verkehr von Ihrem LAN-Netzwerk zum Internet zulässt.

• Ziel: Klicken Sie auf Definieren, um die Internet-Gateway-Adresse anzugeben
• Protokoll: ICMP
• Quelle: Jede (erlaubt Datenverkehr von jedem Gerät in Ihrem LAN)
• Ziel: Ihr LAN-Subnetz (z. B. 192.168.60.1/24)
• Aktion: Zulassen

Zusätzliche Hinweise

• Ersetzen Sie das LAN-Subnetz 192.168.60.1/24 durch Ihre tatsächliche LAN-Subnetzadresse.
• Der IPSec NAT Traversal-Port hängt von der Rolle des QuWAN-Geräts ab:
  • Hub: Der Standardport ist 4500. Fügen Sie diesen Port gegebenenfalls zur Liste der Quellports in Regel 2 (ausgehend) hinzu.
  • Edge: Verwendet eine zufällige Portnummer zwischen 61001-61999. Erlauben Sie alle Ports in diesem Bereich für den Quellverkehr von der WAN-Schnittstelle in Regel 2 (ausgehend), falls erforderlich.