Deze pagina is geschikt voor USG's met (major) firmware V2.20 of hoger. Voor een op de oude V2.12-firmware gebaseerde versie, klik hier.
Deze beschrijving geeft een voorbeeld van hoe men een bridge-interface gebruikt in combinatie met een publiek subnet (vaak routed subnet).
Bij een bridge interface wordt er een verbinding gemaakt tussen 2 netwerk-segmenten (op OSI-laag 2, dus MAC-adres niveau) waarbij deze netwerksegmenten in hetzelfde subnet zitten.
Dit voorbeeld beschrijft hoe we ervoor kunnen zorgen dat een bepaalde server in de DMZ een publiek IP-adres krijgt en we deze server toch kunnen beveiligen middels, bijvoorbeeld, firewall-regels (transparant-mode firewall) en/of Anti-Virus, IDP etc.
In dit voorbeeld gaan we er van uit dat u vóór de ZyWALL USG een (DSL-/fiber-)router in routed-subnet configuratie hangt en dat deze correct geconfigureerd is. (zoals beschreven in document z133, waar dit document volledig op aansluit).
We gaan verder uit van het gebruik van het subnet 192.0.2.8/29, meer precies:
- Subnet ID: 192.0.2.8
- DSL-Router IP:192.0.2.9
- WAN-IP ZyWALL USG:192.0.2.10
- Broadcast IP: 192.0.2.15
- Subnetmasker is dus 255.255.255.248
De server in de DMZ dient in dit voorbeeld 192.0.2.12 te krijgen.
In dit voorbeeld werken we met een USG1000, met het LAN op ge1, de WAN op ge2 en de server in de DMZ wordt aangesloten op ge4.
De overige (GE-)poorten worden in dit voorbeeld niet gebruikt.
Log in op de ZyWALL en ga naar de interfaces:
We willen in dit geval gaan bridgen tussen de (WAN)poort ge2 en de (DMZ)poort ge4. Bij een bridge-interface wordt het IP-adres en bijbehorende routering van de 'member' interface's uitgeschakeld. (dus de IP-adressen die er nu bij ge2 en ge4 staan komen te vervallen, we gaan alleen het IP-adres van ge2 'hergebruiken' om het bridge-interface een geldig IP-adres te geven. Om eventuele foutmeldingen m.b.t. "Duplicate IP-addressen" in deze te voorkomen (en eigenlijk gewoon ook omdat we het "netjes" willen doen) gaan we de IP-adressen van de ge2 en de ge4 vooraf op 0.0.0.0 zetten, dus ondanks het feit dat IP-adres en routering van deze member-interfaces wordt uitgeschakeld. In de V3.00 firmware is dit op 0.0.0.0 zetten en MUST.
- Ga naar Network > Interface,
tabblad Ethernet.
-
Wijzig ge2 (de WAN-)interface.
-
Kies voor de optie Use Fixed IP Address.
-
Vul in het veld IP Address het IP-adres 0.0.0.0 in.
-
Vul in het veld Subnet Mask het subnetmasker 0.0.0.0 in.
- Klik op OK om alle wijzigingen op te slaan.
Doe ditzelfde voor de ge4 (de DMZ-)interface.
Ga hierna naar het tabblad 'Bridge', klik op het 'Add'-icoon om een nieuw bridge-interface aan te maken en vul in als volgt:
Let op! De Bridge-interface dient zelf nooit in een Zone te zitten, kies hier dus voor "None" in de V3.00 firmware en laat deze leeg als u nog over V2.20 firmware beschikt. Bij de V3.00 firmware dient u dus tevens het type op "External" te zetten, deze mogelijkheid zat in de V2.20 firmware nog niet in.
Mocht u na het 'OK' klikken onderstaande melding krijgen, dan heeft u onder Stap 1 de IP-adressen van de member-interfaces niet op 0.0.0.0 gezet. Doe dit dan eerst alsnog, anders zal het bridge-interface in de V3.00 firmware het ingevulde IP-adres niet overnemen maar deze naar 0.0.0.0 zetten hetgeen onwenselijk is.
Het bridge interface is nu aangemaakt.
Nu kan de server met 192.0.2.12 (en verder hetzelfde subnet-mask en dezelfde gateway) op ge4
worden aangesloten.
Verder kunt u nu gewoon firewall-regels toepassen tussen WAN en DMZ zoals dat ook bij niet-bridge interfaces al het geval was.
Bij gebruik van V3.00 firmware wel en bij V2.20 firmware niet... tenminste, zonder dat daar extra configuratie voor nodig is.
De USG-serie kent, in tegenstelling tot de oudere (ZyNOS gebaseerde) ZyWALL's, de mogelijkheid om tegelijkertijd te kunnen bridgen en als (NAT-)router te fungeren.
Door in de V3.00 firmware voor te kiezen om het type interface op "External" te zetten komt de bridge-interface automatisch in de "SYSTEM_DEFAULT_WAN_TRUNK" en wordt het voor het LAN de Default S-NAT toegepast en bent u met deze firmware klaar! (U kunt nu zelfs ook gewoon poorten doorzetten van het Bridge-interface/WAN naar de LAN (middels NAT/Virtual Server regels).
Om er bij V2.20 firmware ook voor te zorgen dat men vanaf het LAN (ge1) via het 'WAN'-IP adres het internet op kan, moet er een aparte WAN-trunk worden aangepast. In de "SYSTEM_DEFAULT_WAN_TRUNK" staan namelijk (o.a.) de poorten ge2 en ge3 als actieve (WAN-)interfaces gedefinieerd. Interface ge2 heeft nu echter geen IP-adres meer (en ge3 wordt in dit voorbeeld niet gebruikt), dus kan men niet vanaf het LAN het internet op.
Hiertoe moet een nieuwe (User Configured) Trunk (in dit voorbeeld genaamd 'WAN-TRUNK') met daarin het zojuist aangemaakte bridge-interface (br1) worden aangemaakt.
Ga hiervoor naar Network > Interface > tabblad Trunk en klik op het 'Add'-icoontje onder "User Configuration" en maak de trunk aan zoals aangegeven.:
Klik 'OK' en verander de 'Default Trunk Selection' zoals hieronder aangegeven en klik daarna op 'Apply':
Het bridge-interface zit nu netjes in de (User Configured) WAN-Trunk.
Klik op 'Apply' en daarna op 'OK'. Hiermee kunt u ook met de V2.20 firmware, naast het gebruiken van de Bridge, ook nog vanaf het LAN op internet (en NAT/Virtual Server regels gebruiken) en is de configuratie voltooid.