123788
Nov 14, 2016
2160
10
0
PfSense, Routing-Frage
Hallo zusammen,
betreibe ein pfSense, das folgendermaßen konfiguriert ist:
- LAN-Karte1, direkt ans Internet angebunden, statische IP, erreichbar über example.com
- LAN-Karte2, 2 VLANS: lan (hier sind alle Clients angeschlossen, die auf die Weise einfach über LAN-Karte1 surfen) und dmz (hier hängt nur ein einziger Server dran, welcher von außen per NAT über die Ports 80 und 443 erreichbar ist, also den Webserver hinter example.com stellt).
Bisher ist lan so eingerichtet, dass es überall hin kann, außer auf interne Netze (ist ein Alias, deckt 192.168.0.0/16, 172... etc ab). Also: Es kann alles machen, was raus richtung Internet geht.
Die DMZ kann garnichts, sie ist nur per NAT über die o.g. Ports erreichbar.
Nun war es bisher so, dass Clients aus dem lan nicht auf den Server in der dmz zugreifen mussten, das soll sich nun ändern.
Pinge ich vom lan aus die Domain example.com an, erhalte ich die Internet-IP von LAN-Karte1.
Ich habe bereits versucht, ein NAT einzurichten (grob gesprochen: von lan und port 80/443 schicke auf $serverInDMZ). Das funktioniert aber leider nicht.
Am Server in der DMZ muss vmtl. nichts geändert werden (den verwaltet jemand anderes).
Habt ihr eine Idee, was ich tun muss?
betreibe ein pfSense, das folgendermaßen konfiguriert ist:
- LAN-Karte1, direkt ans Internet angebunden, statische IP, erreichbar über example.com
- LAN-Karte2, 2 VLANS: lan (hier sind alle Clients angeschlossen, die auf die Weise einfach über LAN-Karte1 surfen) und dmz (hier hängt nur ein einziger Server dran, welcher von außen per NAT über die Ports 80 und 443 erreichbar ist, also den Webserver hinter example.com stellt).
Bisher ist lan so eingerichtet, dass es überall hin kann, außer auf interne Netze (ist ein Alias, deckt 192.168.0.0/16, 172... etc ab). Also: Es kann alles machen, was raus richtung Internet geht.
Die DMZ kann garnichts, sie ist nur per NAT über die o.g. Ports erreichbar.
Nun war es bisher so, dass Clients aus dem lan nicht auf den Server in der dmz zugreifen mussten, das soll sich nun ändern.
Pinge ich vom lan aus die Domain example.com an, erhalte ich die Internet-IP von LAN-Karte1.
Ich habe bereits versucht, ein NAT einzurichten (grob gesprochen: von lan und port 80/443 schicke auf $serverInDMZ). Das funktioniert aber leider nicht.
Am Server in der DMZ muss vmtl. nichts geändert werden (den verwaltet jemand anderes).
Habt ihr eine Idee, was ich tun muss?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 320984
Url: https://administrator.de/contentid/320984
Printed on: April 24, 2024 at 19:04 o'clock
10 Comments
Latest comment
Moin,
schau dir mal das hier an. Das muss zwingend in deiner Konstellation aktiviert sein:
https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_o ...
Alternativ kannst du auch den DNS Eintrag für deinen DMZ Server für dein LAN Netz so anpassen, dass mit der RFC1918 IP gearbeitet wird.
Das ist dann ein Split-DNS.
VG
Val
schau dir mal das hier an. Das muss zwingend in deiner Konstellation aktiviert sein:
https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_o ...
Alternativ kannst du auch den DNS Eintrag für deinen DMZ Server für dein LAN Netz so anpassen, dass mit der RFC1918 IP gearbeitet wird.
Das ist dann ein Split-DNS.
VG
Val
Hallo zusammen,
ich wollte nur noch einmal fragen ob die beiden VLANs einmal das LAN und einmal die DMZ abbilden?
Oder ist das ein LAN mit zwei VLANs und noch einer DMZ zusätzlich? Das geht leider aus Deiner
Beschreibung so nicht ganz hervor.
Ich würde es wie folgt machen wollen:
- eth1 = LAN Karte/Interface 1
WAN Anbindung:
WAN: statische IP aus dem Provider Netzwerk
LAN Anbindung:
Netz: 192.168.1.0/24
LAN IP: 192.168.1.1/24
DNS:192.168.1.1/24
- eth2 = Lan Karte/Interface 2
VLAN 10 = ID Klienten1 - 192.168.2.0/24
VLAN 20 = ID Klienten2 - 192.168.3.0/24
- eth3 = LAN Karte/Interface 3
DMZ Anbindung:
Netz: 172.xx.xx/24
IP: 172.xx.1.1/24
WAN IP Port xyz >>> weiterleiten an >>> 172.xx.1.2/24 (Server) Port xyz
Nun noch die Firewallregeln zwischen dem LAN und der DMZ anpassen und es sollte laufen.
Gruß
Dobby
ich wollte nur noch einmal fragen ob die beiden VLANs einmal das LAN und einmal die DMZ abbilden?
Oder ist das ein LAN mit zwei VLANs und noch einer DMZ zusätzlich? Das geht leider aus Deiner
Beschreibung so nicht ganz hervor.
Ich würde es wie folgt machen wollen:
- eth1 = LAN Karte/Interface 1
WAN Anbindung:
WAN: statische IP aus dem Provider Netzwerk
LAN Anbindung:
Netz: 192.168.1.0/24
LAN IP: 192.168.1.1/24
DNS:192.168.1.1/24
- eth2 = Lan Karte/Interface 2
VLAN 10 = ID Klienten1 - 192.168.2.0/24
VLAN 20 = ID Klienten2 - 192.168.3.0/24
- eth3 = LAN Karte/Interface 3
DMZ Anbindung:
Netz: 172.xx.xx/24
IP: 172.xx.1.1/24
WAN IP Port xyz >>> weiterleiten an >>> 172.xx.1.2/24 (Server) Port xyz
Nun noch die Firewallregeln zwischen dem LAN und der DMZ anpassen und es sollte laufen.
Gruß
Dobby
Vermutlich rennst du in ein Hairpin NAT Problem wenn du den externen FQDN Namen ansprichst vom internen LAN.
Kollege Valexus ist hier auf dem richtigen Weg.
Die pfSense hat einen Schalter um das zu umgehen mit den angesprochenen NAT Reflections unter den Advanced Settings -> Firewall und NAT.
Kollege Valexus ist hier auf dem richtigen Weg.
Die pfSense hat einen Schalter um das zu umgehen mit den angesprochenen NAT Reflections unter den Advanced Settings -> Firewall und NAT.
Hallo zusammen und danke für euren schnellen Antworten!
Ich hab auch das Gefühl, dass der Beitrag von Valexus da hilfreich ist.
Werde morgen mal beide Varianten probieren und schauen, ob es dann klappt.
Ich hab auch das Gefühl, dass der Beitrag von Valexus da hilfreich ist.
Werde morgen mal beide Varianten probieren und schauen, ob es dann klappt.
Guten Morgen,
so, letztlich haben eine Mischung aus dem Tipp von Valexus und der Kollege geholfen, der den Server verwaltet.
Und zwar war das lan-vlan auf dem Server konfiguriert. Zwar wurde es von dessen Firewall nicht weiter geleitet etc., aber wenn nun Pakete über ein anderes Interface rein kommen, aber von lan sind, dann schickt der Server die Pakete natürlich auf das für ihn logisch erscheinende lan-Interface zurück. Und das war natürlich das Falsche
Also: lan-vlan auf dem Server gelöscht, DNS-Split eingerichtet, kurze FW-Regel auf pfSense hinzugefügt... tada, funktioniert!
Vielen Dank euch!
so, letztlich haben eine Mischung aus dem Tipp von Valexus und der Kollege geholfen, der den Server verwaltet.
Und zwar war das lan-vlan auf dem Server konfiguriert. Zwar wurde es von dessen Firewall nicht weiter geleitet etc., aber wenn nun Pakete über ein anderes Interface rein kommen, aber von lan sind, dann schickt der Server die Pakete natürlich auf das für ihn logisch erscheinende lan-Interface zurück. Und das war natürlich das Falsche
Also: lan-vlan auf dem Server gelöscht, DNS-Split eingerichtet, kurze FW-Regel auf pfSense hinzugefügt... tada, funktioniert!
Vielen Dank euch!
dann schickt der Server die Pakete natürlich auf das für ihn logisch erscheinende lan-Interface zurück. Und das war natürlich das Falsche
Du willst uns jetzt doch wohl aber nicht erzählen das du den Server etwa mit 2 NICs (oder .1q Trunk) in beiden Segmenten (LAN und DMZ) der Firewall hängen hast ???Das wäre ja fatal und würde das gesamte Konzept der FW und DMZ ja völlig ad absurdum führen ?
Gut, wenns nun final rennt ist ja OK.
Ich weiß nicht genau, was da gemacht wurde, wie gesagt: Den Server verwaltet nen Kollege.
Aber so wie ich das verstanden habe, war der Server testweise mal im vlan-lan mit drin.
Und davon übrig geblieben ist wohl dessen passende Netzwerk-Konfiguration. Aber die Firewall des Servers und auch der Switch haben das wohl nicht mehr weitergeleitet, war quasi ne tote Verbindung.
Der Server steht recht entfernt im Gebäude und ist nur über mehrere Switches erreichbar, ist quasi ein eigenes VLAN mit nur zwei Clients (Server und Firewall).
Aber so wie ich das verstanden habe, war der Server testweise mal im vlan-lan mit drin.
Und davon übrig geblieben ist wohl dessen passende Netzwerk-Konfiguration. Aber die Firewall des Servers und auch der Switch haben das wohl nicht mehr weitergeleitet, war quasi ne tote Verbindung.
Der Server steht recht entfernt im Gebäude und ist nur über mehrere Switches erreichbar, ist quasi ein eigenes VLAN mit nur zwei Clients (Server und Firewall).
Ich weiß nicht genau, was da gemacht wurde, wie gesagt: Den Server verwaltet nen Kollege.
Interessante Arbeitsteilung. Das sowas ohne Kommunikation innerhalb der IT und Kollegen ja nicht geht lernt der Azubi im ersten Monat.Wenn jeder macht was er will ohne Koordination kommt genau das dabei raus was dieser Thread beschreibt.
Muss man wohl auch nicht mehr weiter kommentieren...
Aber so wie ich das verstanden habe, war der Server testweise mal im vlan-lan mit drin.
Wie vermutet jeder frickelt mal ein bischen rum im freinen Fall... Und dann ne DMZ und Security...no comment.Klingt alles eher nach Bastelei...aber egal.
Ich wär immer vorsichtig mit solchen Urteilen, wenn ich nicht die genaue Sachlage kenne.
Ich z.B. bin Freelancer und arbeite hier nur für ein paar Tage als Notfall-Ersatz für einen hier fest angestellten Kollegen.
"Kollege" heißt in dem Fall dann auch: Vom selben Fach, nicht von derselben Firma.
Kommunikation mit mir gibt's durchaus, aber natürlich hab ich nicht alles from-scratch mitbekommen.
Verstehe, welcher Eindruck da bei dir entsteht.
Aber vllt. brauchten sie bei der Einrichtung aus irgendeinem Grund ne Verbindung ins LAN, bevor überhaupt irgendwas wirklich in Betrieb genommen wurde oder sie mussten notfallmäßig irgendwann mal "eben schnell" was ans Laufen bringen, wo Produktion wichtiger war als Sicherheit, oder....
Ich kenne die genaue Sachlage auch nicht, aber sie ist auch recht egal.
Das Konzept ansich mit nem eigenen VLAN für einen Server und das an der pfSense als DMZ einzurichten erscheint mir grundsätzlich erstmal sinnvoll und da sehe ich in meinem Alltag weit weit weit weit schlimmere Sachen.
Jeder darf Kritik äußern und du bist vmtl. ebenfalls vom Fach und hast dadurch in gewisser Weise ein Recht dazu.
Ich erlebe nur häufig, dass in der IT jeder ne Meinung hat und teilweise ist das anstrengend.
Ich z.B. bin Freelancer und arbeite hier nur für ein paar Tage als Notfall-Ersatz für einen hier fest angestellten Kollegen.
"Kollege" heißt in dem Fall dann auch: Vom selben Fach, nicht von derselben Firma.
Kommunikation mit mir gibt's durchaus, aber natürlich hab ich nicht alles from-scratch mitbekommen.
Verstehe, welcher Eindruck da bei dir entsteht.
Aber vllt. brauchten sie bei der Einrichtung aus irgendeinem Grund ne Verbindung ins LAN, bevor überhaupt irgendwas wirklich in Betrieb genommen wurde oder sie mussten notfallmäßig irgendwann mal "eben schnell" was ans Laufen bringen, wo Produktion wichtiger war als Sicherheit, oder....
Ich kenne die genaue Sachlage auch nicht, aber sie ist auch recht egal.
Das Konzept ansich mit nem eigenen VLAN für einen Server und das an der pfSense als DMZ einzurichten erscheint mir grundsätzlich erstmal sinnvoll und da sehe ich in meinem Alltag weit weit weit weit schlimmere Sachen.
Jeder darf Kritik äußern und du bist vmtl. ebenfalls vom Fach und hast dadurch in gewisser Weise ein Recht dazu.
Ich erlebe nur häufig, dass in der IT jeder ne Meinung hat und teilweise ist das anstrengend.
Ein "Recht" in dem Sinne hat keiner dazu aber die Schilderung oben lässt so einen Schluss auf die Situation vor Ort sehr wahrscheinlich erscheinen.
Wer fachunkundig ist würde sich so oder so zurückhalten.
Ganz sicher ist das Konzept mit dem VLAN so absolut richtig und korrekt umgesetzt. Wenn dann aber ein Serverbastler der sich nicht mit dem Netzwerk Admin abspricht oder koordiniert eine Backdoor Bridge oder Router parallel mit seinen Server NICs bildet und somit ob bewusst oder unbewusst das Kanstrukt bypassed, dann hat das natürlich schon Auswirkungen auf die Sinnhaftigkeit des ganzen. Aber wie du schon sagst...Details kennen wir nicht und man kann sich das aus den Schilderungen nur denken.
Aber egal...muss man ja nicht auch weiter im Detail beleuchten. Wenn es nun alles rennt, egal wie auch immer, spricht das ja für sich.
Wer fachunkundig ist würde sich so oder so zurückhalten.
Ganz sicher ist das Konzept mit dem VLAN so absolut richtig und korrekt umgesetzt. Wenn dann aber ein Serverbastler der sich nicht mit dem Netzwerk Admin abspricht oder koordiniert eine Backdoor Bridge oder Router parallel mit seinen Server NICs bildet und somit ob bewusst oder unbewusst das Kanstrukt bypassed, dann hat das natürlich schon Auswirkungen auf die Sinnhaftigkeit des ganzen. Aber wie du schon sagst...Details kennen wir nicht und man kann sich das aus den Schilderungen nur denken.
Aber egal...muss man ja nicht auch weiter im Detail beleuchten. Wenn es nun alles rennt, egal wie auch immer, spricht das ja für sich.
