dr.cornwallis
Goto Top

Netzwerkproblem od. Firewall

Liebe Gemeinde,

ich habe eine Linux Kiste die mit dem FWBuilder meine Firewall bildet, nun habe ich folgendes Problem:

vCenter IP: 192.168.14.20

-> 1 Client mit OpenVPN im Netzwerk verbunden: IP 192.168.37.2 -> vCenter ping OK, vSphere Client funktioniert...
-> Gleicher Client mit Site to site VPN -> alle Hosts inkl.vCenter lassen sich pingen, IP: 192.168.142.110 , vCenter Fehler: antwortet nicht "ServiceInstance.retrieveContent"...….


Dazu die Logs von der Firewall(Aufbau der Verbindung mit vSphere Client):

REGEL 85 -- ACCEPT IN=eth1.9 OUT=eth1.14 SRC=192.168.142.110 DST=192.168.14.20
INVALID state -- DENY IN=eth1.9 OUT=eth1.14 SRC=192.168.142.110 DST=192.168.14.20

Regel 85 sieht wie folgt aus bzw. beinhaltet:

Source: 192.168.128.0 255.255.128.0 DST: any Service: any Interface: any Direction: both ACCEPT
Source: 192.168.37.0 255.255.255.0 DST: any Service any Interface: any Direction: both ACCEPT

Warum funktioniert es über das 192.168.37.0 Netz und über das 192.168.142.0 Netz nicht???

Beim Traceroute am Client folgender Output:

vom 192.168.142.0 Netz: 192.168.142.1 - * - 192.168.2.1(Verbindungsnetz) - vCenter
vom 192.168.37.0 Netz: 192.168.37.1 - vCenter

Bitte um Hilfe....

Besten Dank!

Gruß

Dr.

Content-ID: 386813

Url: https://administrator.de/forum/netzwerkproblem-od-firewall-386813.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 18.09.2018 um 15:08:32 Uhr
Goto Top
ist wohl ein Portfilter... der alte Vsphere Client mat einen Connect auf einem proirpetären Port.

Mal http://<ip des esx hosts> ausprobieren, bzw. https vorne, wenn das schon nicht geht, dann läßt die Firewall IGMP Echos durch, aber kein HTTP / HTTPS.
Dr.Cornwallis
Dr.Cornwallis 18.09.2018 um 15:17:02 Uhr
Goto Top
Moin,

aber die Regel lässt jeden Dienst durch, daher sollte auch http/https ohne Probleme funktionieren.

Source: 192.168.128.0 255.255.128.0 DST: any Service: any Interface: any Direction: both ACCEPT
Source: 192.168.37.0 255.255.255.0 DST: any Service any Interface: any Direction: both ACCEPT

Gruß
Dr.Cornwallis
Dr.Cornwallis 18.09.2018 um 15:20:43 Uhr
Goto Top
Zusätzlich habe ich ein anderes VPN Subnetz/Standort probiert, 192.168.135.0 funktioniert ohne Probleme, das Einzige was heute geändert wurde ist der Provider Router, dieser dient als GW für den VPN Router.... also 192.168.142.1 - 10.0.0.138 - Internet...

Gruß