maik20
Goto Top

Palo Alto Routing

Hallo,

ich habe folgendes Problem mit einer Firewall. Die Clients im Netz 10.3.10.x haben keine Verbindung zum Internet. Als Gateway ist auf den Clients die 10.3.10.1 eingetragen. Vom Client kann ich die 10.3.10.1 auch per PING erreichen. Hierbei handelt es sich um eine Palo Alto. Die Routing Tabelle zeigt folgende routen:

VIRTUAL ROUTER: default (id 1)
  ==========
destination                                 nexthop                                 metric flags      age   interface          next-AS
0.0.0.0/0                                   62.156.244.77                           10     A S              ethernet1/3
10.1.0.0/16                                 0.0.0.0                                 10     A S              tunnel.1
10.2.2.0/24                                 10.2.2.1                                0      A C              vlan.2
10.2.2.1/32                                 0.0.0.0                                 0      A H
10.2.5.0/24                                 10.2.2.2                                10     A S              vlan.2
10.2.10.0/24                                10.2.2.2                                10     A S              vlan.2
10.2.11.0/24                                10.2.11.1                               0      A C              vlan.11
10.2.11.1/32                                0.0.0.0                                 0      A H
10.2.12.0/24                                10.2.12.1                               0      A C              vlan.12
10.2.12.1/32                                0.0.0.0                                 0      A H
10.2.20.0/24                                10.2.2.2                                10     A S              vlan.2
10.2.21.0/24                                10.2.2.2                                10     A S              vlan.2
10.2.70.0/24                                10.2.70.1                               0      A C              vlan.70
10.2.70.1/32                                0.0.0.0                                 0      A H
10.2.80.0/24                                10.2.2.2                                10     A S              vlan.2
10.3.10.0/24                                10.3.10.1                               0      A C              vlan.310
10.3.10.1/32                                0.0.0.0                                 0      A H
10.3.90.0/24                                10.3.90.1                               0      A C              vlan.390
10.3.90.1/32                                0.0.0.0                                 0      A H
62.156.244.77/32                            81.151.124.252                          10     A S              ethernet1/3
81.151.124.252/32                           0.0.0.0                                 0      A H
192.168.1.0/24                              192.168.1.254                           0      A C              ethernet1/4
192.168.1.254/32                            0.0.0.0                                 0      A H
total routes shown: 23

Das Interface 1/3 ist in der Zone "untrust" das vlan 310 ist in der Zone "trust2". Es gibt eine Policy, die besagt trust2 to untrust allow any. Irgendwie sehe ich gerade den Wald vor lauter Bäume nicht. Wenn ich es richtig lese verweißt die 10.3.10.1 auf die default route und diese landet auf dem interface 1/3. Damit müsste die Firewallregel passen.

Gibt es eine Möglichkeit das ich den Weg des Paketes mir anzeigen lassen kann?

Content-ID: 360471

Url: https://administrator.de/forum/palo-alto-routing-360471.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

certifiedit.net
certifiedit.net 10.01.2018 um 00:25:27 Uhr
Goto Top
Du hast doch die Routingtabelle, wobei ich befürchte (Adaption aus anderen FW), dass du für die Routings entsprechende Zuweisungen in der PA machen musst. Erst damit funktioniert dies dann problemlos. Ferner: Wessen RT ist das oben?

Darfst dich gerne auch direkt melden, ne PA wäre vllt zu Impressionszwecken ganz interessant.

VG
MartinStrasser
MartinStrasser 10.01.2018 um 07:15:38 Uhr
Goto Top
Hallo,

die Routing-Tabelle sieht gut aus.

Hast Du auch die entsprechende FW-Policy bzw. NAT-Einträge erstellt?

Grüße,
Martin
aqui
aqui 10.01.2018 aktualisiert um 09:56:47 Uhr
Goto Top
An der Routing Table liegt es sicher nicht, denn die ist in der Tat fehlerfrei.
Default Route auf die 62.156.244.77 (Telekom, "Maschinenraum Schönbrunn", http://www.utrace.de/whois/62.156.244.77) und die 10.3.10.1 ist die lokale IP des VLANs 310 auf der Firewall.

Ein Fehler in der VLAN Implementation scheidet aus denn wäre dem so könnten Clients aus dem VLAN 310 die Gateway IP auf der FW nicht pingen.
Bleibt also nur die Firewall selber. Mit an Sicherheit grenzender Wahrscheinlichkeit fehlt hier eine entsprechende FW Regel das 10.3.10er Traffic ins Internet passieren darf oder es fehlt die NAT Regel das dieser Traffic auf dem WAN Interface geNATet werden muss.
Maik20
Maik20 10.01.2018 um 12:29:46 Uhr
Goto Top
Eine FW-Policy habe ich konfiguriert. Aber wozu brauche ich in dem Zusammenhang NAT? Ich bringe NAT gerade nur in Verbindung mit einem Server auf den von außen zugegriffen werden soll. Oder? Wie müsste die NAT-Regel denn aussehen?

Danke!
MartinStrasser
MartinStrasser 10.01.2018 um 14:38:31 Uhr
Goto Top
Hallo,

die PaloAlto ist eine "richtige" Firewall, welche nichts automatisch macht.

NAT ausgehend wird benötigt, um im Internet nicht routebare Adressen (RFC1918) hinter einer routebaren Adresse zu verstecken.
Damit hat das ausgehende Paket eine öffentliche Source-IP.

Grüße,
Martin
aqui
aqui 10.01.2018 aktualisiert um 15:17:35 Uhr
Goto Top
Aber wozu brauche ich in dem Zusammenhang NAT?
Wie du ja selber sehen kannst ist dein VLAN 310 eine private RFC 1918 IP Adresse die im Internet nicht geroutet wird: https://de.wikipedia.org/wiki/Private_IP-Adresse
Folglich musst du diese IP also zwangsweise mit NAT (Adress Translation) auf eine öffentliche IPv4 Adresse umsetzen mit deiner Firewall. Sonst ist nix mit Internet...
Solche banalen Grundlagen sollte man aber wissen als Netzwerker... face-wink