2
PfSense blockiert Traffic, vermutlich Routing Problem
Hi,
ich habe hier folgende Netzwerkstruktur:
In der pfSense ist eine statische Route in die DMZ gesetzt über das Gateway 10.2.0.8. Windows Clients im LAN erkennen diese und tracert in die DMZ geht auch direkt über 10.2.0.8 als 1. Hop. Nun habe ich einen Ubuntu Client im LAN, der auf einem Oracle Server in der DMZ zugreifen möchte. Traceroute geht im Unterschied zu Windows über 10.2.0.1 -> 10.2.0.8 -> Ziel IP. Der Ubuntu Client kann die Ziel IP in der DMZ anpingen und auch Telnet auf Port 1521 (Oracle) funktioniert. Was nicht funktioniert ist die Verbindung mit Oracle. Die pfSense blockiert den Zugriff:
pf: 10.2.0.27.60487 > 10.1.0.123.1521: Flags [P.], cksum 0xfc71 (correct), ack 1, win 349, options [nop,nop,TS val 2219607185 ecr 2827857], length 87
Ich vermute hier ein Routing Problem, da die Antwort aus der DMZ ja über 10.2.0.8 direkt ins LAN zurück kommt und nicht über die 10.2.0.1. Auf pfSense habe ich Firewall/NAT auf conservative gestellt und Srub deaktiviert, was aber nichts geholfen hat. Die Default Rule lehnt weiter ab.
Hat jemand eine Idee außer auf der Ubuntu Maschine eine statische Route zu setzen?
Danke und Grüße,
tonabnehmer
ich habe hier folgende Netzwerkstruktur:
In der pfSense ist eine statische Route in die DMZ gesetzt über das Gateway 10.2.0.8. Windows Clients im LAN erkennen diese und tracert in die DMZ geht auch direkt über 10.2.0.8 als 1. Hop. Nun habe ich einen Ubuntu Client im LAN, der auf einem Oracle Server in der DMZ zugreifen möchte. Traceroute geht im Unterschied zu Windows über 10.2.0.1 -> 10.2.0.8 -> Ziel IP. Der Ubuntu Client kann die Ziel IP in der DMZ anpingen und auch Telnet auf Port 1521 (Oracle) funktioniert. Was nicht funktioniert ist die Verbindung mit Oracle. Die pfSense blockiert den Zugriff:
pf: 10.2.0.27.60487 > 10.1.0.123.1521: Flags [P.], cksum 0xfc71 (correct), ack 1, win 349, options [nop,nop,TS val 2219607185 ecr 2827857], length 87
Ich vermute hier ein Routing Problem, da die Antwort aus der DMZ ja über 10.2.0.8 direkt ins LAN zurück kommt und nicht über die 10.2.0.1. Auf pfSense habe ich Firewall/NAT auf conservative gestellt und Srub deaktiviert, was aber nichts geholfen hat. Die Default Rule lehnt weiter ab.
Hat jemand eine Idee außer auf der Ubuntu Maschine eine statische Route zu setzen?
Danke und Grüße,
tonabnehmer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172103
Url: https://administrator.de/contentid/172103
Printed on: April 26, 2024 at 17:04 o'clock
2 Comments
Latest comment
Wir gehen mal davon aus das du sowohl bei Ubuntu als auch bei den Winblows Clients die 10.0.2.1 als default Gateway eingestellt hast.
Es sie so aus als ob du ICMP deaktiviert hast oder blockierst auf den FW Interfaces. Der Ubuntu Traceroute zeigt das eindeutig.
Normalerweise sollte pfSense ein ICMP Redirect schicken an alle Clients im LAN das der next Hop für das DMZ Segment direkt die 10.0.2.8 ist. Daraufhin nutzen alle Clients sofort direkt die .8 als Gateway. Es ist ja ein sinnloser Umweg alle Pakete weiter zur .1 zu senden und kostet obendrein Performance, da man im selben Segment den Traffic verdoppelt.
Sinnvollerweise gibt es dafür das ICMP Redirect wenn das 2te Gateway im selben Segment ist. Finde also heraus warum der Ubuntu Client diese Redirects nicht verarbeitet. In deiner Konstellation solltest du in jedem Fall diese Messages auf dem LAN Segment erlauben.
Bei Winblows ist das übrigens der Haken in den erweiterten FW Einstellungen "Umleitungen zulassen".
Zusätzlich solltest du natürlich deine FW Regeln überprüfen nicht das du Oracle Ports blockst...?!
Oft hilft es auch IPv6 im Dual Stack zu deaktivieren auf FW und Clients wenn du es nicht benötigst.
Ein Routing Problem ist es de facto in diesem sehr simplen Szenario sicher nicht, zumal dir Ping und Traceroute ja dies auch eindeutig bestätigen !!
Es sie so aus als ob du ICMP deaktiviert hast oder blockierst auf den FW Interfaces. Der Ubuntu Traceroute zeigt das eindeutig.
Normalerweise sollte pfSense ein ICMP Redirect schicken an alle Clients im LAN das der next Hop für das DMZ Segment direkt die 10.0.2.8 ist. Daraufhin nutzen alle Clients sofort direkt die .8 als Gateway. Es ist ja ein sinnloser Umweg alle Pakete weiter zur .1 zu senden und kostet obendrein Performance, da man im selben Segment den Traffic verdoppelt.
Sinnvollerweise gibt es dafür das ICMP Redirect wenn das 2te Gateway im selben Segment ist. Finde also heraus warum der Ubuntu Client diese Redirects nicht verarbeitet. In deiner Konstellation solltest du in jedem Fall diese Messages auf dem LAN Segment erlauben.
Bei Winblows ist das übrigens der Haken in den erweiterten FW Einstellungen "Umleitungen zulassen".
Zusätzlich solltest du natürlich deine FW Regeln überprüfen nicht das du Oracle Ports blockst...?!
Oft hilft es auch IPv6 im Dual Stack zu deaktivieren auf FW und Clients wenn du es nicht benötigst.
Ein Routing Problem ist es de facto in diesem sehr simplen Szenario sicher nicht, zumal dir Ping und Traceroute ja dies auch eindeutig bestätigen !!
Hallo aqui,
vielen Dank für die zielführende Erklärung! Es scheint so, als ob Ubuntu Server und auch RedHat Enterprise in den aktuellen Versionen ICMP Redirects per Default nicht akzeptieren bzw. je nach Edition und Version sich auch unterschiedlich verhalten. Konfiguriert wird das in der /etc/sysctl.conf über die Parameter [...]accept_redirects und kann hier nachgelesen werden: http://www.itsyourip.com/Security/how-to-disable-icmp-redirects-in-linu ....
Als Lösung habe ich aber nicht die /etc/sysctl.conf editiert sondern persistente statische Routen in die DMZ eingerichtet. Der Nachteil ist dabei, dass bei Änderung der IP dies auf allen Rechnern angepasst werden muss. Bei der /etc/sysctl.conf bin ich mir aber nicht sicher, ob die bei einem Update/Upgrade nicht überschrieben wird. Die statische Route erschien mir die zuverlässigste Lösung.
Besten Dank und Grüße,
tonabnehmer
vielen Dank für die zielführende Erklärung! Es scheint so, als ob Ubuntu Server und auch RedHat Enterprise in den aktuellen Versionen ICMP Redirects per Default nicht akzeptieren bzw. je nach Edition und Version sich auch unterschiedlich verhalten. Konfiguriert wird das in der /etc/sysctl.conf über die Parameter [...]accept_redirects und kann hier nachgelesen werden: http://www.itsyourip.com/Security/how-to-disable-icmp-redirects-in-linu ....
Als Lösung habe ich aber nicht die /etc/sysctl.conf editiert sondern persistente statische Routen in die DMZ eingerichtet. Der Nachteil ist dabei, dass bei Änderung der IP dies auf allen Rechnern angepasst werden muss. Bei der /etc/sysctl.conf bin ich mir aber nicht sicher, ob die bei einem Update/Upgrade nicht überschrieben wird. Die statische Route erschien mir die zuverlässigste Lösung.
Besten Dank und Grüße,
tonabnehmer