PfSense blockiert Traffic, vermutlich Routing Problem
Hi,
ich habe hier folgende Netzwerkstruktur:
In der pfSense ist eine statische Route in die DMZ gesetzt über das Gateway 10.2.0.8. Windows Clients im LAN erkennen diese und tracert in die DMZ geht auch direkt über 10.2.0.8 als 1. Hop. Nun habe ich einen Ubuntu Client im LAN, der auf einem Oracle Server in der DMZ zugreifen möchte. Traceroute geht im Unterschied zu Windows über 10.2.0.1 -> 10.2.0.8 -> Ziel IP. Der Ubuntu Client kann die Ziel IP in der DMZ anpingen und auch Telnet auf Port 1521 (Oracle) funktioniert. Was nicht funktioniert ist die Verbindung mit Oracle. Die pfSense blockiert den Zugriff:
pf: 10.2.0.27.60487 > 10.1.0.123.1521: Flags [P.], cksum 0xfc71 (correct), ack 1, win 349, options [nop,nop,TS val 2219607185 ecr 2827857], length 87
Ich vermute hier ein Routing Problem, da die Antwort aus der DMZ ja über 10.2.0.8 direkt ins LAN zurück kommt und nicht über die 10.2.0.1. Auf pfSense habe ich Firewall/NAT auf conservative gestellt und Srub deaktiviert, was aber nichts geholfen hat. Die Default Rule lehnt weiter ab.
Hat jemand eine Idee außer auf der Ubuntu Maschine eine statische Route zu setzen?
Danke und Grüße,
tonabnehmer
ich habe hier folgende Netzwerkstruktur:
In der pfSense ist eine statische Route in die DMZ gesetzt über das Gateway 10.2.0.8. Windows Clients im LAN erkennen diese und tracert in die DMZ geht auch direkt über 10.2.0.8 als 1. Hop. Nun habe ich einen Ubuntu Client im LAN, der auf einem Oracle Server in der DMZ zugreifen möchte. Traceroute geht im Unterschied zu Windows über 10.2.0.1 -> 10.2.0.8 -> Ziel IP. Der Ubuntu Client kann die Ziel IP in der DMZ anpingen und auch Telnet auf Port 1521 (Oracle) funktioniert. Was nicht funktioniert ist die Verbindung mit Oracle. Die pfSense blockiert den Zugriff:
pf: 10.2.0.27.60487 > 10.1.0.123.1521: Flags [P.], cksum 0xfc71 (correct), ack 1, win 349, options [nop,nop,TS val 2219607185 ecr 2827857], length 87
Ich vermute hier ein Routing Problem, da die Antwort aus der DMZ ja über 10.2.0.8 direkt ins LAN zurück kommt und nicht über die 10.2.0.1. Auf pfSense habe ich Firewall/NAT auf conservative gestellt und Srub deaktiviert, was aber nichts geholfen hat. Die Default Rule lehnt weiter ab.
Hat jemand eine Idee außer auf der Ubuntu Maschine eine statische Route zu setzen?
Danke und Grüße,
tonabnehmer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172103
Url: https://administrator.de/contentid/172103
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
2 Kommentare
Neuester Kommentar
Wir gehen mal davon aus das du sowohl bei Ubuntu als auch bei den Winblows Clients die 10.0.2.1 als default Gateway eingestellt hast.
Es sie so aus als ob du ICMP deaktiviert hast oder blockierst auf den FW Interfaces. Der Ubuntu Traceroute zeigt das eindeutig.
Normalerweise sollte pfSense ein ICMP Redirect schicken an alle Clients im LAN das der next Hop für das DMZ Segment direkt die 10.0.2.8 ist. Daraufhin nutzen alle Clients sofort direkt die .8 als Gateway. Es ist ja ein sinnloser Umweg alle Pakete weiter zur .1 zu senden und kostet obendrein Performance, da man im selben Segment den Traffic verdoppelt.
Sinnvollerweise gibt es dafür das ICMP Redirect wenn das 2te Gateway im selben Segment ist. Finde also heraus warum der Ubuntu Client diese Redirects nicht verarbeitet. In deiner Konstellation solltest du in jedem Fall diese Messages auf dem LAN Segment erlauben.
Bei Winblows ist das übrigens der Haken in den erweiterten FW Einstellungen "Umleitungen zulassen".
Zusätzlich solltest du natürlich deine FW Regeln überprüfen nicht das du Oracle Ports blockst...?!
Oft hilft es auch IPv6 im Dual Stack zu deaktivieren auf FW und Clients wenn du es nicht benötigst.
Ein Routing Problem ist es de facto in diesem sehr simplen Szenario sicher nicht, zumal dir Ping und Traceroute ja dies auch eindeutig bestätigen !!
Es sie so aus als ob du ICMP deaktiviert hast oder blockierst auf den FW Interfaces. Der Ubuntu Traceroute zeigt das eindeutig.
Normalerweise sollte pfSense ein ICMP Redirect schicken an alle Clients im LAN das der next Hop für das DMZ Segment direkt die 10.0.2.8 ist. Daraufhin nutzen alle Clients sofort direkt die .8 als Gateway. Es ist ja ein sinnloser Umweg alle Pakete weiter zur .1 zu senden und kostet obendrein Performance, da man im selben Segment den Traffic verdoppelt.
Sinnvollerweise gibt es dafür das ICMP Redirect wenn das 2te Gateway im selben Segment ist. Finde also heraus warum der Ubuntu Client diese Redirects nicht verarbeitet. In deiner Konstellation solltest du in jedem Fall diese Messages auf dem LAN Segment erlauben.
Bei Winblows ist das übrigens der Haken in den erweiterten FW Einstellungen "Umleitungen zulassen".
Zusätzlich solltest du natürlich deine FW Regeln überprüfen nicht das du Oracle Ports blockst...?!
Oft hilft es auch IPv6 im Dual Stack zu deaktivieren auf FW und Clients wenn du es nicht benötigst.
Ein Routing Problem ist es de facto in diesem sehr simplen Szenario sicher nicht, zumal dir Ping und Traceroute ja dies auch eindeutig bestätigen !!