Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense, Routing-Frage

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

14.11.2016 um 16:44 Uhr, 1099 Aufrufe, 10 Kommentare

Hallo zusammen,

betreibe ein pfSense, das folgendermaßen konfiguriert ist:

- LAN-Karte1, direkt ans Internet angebunden, statische IP, erreichbar über example.com
- LAN-Karte2, 2 VLANS: lan (hier sind alle Clients angeschlossen, die auf die Weise einfach über LAN-Karte1 surfen) und dmz (hier hängt nur ein einziger Server dran, welcher von außen per NAT über die Ports 80 und 443 erreichbar ist, also den Webserver hinter example.com stellt).

Bisher ist lan so eingerichtet, dass es überall hin kann, außer auf interne Netze (ist ein Alias, deckt 192.168.0.0/16, 172... etc ab). Also: Es kann alles machen, was raus richtung Internet geht.
Die DMZ kann garnichts, sie ist nur per NAT über die o.g. Ports erreichbar.

Nun war es bisher so, dass Clients aus dem lan nicht auf den Server in der dmz zugreifen mussten, das soll sich nun ändern.
Pinge ich vom lan aus die Domain example.com an, erhalte ich die Internet-IP von LAN-Karte1.

Ich habe bereits versucht, ein NAT einzurichten (grob gesprochen: von lan und port 80/443 schicke auf $serverInDMZ). Das funktioniert aber leider nicht.
Am Server in der DMZ muss vmtl. nichts geändert werden (den verwaltet jemand anderes).

Habt ihr eine Idee, was ich tun muss?
Mitglied: Valexus
LÖSUNG 14.11.2016 um 16:59 Uhr
Moin,

schau dir mal das hier an. Das muss zwingend in deiner Konstellation aktiviert sein:
https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_o ...

Alternativ kannst du auch den DNS Eintrag für deinen DMZ Server für dein LAN Netz so anpassen, dass mit der RFC1918 IP gearbeitet wird.
Das ist dann ein Split-DNS.

VG
Val
Bitte warten ..
Mitglied: 108012
14.11.2016 um 17:28 Uhr
Hallo zusammen,

ich wollte nur noch einmal fragen ob die beiden VLANs einmal das LAN und einmal die DMZ abbilden?
Oder ist das ein LAN mit zwei VLANs und noch einer DMZ zusätzlich? Das geht leider aus Deiner
Beschreibung so nicht ganz hervor.

Ich würde es wie folgt machen wollen:

- eth1 = LAN Karte/Interface 1
WAN Anbindung:
WAN: statische IP aus dem Provider Netzwerk
LAN Anbindung:
Netz: 192.168.1.0/24
LAN IP: 192.168.1.1/24
DNS:192.168.1.1/24

- eth2 = Lan Karte/Interface 2
VLAN 10 = ID Klienten1 - 192.168.2.0/24
VLAN 20 = ID Klienten2 - 192.168.3.0/24

- eth3 = LAN Karte/Interface 3
DMZ Anbindung:
Netz: 172.xx.xx/24
IP: 172.xx.1.1/24
WAN IP Port xyz >>> weiterleiten an >>> 172.xx.1.2/24 (Server) Port xyz

Nun noch die Firewallregeln zwischen dem LAN und der DMZ anpassen und es sollte laufen.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
14.11.2016, aktualisiert um 18:04 Uhr
Vermutlich rennst du in ein Hairpin NAT Problem wenn du den externen FQDN Namen ansprichst vom internen LAN.
Kollege Valexus ist hier auf dem richtigen Weg.
Die pfSense hat einen Schalter um das zu umgehen mit den angesprochenen NAT Reflections unter den Advanced Settings -> Firewall und NAT.
Bitte warten ..
Mitglied: mrserious73
14.11.2016 um 21:23 Uhr
Hallo zusammen und danke für euren schnellen Antworten!
Ich hab auch das Gefühl, dass der Beitrag von Valexus da hilfreich ist.
Werde morgen mal beide Varianten probieren und schauen, ob es dann klappt.
Bitte warten ..
Mitglied: mrserious73
15.11.2016 um 09:06 Uhr
Guten Morgen,

so, letztlich haben eine Mischung aus dem Tipp von Valexus und der Kollege geholfen, der den Server verwaltet.
Und zwar war das lan-vlan auf dem Server konfiguriert. Zwar wurde es von dessen Firewall nicht weiter geleitet etc., aber wenn nun Pakete über ein anderes Interface rein kommen, aber von lan sind, dann schickt der Server die Pakete natürlich auf das für ihn logisch erscheinende lan-Interface zurück. Und das war natürlich das Falsche
Also: lan-vlan auf dem Server gelöscht, DNS-Split eingerichtet, kurze FW-Regel auf pfSense hinzugefügt... tada, funktioniert!

Vielen Dank euch!
Bitte warten ..
Mitglied: aqui
15.11.2016, aktualisiert um 09:20 Uhr
dann schickt der Server die Pakete natürlich auf das für ihn logisch erscheinende lan-Interface zurück. Und das war natürlich das Falsche
Du willst uns jetzt doch wohl aber nicht erzählen das du den Server etwa mit 2 NICs (oder .1q Trunk) in beiden Segmenten (LAN und DMZ) der Firewall hängen hast ???
Das wäre ja fatal und würde das gesamte Konzept der FW und DMZ ja völlig ad absurdum führen ?
Gut, wenns nun final rennt ist ja OK.
Bitte warten ..
Mitglied: mrserious73
15.11.2016, aktualisiert um 10:31 Uhr
Ich weiß nicht genau, was da gemacht wurde, wie gesagt: Den Server verwaltet nen Kollege.
Aber so wie ich das verstanden habe, war der Server testweise mal im vlan-lan mit drin.
Und davon übrig geblieben ist wohl dessen passende Netzwerk-Konfiguration. Aber die Firewall des Servers und auch der Switch haben das wohl nicht mehr weitergeleitet, war quasi ne tote Verbindung.
Der Server steht recht entfernt im Gebäude und ist nur über mehrere Switches erreichbar, ist quasi ein eigenes VLAN mit nur zwei Clients (Server und Firewall).
Bitte warten ..
Mitglied: aqui
15.11.2016 um 13:18 Uhr
Ich weiß nicht genau, was da gemacht wurde, wie gesagt: Den Server verwaltet nen Kollege.
Interessante Arbeitsteilung. Das sowas ohne Kommunikation innerhalb der IT und Kollegen ja nicht geht lernt der Azubi im ersten Monat.
Wenn jeder macht was er will ohne Koordination kommt genau das dabei raus was dieser Thread beschreibt.
Muss man wohl auch nicht mehr weiter kommentieren...
Aber so wie ich das verstanden habe, war der Server testweise mal im vlan-lan mit drin.
Wie vermutet jeder frickelt mal ein bischen rum im freinen Fall... Und dann ne DMZ und Security...no comment.
Klingt alles eher nach Bastelei...aber egal.
Bitte warten ..
Mitglied: mrserious73
15.11.2016, aktualisiert um 16:09 Uhr
Ich wär immer vorsichtig mit solchen Urteilen, wenn ich nicht die genaue Sachlage kenne.

Ich z.B. bin Freelancer und arbeite hier nur für ein paar Tage als Notfall-Ersatz für einen hier fest angestellten Kollegen.
"Kollege" heißt in dem Fall dann auch: Vom selben Fach, nicht von derselben Firma.
Kommunikation mit mir gibt's durchaus, aber natürlich hab ich nicht alles from-scratch mitbekommen.

Verstehe, welcher Eindruck da bei dir entsteht.
Aber vllt. brauchten sie bei der Einrichtung aus irgendeinem Grund ne Verbindung ins LAN, bevor überhaupt irgendwas wirklich in Betrieb genommen wurde oder sie mussten notfallmäßig irgendwann mal "eben schnell" was ans Laufen bringen, wo Produktion wichtiger war als Sicherheit, oder....
Ich kenne die genaue Sachlage auch nicht, aber sie ist auch recht egal.
Das Konzept ansich mit nem eigenen VLAN für einen Server und das an der pfSense als DMZ einzurichten erscheint mir grundsätzlich erstmal sinnvoll und da sehe ich in meinem Alltag weit weit weit weit schlimmere Sachen.

Jeder darf Kritik äußern und du bist vmtl. ebenfalls vom Fach und hast dadurch in gewisser Weise ein Recht dazu.
Ich erlebe nur häufig, dass in der IT jeder ne Meinung hat und teilweise ist das anstrengend.
Bitte warten ..
Mitglied: aqui
15.11.2016, aktualisiert um 17:58 Uhr
Ein "Recht" in dem Sinne hat keiner dazu aber die Schilderung oben lässt so einen Schluss auf die Situation vor Ort sehr wahrscheinlich erscheinen.
Wer fachunkundig ist würde sich so oder so zurückhalten.
Ganz sicher ist das Konzept mit dem VLAN so absolut richtig und korrekt umgesetzt. Wenn dann aber ein Serverbastler der sich nicht mit dem Netzwerk Admin abspricht oder koordiniert eine Backdoor Bridge oder Router parallel mit seinen Server NICs bildet und somit ob bewusst oder unbewusst das Kanstrukt bypassed, dann hat das natürlich schon Auswirkungen auf die Sinnhaftigkeit des ganzen. Aber wie du schon sagst...Details kennen wir nicht und man kann sich das aus den Schilderungen nur denken.
Aber egal...muss man ja nicht auch weiter im Detail beleuchten. Wenn es nun alles rennt, egal wie auch immer, spricht das ja für sich.
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Router & Routing
Asynchrones Routing
gelöst Frage von ottokarlRouter & Routing2 Kommentare

Hallo, ich habe mittels der Anleitung von Thomas Krenn zwei default Gateways eingerichtet: Es funktioniert auch wunderbar. In der ...

Router & Routing
OpenVPN Routing
gelöst Frage von sebastian2608Router & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OPNSense routing
gelöst Frage von FinnisRouter & Routing12 Kommentare

Hallo liebe Mitglieder, Ich habe ein Problem mit meiner OPNSense Installation: Alle meine Virtuelle Maschinen können mit NAT 1:1 ...

Neue Wissensbeiträge
Humor (lol)
Preisvertipper
Information von Dilbert-MD vor 2 TagenHumor (lol)7 Kommentare

Moin! weil heute Freitag ist, zeige ich Euch den Preisvertipper der Woche: vergesst den Acer Predator 21x, der ist ...

Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 3 TagenWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 4 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 6 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Heiß diskutierte Inhalte
Cloud-Dienste
MS Sharepoint generelle Frage zur Einrichtung
Frage von ralf86Cloud-Dienste15 Kommentare

Hallo, ich will den Sharepoint als FileServer nutzen. Hier sollen mehrere Freigabeordner mit unterschiedlichen Berechtigungen erstellt werden z.B. Geschäftsführung ...

Router & Routing
FritzBox und SynologyNAS VPN
Frage von ndeedyRouter & Routing10 Kommentare

Moin moin. Irgendwie habe ich entweder ein bescheuertes Setup, oder mir bereits komplett die Birne mit Versuchen durchgebraten. Bin ...

Vmware
VMware Update 5.1 zu 6.7U4
gelöst Frage von patrickebertVmware8 Kommentare

Hallo alle zusammen, ich den nächsten Monaten steht für mich die Umstellung zwei neuer physikalischer Server an und ich ...

Exchange Server
Backup MX für Exchange
Frage von Turbo-MasterExchange Server6 Kommentare

Hallo, wir betreiben unseren Exchange-Server an einem DSL-Anschluss ohne feste IP. Dessen URL ist bei unserer Domain als MX ...