mabue88
Goto Top

PfSense: Zugriff auf Server von anderem VLAN

Hi,

habe mal wieder ein Problem an dem ich hänge...

pfSense mit mehreren VLANs.
In einem VLAN (ID 1) läuft ein Server.
Auf einem Laptop in einem anderen VLAN (ID 2) ist eine Client-Software installiert, welche auf einen Dienst auf dem Server zugreifen soll.

pfSense-IP: 192.168.1.254
Server-IP: 192.168.1.1
Laptop-IP: 192.168.2.1

Für den Anfang habe ich folgende Firewall-Rule erstellt im Reiter VLAN1:
Action: Pass
Interface: VLAN2
Protocol: any
Source: Single host or alias, 192.168.2.1
Destination: Single host or alias, 192.168.1.1

Ich bin davon ausgegangen, dass ich den Server dann zumindest schon mal anpingen kann, allerdings funktioniert das noch nicht (Zeitüberschreitung).

Vom Laptop aus kann ich pfSense (192.168.1.254) auch nicht anpingen.

Hat jemand eine Idee woran das liegen könnte?

Danke
mabue88

Content-ID: 288705

Url: https://administrator.de/contentid/288705

Printed on: December 14, 2024 at 00:12 o'clock

killtec
killtec Nov 18, 2015 at 15:12:39 (UTC)
Goto Top
Hi,
du müsstest in der Fw auch die andere Richtung frei geben, also von 192.168.1.1 auf 192.168.2.1
dann sollte es klappen.

Gruß
mabue88
mabue88 Nov 18, 2015 updated at 16:21:10 (UTC)
Goto Top
Hi,

danke für den Tipp! Das war ein Teil in Richtung der Lösung.

Ich habe noch festgestellt, dass ich den Server nicht anpingen konnte, andere Geräte aber schon.
Einen Blick in die Firewall-Regeln zeigte auch warum.
In der eingehenden Regel "Datei- und Druckerfreigabe (Echoanforderunge ICMPv4 eingehend)" musste ich in den Einstellungen im Reiter "Bereich" die Remote-IP-Adresse auf "Beliebige IP-Adresse" abändern.

Schlussendlich kann ich den Server schließlich anpingen.

Allerdings kann die Clientsoftware noch keine Verbindung zum Server aufbauen.
Viele Details zu der Software habe ich nicht. Ich weiss nur, dass auf dem Server (Windows 7 Prof) ein Benutzeraccount existiert, über dessen Benutzername und Passwort sich die Clientsoftware auf dem Server anmeldet.

Der Benutzeraccount ist in "Computerverwaltung (lokal)/System/Lokale Benutzer und Gruppen/Benutzer" aufgeführt.

Hier der Fehlereintrag aus der Windows Ereignisanzeige:
Error "Status code: 0x800706ba. Msg: Der RPC-Server ist nicht verfügbar. " (0x800706ba) occurred when trying to open interface on component AppDB on server 192.168.1.1 from MyProgram on client Laptop (MyProgram@LAPTOP, 1.1)  


Danke
aqui
aqui Nov 18, 2015 at 18:10:22 (UTC)
Goto Top
Ich bin davon ausgegangen, dass ich den Server dann zumindest schon mal anpingen kann,
Mmmhhh etwas naiv, denn das kann nur funktionieren wenn 3 Dinge erfüllt sind:
  • Deine VLAN 2 Regel mus VOR einer etwaigen DENY Regel angeordent sein die ggf. den Zugriff auf VLAN 1 verbietet. Bei den regeln gilt immer First match wins was heist gibt es einen Match werden alle nachfolgenden Regeln NICHT mehr abgearbeitet. Ein Umstand der bei der Konfiguration der Regeln sehr gerne vergessen wird !
  • Auch am Server Interface (VLAN 1) darf entweder KEINE Accesslliste sein oder eine Freigabe das die Server IP als Source die Destination Clinet IP erreichen darf. Der Rückweg muss ja auch bedacht werden !
  • Am Server MUSS die lokale Firewall angepasst werden. Im Default blockt die alles was NICHT aus dem lokalen Netzwerk IP Segment kommt, folglich auch deine Client Pakete.
Hast du das bedacht ?
Ich habe noch festgestellt, dass ich den Server nicht anpingen konnte, andere Geräte aber schon.
Auch dafür wieder 2 Gründe:
  • Gateway IP des Server stimmt nicht (muss pfSense IP im Segment sein) oder ist falsch oder gar nicht konfiguriert !
  • Am Server MUSS die lokale Firewall angepasst werden. Im Default blockt die alles was NICHT aus dem lokalen Netzwerk IP Segment kommt, folglich auch deine Client Pakete.

Letzteres gilt insbesondere für das ICMP Protokoll (Ping) was in katuellen Version komplett deaktiviert ist. Wie man es wieder einfach aktiviert erklaärt dir diese Seite:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Was die Probleme und Unwissenheit der Client SW anbetrifft kannst du ja zum Querchecken auf beiden Interfaces mal eine Scheunentorregel als "pass any any" eingeben also alles erlauben. Dan arbeitet die FW als simper Router ohne jegliche Sicherheit.
Wenns da geht und mit den Regeln nicht, dann weisst du das du noch irgendwas falsch machst im Regelwerk der Firewall.