Routing Probleme mit Firewall
Hallo Zusammen!
Ich habe folgende Problematik, wo ich ein wenig Input benötige:
Gem. angehängter Skizze habe ich folgenden Stand:
Das VLAN 10 ist als "Management VLAN" eingerichtet. Hierdrüber sind alle Switche erreichbar.
In das VLAN 10 kommen nur Rechner aus VLAN 5 (per ACL auf dem Layer 3 Switch)
Der PC kann den Switch [10.0.10.2] pingen, sowie die Firewall [10.0.2.2] und kommt ins Internet.
Der Switch [10.0.10.2] kann die Firewall [10.0.10.3] pingen.
Ebenfalls kann die Firewall [10.0.10.3] auf den Switch [10.0.10.2] pingen.
Bei der Firewall handelt es sich um eine Fortigate D200.
Hier sind folgende Routen eingetragen:
IP 0.0.0.0 0.0.0.0
Gate W.X.Y.Z
Device WAN1
IP 10.0.5.0 255.255.255.0
Gate 10.0.2.1
Device Port1
IP 10.0.10.0 255.255.255.0
Gate 10.0.10.1
Device mgmt
Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.
Hat hier jemand eine Idee, wo ich ansetzen kann?
Ich wünsche ein schönes Wochenende.
Gruß
M
Ich habe folgende Problematik, wo ich ein wenig Input benötige:
Gem. angehängter Skizze habe ich folgenden Stand:
Das VLAN 10 ist als "Management VLAN" eingerichtet. Hierdrüber sind alle Switche erreichbar.
In das VLAN 10 kommen nur Rechner aus VLAN 5 (per ACL auf dem Layer 3 Switch)
Der PC kann den Switch [10.0.10.2] pingen, sowie die Firewall [10.0.2.2] und kommt ins Internet.
Der Switch [10.0.10.2] kann die Firewall [10.0.10.3] pingen.
Ebenfalls kann die Firewall [10.0.10.3] auf den Switch [10.0.10.2] pingen.
Bei der Firewall handelt es sich um eine Fortigate D200.
Hier sind folgende Routen eingetragen:
IP 0.0.0.0 0.0.0.0
Gate W.X.Y.Z
Device WAN1
IP 10.0.5.0 255.255.255.0
Gate 10.0.2.1
Device Port1
IP 10.0.10.0 255.255.255.0
Gate 10.0.10.1
Device mgmt
Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.
Hat hier jemand eine Idee, wo ich ansetzen kann?
Ich wünsche ein schönes Wochenende.
Gruß
M
Please also mark the comments that contributed to the solution of the article
Content-ID: 365018
Url: https://administrator.de/contentid/365018
Printed on: October 8, 2024 at 00:10 o'clock
9 Comments
Latest comment
Hi,
Der Traffic vom Admin-PC auf das Management-Interface der Firewall errreicht diese direkt über das VLAN10-Interface. Die Rückroute zur Source-IP des Admin-PCs führt jedoch über das Interface im VLAN2.
Einem Router ist das egal - einer Firewall hingegen nicht...
Gruß
sk
Zitat von @mb1811:
Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.
Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.
Der Traffic vom Admin-PC auf das Management-Interface der Firewall errreicht diese direkt über das VLAN10-Interface. Die Rückroute zur Source-IP des Admin-PCs führt jedoch über das Interface im VLAN2.
Einem Router ist das egal - einer Firewall hingegen nicht...
Gruß
sk
Zitat von @mb1811:
Die Vermutung hatte ich auch schon, obwohl ich in der Firewall gerennte, physikalische Ports für die Netze angegeben habe.
Die Vermutung hatte ich auch schon, obwohl ich in der Firewall gerennte, physikalische Ports für die Netze angegeben habe.
Ob physisch oder virtuell ist in diesem Fall Schnuppe.
Du könntest zunächst am Symptom herumdoktern:
Der Königsweg wäre dabei, der Firewall per Policyrouting beizubringen, dass sie dem Admin-PC über das VLAN10 antworten soll, wenn sie auf diesem Interface angesprochen wird. Dabei musst Du aber darauf achten, dass (Antwort-)Traffic aus dem WAN zum Admin-PC weiterhin über VLAN2 geroutet werden muss.
Alternativ könnte man u.U auf dem Layer3-Switch ein Source-NAT auf eine VLAN10-IP machen, wenn aus dem Admin-VLAN ins Management-VLAN zugegriffen wird. Das wäre aber mit Nachteilen bzgl. Dokumentation und Zugriffsregelung verbunden.
Besser wäre es, sich nochmal über das Netzdesign Gedanken zu machen und die Ursachen für das asymmetrische Routing zu bekämpfen:
Warum muss die Firewall ein Interface im VLAN2 haben? Warum kann das VLAN10 nicht auch als Transfer-VLAN zwischen Firewall und L3-Switch genutzt werden?
Gruß
sk
Das setze ich voraus.
Zitat von @mb1811:
Danke SK Auch das macht natürlich Sinn - manchmal sieht man den Wald vor lauter Bäumen nicht.
Stichwort FortiGate ist: Trusted Hosts und wird beim Admin User konfiguriert!
Danke SK Auch das macht natürlich Sinn - manchmal sieht man den Wald vor lauter Bäumen nicht.
Stichwort FortiGate ist: Trusted Hosts und wird beim Admin User konfiguriert!
Mal abgesehen davon, dass eine Fortigate auch ein Firewallregelwerk hat...
Dir auch!
Gruß
sk