mb1811
Goto Top

Routing Probleme mit Firewall

Hallo Zusammen!

Ich habe folgende Problematik, wo ich ein wenig Input benötige:

Gem. angehängter Skizze habe ich folgenden Stand:
skizze

Das VLAN 10 ist als "Management VLAN" eingerichtet. Hierdrüber sind alle Switche erreichbar.
In das VLAN 10 kommen nur Rechner aus VLAN 5 (per ACL auf dem Layer 3 Switch)

Der PC kann den Switch [10.0.10.2] pingen, sowie die Firewall [10.0.2.2] und kommt ins Internet.
Der Switch [10.0.10.2] kann die Firewall [10.0.10.3] pingen.
Ebenfalls kann die Firewall [10.0.10.3] auf den Switch [10.0.10.2] pingen.


Bei der Firewall handelt es sich um eine Fortigate D200.
Hier sind folgende Routen eingetragen:

IP 0.0.0.0 0.0.0.0
Gate W.X.Y.Z
Device WAN1

IP 10.0.5.0 255.255.255.0
Gate 10.0.2.1
Device Port1

IP 10.0.10.0 255.255.255.0
Gate 10.0.10.1
Device mgmt

Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.

Hat hier jemand eine Idee, wo ich ansetzen kann?

Ich wünsche ein schönes Wochenende.

Gruß
M

Content-Key: 365018

Url: https://administrator.de/contentid/365018

Printed on: April 13, 2024 at 13:04 o'clock

Member: sk
Solution sk Feb 16, 2018 updated at 11:18:39 (UTC)
Goto Top
Hi,


Zitat von @mb1811:
Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.

Der Traffic vom Admin-PC auf das Management-Interface der Firewall errreicht diese direkt über das VLAN10-Interface. Die Rückroute zur Source-IP des Admin-PCs führt jedoch über das Interface im VLAN2.
Einem Router ist das egal - einer Firewall hingegen nicht... face-wink

Gruß
sk
Member: mb1811
mb1811 Feb 16, 2018 at 11:22:54 (UTC)
Goto Top
Hallo sk!

Die Vermutung hatte ich auch schon, obwohl ich in der Firewall gerennte, physikalische Ports für die Netze angegeben habe.

Lässt sich dagegen was tun?


Gruß M
Member: affabanana
affabanana Feb 16, 2018 updated at 11:26:02 (UTC)
Goto Top
Moin zusammen

Auf der Fortigate muss man auf dem Interface den PING erlauben.

Sollte so aussehen für Version 5.2.13


gruass affabanana

EDITH: Version anpassen
fortigate-interface-ping
Member: sk
Solution sk Feb 16, 2018 updated at 11:51:21 (UTC)
Goto Top
Zitat von @mb1811:
Die Vermutung hatte ich auch schon, obwohl ich in der Firewall gerennte, physikalische Ports für die Netze angegeben habe.

Ob physisch oder virtuell ist in diesem Fall Schnuppe.


Zitat von @mb1811:
Lässt sich dagegen was tun?

Du könntest zunächst am Symptom herumdoktern:
Der Königsweg wäre dabei, der Firewall per Policyrouting beizubringen, dass sie dem Admin-PC über das VLAN10 antworten soll, wenn sie auf diesem Interface angesprochen wird. Dabei musst Du aber darauf achten, dass (Antwort-)Traffic aus dem WAN zum Admin-PC weiterhin über VLAN2 geroutet werden muss.
Alternativ könnte man u.U auf dem Layer3-Switch ein Source-NAT auf eine VLAN10-IP machen, wenn aus dem Admin-VLAN ins Management-VLAN zugegriffen wird. Das wäre aber mit Nachteilen bzgl. Dokumentation und Zugriffsregelung verbunden.

Besser wäre es, sich nochmal über das Netzdesign Gedanken zu machen und die Ursachen für das asymmetrische Routing zu bekämpfen:
Warum muss die Firewall ein Interface im VLAN2 haben? Warum kann das VLAN10 nicht auch als Transfer-VLAN zwischen Firewall und L3-Switch genutzt werden?


Gruß
sk
Member: sk
sk Feb 16, 2018 at 11:45:14 (UTC)
Goto Top
Zitat von @affabanana:
Auf der Fortigate muss man auf dem Interface den PING erlauben.

Das setze ich voraus. face-wink
Member: mb1811
mb1811 Feb 16, 2018 updated at 12:26:50 (UTC)
Goto Top
Hallo!

Thema kapiert und verstanden. Ich habe den Link zum Management Netzwerk entfernt und entsprechend einen Eintrag in der ACL gesetzt:

10 permit ip 10.0.5.0/24 10.0.2.2/29
20 deny ip any 10.0.2.2/29
100 permit ip any any
Member: sk
sk Feb 16, 2018 at 12:29:51 (UTC)
Goto Top
Die Zugriffe auf die Firewall würde ich primär auf dieser selbst regeln.

Gruß
sk
Member: mb1811
mb1811 Feb 16, 2018 at 13:12:52 (UTC)
Goto Top
Danke SK

Auch das macht natürlich Sinn - manchmal sieht man den Wald vor lauter Bäumen nicht.
Stichwort FortiGate ist: Trusted Hosts und wird beim Admin User konfiguriert!

Schönes Wochenende!
Member: sk
sk Feb 16, 2018 updated at 13:20:03 (UTC)
Goto Top
Zitat von @mb1811:
Danke SK Auch das macht natürlich Sinn - manchmal sieht man den Wald vor lauter Bäumen nicht.
Stichwort FortiGate ist: Trusted Hosts und wird beim Admin User konfiguriert!

Mal abgesehen davon, dass eine Fortigate auch ein Firewallregelwerk hat... face-wink


Zitat von @mb1811:
Schönes Wochenende!

Dir auch!


Gruß
sk