mb1811
16.02.2018
view2302
view9
0
Goto Top

Routing Probleme mit Firewall

gelöstFrageNetzwerkeRouter, Routing
Hallo Zusammen!

Ich habe folgende Problematik, wo ich ein wenig Input benötige:

Gem. angehängter Skizze habe ich folgenden Stand:
skizze

Das VLAN 10 ist als "Management VLAN" eingerichtet. Hierdrüber sind alle Switche erreichbar.
In das VLAN 10 kommen nur Rechner aus VLAN 5 (per ACL auf dem Layer 3 Switch)

Der PC kann den Switch [10.0.10.2] pingen, sowie die Firewall [10.0.2.2] und kommt ins Internet.
Der Switch [10.0.10.2] kann die Firewall [10.0.10.3] pingen.
Ebenfalls kann die Firewall [10.0.10.3] auf den Switch [10.0.10.2] pingen.


Bei der Firewall handelt es sich um eine Fortigate D200.
Hier sind folgende Routen eingetragen:

IP 0.0.0.0 0.0.0.0
Gate W.X.Y.Z
Device WAN1

IP 10.0.5.0 255.255.255.0
Gate 10.0.2.1
Device Port1

IP 10.0.10.0 255.255.255.0
Gate 10.0.10.1
Device mgmt

Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.

Hat hier jemand eine Idee, wo ich ansetzen kann?

Ich wünsche ein schönes Wochenende.

Gruß
M
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 365018

Url: https://administrator.de/contentid/365018

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
sk
Lösung sk 16.02.2018 aktualisiert um 12:18:39 Uhr
Goto Top
Hi,


Zitat von @mb1811:
Mein Problem ist, dass ich vom PC [10.0.5.2] nicht die Firewall [10.0.10.3] pingen kann.

Der Traffic vom Admin-PC auf das Management-Interface der Firewall errreicht diese direkt über das VLAN10-Interface. Die Rückroute zur Source-IP des Admin-PCs führt jedoch über das Interface im VLAN2.
Einem Router ist das egal - einer Firewall hingegen nicht... face-wink

Gruß
sk
mb1811
mb1811 16.02.2018 um 12:22:54 Uhr
Goto Top
Hallo sk!

Die Vermutung hatte ich auch schon, obwohl ich in der Firewall gerennte, physikalische Ports für die Netze angegeben habe.

Lässt sich dagegen was tun?


Gruß M
affabanana
affabanana 16.02.2018 aktualisiert um 12:26:02 Uhr
Goto Top
Moin zusammen

Auf der Fortigate muss man auf dem Interface den PING erlauben.

Sollte so aussehen für Version 5.2.13


gruass affabanana

EDITH: Version anpassen
fortigate-interface-ping
sk
Lösung sk 16.02.2018 aktualisiert um 12:51:21 Uhr
Goto Top
Zitat von @mb1811:
Die Vermutung hatte ich auch schon, obwohl ich in der Firewall gerennte, physikalische Ports für die Netze angegeben habe.

Ob physisch oder virtuell ist in diesem Fall Schnuppe.


Zitat von @mb1811:
Lässt sich dagegen was tun?

Du könntest zunächst am Symptom herumdoktern:
Der Königsweg wäre dabei, der Firewall per Policyrouting beizubringen, dass sie dem Admin-PC über das VLAN10 antworten soll, wenn sie auf diesem Interface angesprochen wird. Dabei musst Du aber darauf achten, dass (Antwort-)Traffic aus dem WAN zum Admin-PC weiterhin über VLAN2 geroutet werden muss.
Alternativ könnte man u.U auf dem Layer3-Switch ein Source-NAT auf eine VLAN10-IP machen, wenn aus dem Admin-VLAN ins Management-VLAN zugegriffen wird. Das wäre aber mit Nachteilen bzgl. Dokumentation und Zugriffsregelung verbunden.

Besser wäre es, sich nochmal über das Netzdesign Gedanken zu machen und die Ursachen für das asymmetrische Routing zu bekämpfen:
Warum muss die Firewall ein Interface im VLAN2 haben? Warum kann das VLAN10 nicht auch als Transfer-VLAN zwischen Firewall und L3-Switch genutzt werden?


Gruß
sk
sk
sk 16.02.2018 um 12:45:14 Uhr
Goto Top
Zitat von @affabanana:
Auf der Fortigate muss man auf dem Interface den PING erlauben.

Das setze ich voraus. face-wink
mb1811
mb1811 16.02.2018 aktualisiert um 13:26:50 Uhr
Goto Top
Hallo!

Thema kapiert und verstanden. Ich habe den Link zum Management Netzwerk entfernt und entsprechend einen Eintrag in der ACL gesetzt:

10 permit ip 10.0.5.0/24 10.0.2.2/29
20 deny ip any 10.0.2.2/29
100 permit ip any any
sk
sk 16.02.2018 um 13:29:51 Uhr
Goto Top
Die Zugriffe auf die Firewall würde ich primär auf dieser selbst regeln.

Gruß
sk
mb1811
mb1811 16.02.2018 um 14:12:52 Uhr
Goto Top
Danke SK

Auch das macht natürlich Sinn - manchmal sieht man den Wald vor lauter Bäumen nicht.
Stichwort FortiGate ist: Trusted Hosts und wird beim Admin User konfiguriert!

Schönes Wochenende!
sk
sk 16.02.2018 aktualisiert um 14:20:03 Uhr
Goto Top
Zitat von @mb1811:
Danke SK Auch das macht natürlich Sinn - manchmal sieht man den Wald vor lauter Bäumen nicht.
Stichwort FortiGate ist: Trusted Hosts und wird beim Admin User konfiguriert!

Mal abgesehen davon, dass eine Fortigate auch ein Firewallregelwerk hat... face-wink


Zitat von @mb1811:
Schönes Wochenende!

Dir auch!


Gruß
sk
gelöstFrageNetzwerkeRouter, Routing
Mehr von mb1811mb1811Win2019 - MPIO Probleme mit Dell Compellentmb1811mb1811MSTP Port Prioritätmb1811 - 1 Kommentarmb18112019 Datacenter - Welches OS für VM und welche Lizenzmb1811 - 6 Kommentaremb1811Fragen zu MS S2D für Hyper-Vmb1811 - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare