failsafe
Goto Top

Routing über 2 Firewalls nur teilweise möglich

Hi,

ich komme mir mittlerweile wie ein Anfänger vor, finde aber im Moment keinen Ansatz mehr.
Folgender Aufbau:

routing.drawio

Ich möchte zwei Netze über zwei Firewalls zusammenbringen.
Kein VPN, Kein VLAN, kein SNAT, kein DNAT an beiden Firewalls

Firewall 1: Sophos UTM über Jahre unkontrolliert gewachsen
Firewall 2: OPNSense neu, Transfer Netz an WAN Interface

Verbindungsaufbau immer von 172.20.10.5 zu 192.168.20.2. Routen in die nicht direkt anliegen Netze sind gesetzt. Firewall Regeln neu von mir erstellt.

Ping von 172.20.10.5 zu 192.168.1.2 OK
Ping von Firewall 1 zu 192.168.20.2 OK
Ping von 172.20.10.5 zu 192.168.20.2 NEIN

Auf beiden Firewalls steht im Log das die Verbindung von 172.20.10.5 zu 192.168.20.2 funktioniert. Jedoch kommt keine Antwort zurück. An der OPNSense habe ich am WAN alles deaktiviert was mit privaten Netzen normalerweise nicht im WAN erlaubt ist.
Firewall 1 ist schon vor meiner Zeit viel "verbessert" worden und mit unzähligen Regeln ausgestattet. Das Logging ist bei Firewall 1 bei allen Regeln aktiv.

Mir fehlt jetzt einfach noch ein weiterer Ansatz wo ich schauen kann...

Content-ID: 12744803240

Url: https://administrator.de/contentid/12744803240

Printed on: October 6, 2024 at 16:10 o'clock

Spirit-of-Eli
Spirit-of-Eli Oct 24, 2023 at 18:57:29 (UTC)
Goto Top
Moin,

und was ist mit dem Routing auf FW1?
Ohne die Routen für Netze hinter FW2 nutzen dir die tollsten Regeln nichts.

Gruß
Spirit
failsafe
failsafe Oct 24, 2023 at 19:00:56 (UTC)
Goto Top
Hi,

wie oben im Bild:

Firewall1:
Routen:
192.168.20.2/30 bei Gateway 192.168.1.2 (von hand gesetzt)
172.20.10.0/24 bei Interface 2 (automatisch durch Interface)

Hab ich eine Vergessen?
Spirit-of-Eli
Spirit-of-Eli Oct 24, 2023 at 19:06:38 (UTC)
Goto Top
Sorry, hatte ich gerade auf dem SchmartPhön übersehen.
Die Routen auf FW2 sind wohl unnötig wenn diese als Upstream GW FW1 hat. Ich vermute das gerade allerdings.

Ansonsten würde ich einfach mal in die Logs schauen. Was wird denn geblockt?
Beide Firewalls haben ja ein Log wo du nach Source Adressen filtern kannst. Da sollte dann klar werden wer der Übeltäter ist.

Allerdings vermute ich, das du auf Seiten der OSense Regeln vergessen hast. Hier schreibst du leider nicht auf welchem Interface die angelegt wurden.
failsafe
failsafe Oct 25, 2023 updated at 07:42:09 (UTC)
Goto Top
Vermutung ist richtig. Firewall2 ist isoliert und alles was nicht Intern ist geht an Firewall1

Regel an Firewall 2:
WAN Interface (192.168.1.2)
172.20.10.5 allow 192.168.20.2

Die Logs sagen auf beiden Firewalls, wenn ich source 172.20.10.5 angebe alles gut. Der Hinweg scheint zu gehen.

Wenn ich beide Firewalls in das Transfernetz NATen lasse steht die Kommunikation. Mache ich das NAT aus, nichts.
failsafe
Solution failsafe Oct 25, 2023 at 07:50:34 (UTC)
Goto Top
Habe es glaube ich gefunden...
Hab mir die Zielmaschine nochmals angeschaut. Auf der läuft Docker welcher für sich den IP Bereich 172.20.0.0/16 reserviert hat face-sad.

Deswegen habe ich auch immer so komische Routings von der Maschine bekommen....

man man man.
aqui
aqui Oct 25, 2023 at 08:10:28 (UTC)
Goto Top
failsafe
failsafe Oct 25, 2023 at 08:32:40 (UTC)
Goto Top

In dem man erst seine Theorie überprüft und dann den Knopf drückt face-smile