Routing über 2 Firewalls nur teilweise möglich
Hi,
ich komme mir mittlerweile wie ein Anfänger vor, finde aber im Moment keinen Ansatz mehr.
Folgender Aufbau:
Ich möchte zwei Netze über zwei Firewalls zusammenbringen.
Kein VPN, Kein VLAN, kein SNAT, kein DNAT an beiden Firewalls
Firewall 1: Sophos UTM über Jahre unkontrolliert gewachsen
Firewall 2: OPNSense neu, Transfer Netz an WAN Interface
Verbindungsaufbau immer von 172.20.10.5 zu 192.168.20.2. Routen in die nicht direkt anliegen Netze sind gesetzt. Firewall Regeln neu von mir erstellt.
Ping von 172.20.10.5 zu 192.168.1.2 OK
Ping von Firewall 1 zu 192.168.20.2 OK
Ping von 172.20.10.5 zu 192.168.20.2 NEIN
Auf beiden Firewalls steht im Log das die Verbindung von 172.20.10.5 zu 192.168.20.2 funktioniert. Jedoch kommt keine Antwort zurück. An der OPNSense habe ich am WAN alles deaktiviert was mit privaten Netzen normalerweise nicht im WAN erlaubt ist.
Firewall 1 ist schon vor meiner Zeit viel "verbessert" worden und mit unzähligen Regeln ausgestattet. Das Logging ist bei Firewall 1 bei allen Regeln aktiv.
Mir fehlt jetzt einfach noch ein weiterer Ansatz wo ich schauen kann...
ich komme mir mittlerweile wie ein Anfänger vor, finde aber im Moment keinen Ansatz mehr.
Folgender Aufbau:
Ich möchte zwei Netze über zwei Firewalls zusammenbringen.
Kein VPN, Kein VLAN, kein SNAT, kein DNAT an beiden Firewalls
Firewall 1: Sophos UTM über Jahre unkontrolliert gewachsen
Firewall 2: OPNSense neu, Transfer Netz an WAN Interface
Verbindungsaufbau immer von 172.20.10.5 zu 192.168.20.2. Routen in die nicht direkt anliegen Netze sind gesetzt. Firewall Regeln neu von mir erstellt.
Ping von 172.20.10.5 zu 192.168.1.2 OK
Ping von Firewall 1 zu 192.168.20.2 OK
Ping von 172.20.10.5 zu 192.168.20.2 NEIN
Auf beiden Firewalls steht im Log das die Verbindung von 172.20.10.5 zu 192.168.20.2 funktioniert. Jedoch kommt keine Antwort zurück. An der OPNSense habe ich am WAN alles deaktiviert was mit privaten Netzen normalerweise nicht im WAN erlaubt ist.
Firewall 1 ist schon vor meiner Zeit viel "verbessert" worden und mit unzähligen Regeln ausgestattet. Das Logging ist bei Firewall 1 bei allen Regeln aktiv.
Mir fehlt jetzt einfach noch ein weiterer Ansatz wo ich schauen kann...
Please also mark the comments that contributed to the solution of the article
Content-ID: 12744803240
Url: https://administrator.de/contentid/12744803240
Printed on: October 6, 2024 at 16:10 o'clock
7 Comments
Latest comment
Sorry, hatte ich gerade auf dem SchmartPhön übersehen.
Die Routen auf FW2 sind wohl unnötig wenn diese als Upstream GW FW1 hat. Ich vermute das gerade allerdings.
Ansonsten würde ich einfach mal in die Logs schauen. Was wird denn geblockt?
Beide Firewalls haben ja ein Log wo du nach Source Adressen filtern kannst. Da sollte dann klar werden wer der Übeltäter ist.
Allerdings vermute ich, das du auf Seiten der OSense Regeln vergessen hast. Hier schreibst du leider nicht auf welchem Interface die angelegt wurden.
Die Routen auf FW2 sind wohl unnötig wenn diese als Upstream GW FW1 hat. Ich vermute das gerade allerdings.
Ansonsten würde ich einfach mal in die Logs schauen. Was wird denn geblockt?
Beide Firewalls haben ja ein Log wo du nach Source Adressen filtern kannst. Da sollte dann klar werden wer der Übeltäter ist.
Allerdings vermute ich, das du auf Seiten der OSense Regeln vergessen hast. Hier schreibst du leider nicht auf welchem Interface die angelegt wurden.