7
Routing über 2 Firewalls nur teilweise möglich
Hi,
ich komme mir mittlerweile wie ein Anfänger vor, finde aber im Moment keinen Ansatz mehr.
Folgender Aufbau:
Ich möchte zwei Netze über zwei Firewalls zusammenbringen.
Kein VPN, Kein VLAN, kein SNAT, kein DNAT an beiden Firewalls
Firewall 1: Sophos UTM über Jahre unkontrolliert gewachsen
Firewall 2: OPNSense neu, Transfer Netz an WAN Interface
Verbindungsaufbau immer von 172.20.10.5 zu 192.168.20.2. Routen in die nicht direkt anliegen Netze sind gesetzt. Firewall Regeln neu von mir erstellt.
Ping von 172.20.10.5 zu 192.168.1.2 OK
Ping von Firewall 1 zu 192.168.20.2 OK
Ping von 172.20.10.5 zu 192.168.20.2 NEIN
Auf beiden Firewalls steht im Log das die Verbindung von 172.20.10.5 zu 192.168.20.2 funktioniert. Jedoch kommt keine Antwort zurück. An der OPNSense habe ich am WAN alles deaktiviert was mit privaten Netzen normalerweise nicht im WAN erlaubt ist.
Firewall 1 ist schon vor meiner Zeit viel "verbessert" worden und mit unzähligen Regeln ausgestattet. Das Logging ist bei Firewall 1 bei allen Regeln aktiv.
Mir fehlt jetzt einfach noch ein weiterer Ansatz wo ich schauen kann...
ich komme mir mittlerweile wie ein Anfänger vor, finde aber im Moment keinen Ansatz mehr.
Folgender Aufbau:
Ich möchte zwei Netze über zwei Firewalls zusammenbringen.
Kein VPN, Kein VLAN, kein SNAT, kein DNAT an beiden Firewalls
Firewall 1: Sophos UTM über Jahre unkontrolliert gewachsen
Firewall 2: OPNSense neu, Transfer Netz an WAN Interface
Verbindungsaufbau immer von 172.20.10.5 zu 192.168.20.2. Routen in die nicht direkt anliegen Netze sind gesetzt. Firewall Regeln neu von mir erstellt.
Ping von 172.20.10.5 zu 192.168.1.2 OK
Ping von Firewall 1 zu 192.168.20.2 OK
Ping von 172.20.10.5 zu 192.168.20.2 NEIN
Auf beiden Firewalls steht im Log das die Verbindung von 172.20.10.5 zu 192.168.20.2 funktioniert. Jedoch kommt keine Antwort zurück. An der OPNSense habe ich am WAN alles deaktiviert was mit privaten Netzen normalerweise nicht im WAN erlaubt ist.
Firewall 1 ist schon vor meiner Zeit viel "verbessert" worden und mit unzähligen Regeln ausgestattet. Das Logging ist bei Firewall 1 bei allen Regeln aktiv.
Mir fehlt jetzt einfach noch ein weiterer Ansatz wo ich schauen kann...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 12744803240
Url: https://administrator.de/contentid/12744803240
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
und was ist mit dem Routing auf FW1?
Ohne die Routen für Netze hinter FW2 nutzen dir die tollsten Regeln nichts.
Gruß
Spirit
und was ist mit dem Routing auf FW1?
Ohne die Routen für Netze hinter FW2 nutzen dir die tollsten Regeln nichts.
Gruß
Spirit
Hi,
wie oben im Bild:
Firewall1:
Routen:
192.168.20.2/30 bei Gateway 192.168.1.2 (von hand gesetzt)
172.20.10.0/24 bei Interface 2 (automatisch durch Interface)
Hab ich eine Vergessen?
wie oben im Bild:
Firewall1:
Routen:
192.168.20.2/30 bei Gateway 192.168.1.2 (von hand gesetzt)
172.20.10.0/24 bei Interface 2 (automatisch durch Interface)
Hab ich eine Vergessen?
Sorry, hatte ich gerade auf dem SchmartPhön übersehen.
Die Routen auf FW2 sind wohl unnötig wenn diese als Upstream GW FW1 hat. Ich vermute das gerade allerdings.
Ansonsten würde ich einfach mal in die Logs schauen. Was wird denn geblockt?
Beide Firewalls haben ja ein Log wo du nach Source Adressen filtern kannst. Da sollte dann klar werden wer der Übeltäter ist.
Allerdings vermute ich, das du auf Seiten der OSense Regeln vergessen hast. Hier schreibst du leider nicht auf welchem Interface die angelegt wurden.
Die Routen auf FW2 sind wohl unnötig wenn diese als Upstream GW FW1 hat. Ich vermute das gerade allerdings.
Ansonsten würde ich einfach mal in die Logs schauen. Was wird denn geblockt?
Beide Firewalls haben ja ein Log wo du nach Source Adressen filtern kannst. Da sollte dann klar werden wer der Übeltäter ist.
Allerdings vermute ich, das du auf Seiten der OSense Regeln vergessen hast. Hier schreibst du leider nicht auf welchem Interface die angelegt wurden.
Vermutung ist richtig. Firewall2 ist isoliert und alles was nicht Intern ist geht an Firewall1
Regel an Firewall 2:
WAN Interface (192.168.1.2)
172.20.10.5 allow 192.168.20.2
Die Logs sagen auf beiden Firewalls, wenn ich source 172.20.10.5 angebe alles gut. Der Hinweg scheint zu gehen.
Wenn ich beide Firewalls in das Transfernetz NATen lasse steht die Kommunikation. Mache ich das NAT aus, nichts.
Regel an Firewall 2:
WAN Interface (192.168.1.2)
172.20.10.5 allow 192.168.20.2
Die Logs sagen auf beiden Firewalls, wenn ich source 172.20.10.5 angebe alles gut. Der Hinweg scheint zu gehen.
Wenn ich beide Firewalls in das Transfernetz NATen lasse steht die Kommunikation. Mache ich das NAT aus, nichts.
Habe es glaube ich gefunden...
Hab mir die Zielmaschine nochmals angeschaut. Auf der läuft Docker welcher für sich den IP Bereich 172.20.0.0/16 reserviert hat
.
Deswegen habe ich auch immer so komische Routings von der Maschine bekommen....
man man man.
Hab mir die Zielmaschine nochmals angeschaut. Auf der läuft Docker welcher für sich den IP Bereich 172.20.0.0/16 reserviert hat
.Deswegen habe ich auch immer so komische Routings von der Maschine bekommen....
man man man.
In dem man erst seine Theorie überprüft und dann den Knopf drückt
