morpheus2010
Goto Top

Trotz Ping kein Zugriff auf Subnetz von einigen Clients

Hallo zusammen,

ich beschäftige mich seit einiger Zeit mit einem Problem welchem ich nicht Herr werde.

Zur Situation:

Ich betreibe ein kleines Netzwerk mit 7 Clients und Windows 2016 Essentials Server was alles sehr gut funktioniert.

Nun kam ein Geräte welches als Steuerung nur Windows XP mitbringt dazu, welches ich per Mikrotik in einem gesonderten Netzwerk isoliert habe. Auf dieses Netzwerk kann man nur Zugreifen aber nicht andersherum. Dort ist nur die Maschine, der Steuerungs PC und ein Synology NAS.

Wir hatten bisher Kaspersky Small Office Security und sind wegen der BSI Warnung nun auf Bitdefender Gravity Zone umgestiegen. Seitdem habe ich mit drei Rechnern Probleme auf das isolierte Netz zuzugreifen.

2 Clients zeitweise
Mit dem Server immer

Ich dachte es liegt am Bitdefender, dies habe ich aber ausschließen können durch Deinstallation.

Es muss irgendetwas auf Layer 4 Ebene sein, da ich das Netzwerk von allen Maschinen anpingen kann.

In der Windows Firewall ist das Netz freigegeben. Bei deaktivierter Firewall geht es auch nicht.

Hier die Eckdaten:

Produktivnetz:
192.168.0.0/24 --> Statische Route in Zyxel USG 40 Firewall --> 192.168.0.253 --> Isoliernetz 192.168.100.0/24

Tracert ist auch unauffällig.

Was konkret nicht funktioniert (mit den 3 beschriebenen Rechnern - die anderen Problemlos):
- Auf Freigabe auf dem NAS Zugreifen
- Auf das Webinterface der Synology zugreifen

PING GEHT!

Hat jemand einen Ansatz wie ich da weiter komme?

Content-ID: 2890522719

Url: https://administrator.de/contentid/2890522719

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

aqui
aqui 25.05.2022 aktualisiert um 09:54:38 Uhr
Goto Top
Produktivnetz:
In der Beschreibung fehlt die Default Route auf dem MT 0.0.0.0/0 -> USG 40 Firewall ! Ist die gesetzt?
Weitere Fragen zu deinem Setup:
  • Ist auch wirklich NAT auf dem MT deaktiviert, sprich KEINE Default Konfig in Benutzung?
  • NAS bzw. Synology haben einen Default Gateway Eintrag?
  • Hast du irgendwelches Customizing der Firewall auf dem MT?
Routingtechnisch ist im Routing Tutorial alles zu diesem einfachen Design erklärt. Zum Thema SMB Ver.1 bei WinXP Filesharing und anderen Protokollen hat Kollege @lks unten schon alles gesagt.
Lochkartenstanzer
Lochkartenstanzer 25.05.2022 um 09:51:43 Uhr
Goto Top
Mini,

Smbv1 aktiviert?

XP kann, iirc, nichts neueres.

lks
morpheus2010
morpheus2010 25.05.2022 um 10:53:16 Uhr
Goto Top
* Ist auch wirklich NAT auf dem MT deaktiviert, sprich KEINE Default Konfig in Benutzung?
Unter Bridge NAT sind keine Einträge. Gibt es da noch eine andere Stelle?
* NAS bzw. Synology haben einen Default Gateway Eintrag?
Gateway korrekt gesetzt auf 192.168.100.254

* Hast du irgendwelches Customizing der Firewall auf dem MT?
Ja, siehe Screenshot. Isolierung des Netzes. Nur oneway

Routingtechnisch ist im Routing Tutorial alles zu diesem einfachen Design erklärt. Zum Thema SMB Ver.1 bei WinXP Filesharing und anderen Protokollen hat Kollege @lks unten schon alles gesagt.
Das mit SMB V1 habe ich berücksichtigt. War ich auch drüber gestolpert beim Setup face-wink
Und das mit den zwei Netzen habe ich woanders dank Deiner Hilfe auch laufen (Kameranetz). Ohne Probleme. Habe das hier eigentlich genauso aufgesetzt.
fire
routes
morpheus2010
morpheus2010 25.05.2022 aktualisiert um 10:54:19 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Mini,

Smbv1 aktiviert?

XP kann, iirc, nichts neueres.

lks

Danke, das ist berücksichtigt.
aqui
aqui 25.05.2022, aktualisiert am 26.05.2022 um 11:24:24 Uhr
Goto Top
Unter Bridge NAT sind keine Einträge. Gibt es da noch eine andere Stelle?
Lies doch bitte einmal die URLs die man dir zur Hilfestellung postet! face-sad

Nach dem von dir geposteten Screenshot hast du es versäumt die Default Konfig auf dem MT zu löschen und dann ist auf dem eth1 Port NAT (IP Adress Translation) aktiviert.
Damit ist ein SMB Zugriff und auch alle anderen Zugriffe aus dem Koppelnetz IPtechnisch unmöglich, da die NAT Firewall das verhindert.
Du hast also immer eine routingtechnische Einbahnstrasse!! Ist dann auch nicht weiter verwunderlich das du da Schiffbruch erleidest. Der Grund dafür ist das NAT/ICS oder Masquerading am ether1 Port was HIER wie auch im o.a. Tutorial genau beschrieben wird.
Deine Problematik ist also nur durch das fälschlicherweise aktive NAT bedingt.

Fazit:
Lösche wie im Routing Tutorial beschrieben unbedingt die Default Konfig vom Mikrotik, dann kommt dein Setup auch sofort zum Fliegen.
morpheus2010
morpheus2010 25.05.2022 um 13:39:28 Uhr
Goto Top
Zitat von @aqui:

Lies doch bitte einmal die URLs die man dir zur Hilfestellung postet! face-sad

Sorry, Asche auf mein Haupt!

Ich gehe das nachher gleich mal durch und werde berichten.

Vielen Dank für Deine Hilfe!
aqui
aqui 27.06.2022 um 15:02:12 Uhr
Goto Top
Wenn es das denn nun war bitte dann auch deinen Thread hier als erledigt schliessen!
morpheus2010
morpheus2010 27.06.2022 um 16:41:42 Uhr
Goto Top
Hallo aqui,

leider ist das Thema noch nicht durch bei mir. Hatte leider wenig Zeit und dachte bevor ich hier nur rumbohre ohne meine Hausaufgaben gemacht zu haben ist auch blöd.

Ist ein Produktivsystem bei dem die meisten Rechner ja Kontakt haben.
Und bevor ich das auch noch versaue, teste ich lieber extern.

Habe mir extra einen Test mikrotik besorgt den ich nochmal von Grund auf aufsetzte.

Aber wenn es in Ordnung ist komme ich auf das Thema zurück.

Und wenn ich es geschafft habe werde ich auch berichten.

Nächste Mal poste ich wenn es ein weilchen dauern kann mit dem Feedback.
aqui
aqui 27.06.2022 um 18:54:42 Uhr
Goto Top
OK, dann harren wir mal auf deine Testergebnisse die da kommen sollen... 😉
morpheus2010
morpheus2010 12.07.2022 aktualisiert um 09:14:16 Uhr
Goto Top
Hallo,

jetzt bin ich endlich zum Testen gekommen und habe einen neuen Mikrotik neu aufgesetzt mit Default Config.

Leider selbes Ergebnis. Hat sich nichts geändert. An einigen Rechnern geht es und an manchen garnicht bzw. sporadisch.

Im Anhang meine ganzen Einstellungen des Mikrotik.

EDIT: Die Firewalleinstellung blockt alles ausser Connection State established. Wenn ich die ausschalte ändert sich auch nichts.
unbenannt5
unbenannt2
unbenannt
unbenannt4
unbenannt3
aqui
aqui 12.07.2022 um 09:30:00 Uhr
Goto Top
neuen Mikrotik neu aufgesetzt mit Default Config.
WIE ist das genu zu verstehen??
Bridge als lokales LAN und hat als Member Ports die Ports 2 bis 5 und ether1 ist der NAT/Firewall Port nach draussen?
Du hast also die klassische Default Konfig übernommen ohne Veränderung?
Dir geht es darum das OPG Netz vom Praxis Netz abzutrennen das nur Zugriffe von OPG zu Praxis und Internet möglich ist aber nicht Praxis zu OPG, richtig?
Ist das der Fall stimmen aber die Firewall Regeln nicht. Die o.a. Regel mit bridgelocal ist dann völlig falsch und sinnfrei.

Warum rebootest du den MT nicht einfach in seine Default Konfig und belässt die Firewall Regeln so wie sie sind!! Mit der Default Konfig hat die Firewall eine wasserdichte Konfig für den WAN/ether1 Port die du NICHT verändern musst.
Alles was du machen musst ist dann nur die Default MT 192.168.88er Adressierung auf dein 192.168.100.0 umzustellen auf dem lokalen LAN Interface und auf dem Pool bzw. den dazu korrespondierenden DHCP Server (dessen Konfig oben fehlt!).
So bekommen alle Endgeräte an den Ports 2 bis 5 dann fehlerlos IP Adressen vom MT DHCP Server.
Tip:
Mit dem grafischen WinBox Tool erleichterst du dir die MT Konfig ungemein: Das Tool findest du zum Download auf der MT Software Seite wenn du den blauen Button "WinBox" klickst. face-wink
morpheus2010
morpheus2010 12.07.2022 um 17:15:13 Uhr
Goto Top
Zitat von @aqui:

neuen Mikrotik neu aufgesetzt mit Default Config.
WIE ist das genu zu verstehen??

Ich habe ihn nackig ohne jeglich Config selber eingerichtet
Bridge als lokales LAN und hat als Member Ports die Ports 2 bis 5 und ether1 ist der NAT/Firewall Port nach draussen?

Im Prinzip ja. Aber vom WAN Port soll auf das OPG Netz zugegriffen werden können.

Du hast also die klassische Default Konfig übernommen ohne Veränderung?
Nein, ich habe ihn Hardresettet und dann alles selber eingetragen mit Winbox

Dir geht es darum das OPG Netz vom Praxis Netz abzutrennen das nur Zugriffe von OPG zu Praxis und Internet möglich ist aber nicht Praxis zu OPG, richtig?

Eigentlich gerade umgekehrt
OPG soll keinen Kontakt zum Praxisnetz haben - läuft XP auf dem Server leider nicht updatebar und deshalb kein Internet und kein Zugriff auf das Praxisnetz. Nur vom Praxisnetz wollen wir auf das OPG Netz zugreifen.

Warum rebootest du den MT nicht einfach in seine Default Konfig und belässt die Firewall Regeln so wie sie sind!! Mit der Default Konfig hat die Firewall eine wasserdichte Konfig für den WAN/ether1 Port die du NICHT verändern musst.

Das war ein Missverständnis. Ich dachte ich soll ihn nackig selber neu einrichten.
Werde das alsbald probieren und berichten.
Konnte nachdem setzen der Default config den Mikro leider nicht mehr erreichen. Auch nicht per Winbox. Muss das mal in nem Testnetz konfigurieren.
aqui
Lösung aqui 12.07.2022 aktualisiert um 20:36:32 Uhr
Goto Top
Aber vom WAN Port soll auf das OPG Netz zugegriffen werden können.
Das geht nicht wenn du Source NAT dort machst, denn die NAT Firewall lässt inbound auf das WAN Interface keine Sessions zu die nicht in der NAT Session Table bestehen.
Ohne NAT, mit transparentem Routing ist das natürlich dann problemlos möglich.
Nein, ich habe ihn Hardresettet
Dann musst du aber nach dem Reset in der WinBox die Default Konfig annehmen oder ablehnen. Oder hast du den Reset dann gleich mit einem Haken "no default config" ausgeführt.
Hilfreich wäre hier ein WinBox/Web Screenshot der NAT und FW Rules.
OPG soll keinen Kontakt zum Praxisnetz haben
OK, das musst du dann in den Firewall Rules definieren. Wie gesagt Screenshot deines Regelwerkes wäre hilfreich.
Nutzt du ein VLAN Design auf dem Mikrotik oder routest du dediziert über die Ethernet Interfaces? Laut deinen Daten oben letzteres, richtig?
Ich dachte ich soll ihn nackig selber neu einrichten.
Das ist auch richtig! Das solltest du beibehalten.
Konnte nachdem setzen der Default config den Mikro leider nicht mehr erreichen. Auch nicht per Winbox.
Da hast du sicher den Kardinalsfehler begangen und den Konfig Rechner auf den eth1 Port gesteckt. Der eth1 Port ist mit der Default Konfig der WAN/Internet Port der dann logischerweise aus Sicherheitsgründen keinerlei Konfig Zugang mehr zulässt. Umstecken auf Port 5 hätte dein Problem sofort gelöst. face-wink
Gehe folgendermaßen vor:
  • Reset ohne Default Konfig
  • Zyxel Netz IP 192.168.0.253 /24 auf eth1
  • Bridge anlegen wie oben und Ports 2-5 als Memberports eintragen
  • OPG Netz IP 192.168.100.254/24 auf das Bridge Interface legen und nicht fälschlicherweise auf eth2 wie du es gemacht hast!! Damit werden dann die Ports 2 bis 5 als Switch betrieben und alles Ports des OPG Netzes an die du Clients anstecken kannst
  • DHCP Server anlegen für das OPG Netz. Dazu klickst du auf DHCP Setup wie im Tutorial beschrieben. Der Setup Wizzard legt dann automatisch auch einen entsprechenden Pool an. Achtung: Achte darauf den Pool zu den Enden immer zu begrenzen um z.B. auch statische Bereich zu haben z.B. von .50 bis .200
  • Statische Route auf dem Zyxel ins .100.0/24er Netz mit 192.168.0.253 als next Hop
  • Statische Default Route 0.0.0.0/0 mit next Hop 192.168.0.254 (.254 = IP des Zyxel) wie du es oben schon richtig gemacht hast
  • Testclient an einem Port 2 bis 5 anschliessen und IP Adressvergabe mit ipconfig -all checken ob die OPG Netzadressierung stimmt.
  • Jetzt Ping Check machen von einem Client im Zyxel Netz
    • Ping MT IP 192.168.0.253
    • Ping MT IP OPG 192.168.100.254
    • Ping auf Client im OPG Netz
    • Dann Ping vom OPG Client auf .100.254, .0.253 und die Zyxel FW oder Client im Zyxel Netz
  • Ggf. einen DNS Server unter -IP -> DNS konfigurieren sofern du aus dem OPG Netz auch Hostnamen auflösen willst.
Alle diese Pings sollten fehlerlos klappen und verifizieren dann die grundsätzliche Funktion dieses Basissetups.
Ist das gegeben, dann machst du dich an die Firewall Konfig WER WAS WOHIN darf, sprich machst langsam die Schotten dicht.
Das hat den großen Vorteil das du jetzt sicher weisst das dein Setup generell fehlerfrei funktioniert. Fehlfunktionen können jetzt also nur durch fehlerhafte FW Regeln entstehen die du dann sofort korrigieren kannst. Sprich also ein sofortiger Test ob deine Regeln greifen oder nicht. face-wink
Das kommt dann im nächsten Step dieses Threads. face-wink
morpheus2010
morpheus2010 13.07.2022 um 08:25:47 Uhr
Goto Top
Hallo Aqui,

vielen Dank für die Top Anleitung! Theoretisch habe ich sogar alles verstanden face-smile und sollte das umsetzen können.

Zitat von @aqui:


Dann musst du aber nach dem Reset in der WinBox die Default Konfig annehmen oder ablehnen. Oder hast du den Reset dann gleich mit einem Haken "no default config" ausgeführt.
Nein, da habe ich garnichts gemacht. Direkt selber konfiguriert.


Nutzt du ein VLAN Design auf dem Mikrotik oder routest du dediziert über die Ethernet Interfaces? Laut deinen Daten oben letzteres, richtig?
Ich route dediziert. Kein Vlan.


Da hast du sicher den Kardinalsfehler begangen und den Konfig Rechner auf den eth1 Port gesteckt. Der eth1 Port ist mit der Default Konfig der WAN/Internet Port der dann logischerweise aus Sicherheitsgründen keinerlei Konfig Zugang mehr zulässt. Umstecken auf Port 5 hätte dein Problem sofort gelöst. face-wink

Absolut richtig. War auf ETH 1 verbunden face-wink

Nochmals vielen vielen Dank!!!

Ich melde mich wenn ich das probiert habe.
aqui
aqui 13.07.2022 um 08:35:23 Uhr
Goto Top
Wir sind gespannt.... face-wink
morpheus2010
morpheus2010 17.10.2022 um 18:19:19 Uhr
Goto Top
Hallo Aqui,

sorry für die übelstlange Pause, aber ich bin jetzt mal wieder dran gegangen und habe das alles so wie du es beschrieben hast aufgebaut.
Ich bin beim Testen fündig geworden!

Das Problem liegt Richtung Zyxel
Ich kann im OPG Net (192.168.100.0) pingen und komme (mit offener/keiner Firewall) nur bis 192.168.0.253 dem Gateway auf ETH1. Jegliche anderen Adressen in 192.168.0.0 kann ich nicht anpingen.

Gleichzeitig kann ich aber in OPG Net Pingen 192.168.0.0--> Z.B. 192.168.100.1 (Ein NAS) funktioniert. Zugriff auf das NAS geht auch.

Ich denke ich muss am Zyxel liegen. Aber was kann da falsch sein?
zyxel
aqui
aqui 17.10.2022 aktualisiert um 20:04:24 Uhr
Goto Top
Aber was kann da falsch sein?
Wie immer: Das Firewall Regelwerk zwischen den Netzen! 😉
morpheus2010
morpheus2010 17.10.2022 um 20:47:24 Uhr
Goto Top
OK. Dann checke ich das. Bin gespannt ob ich da weiter komme.
Komme mit vor wie Sherlock Holmes face-big-smile
morpheus2010
Lösung morpheus2010 22.10.2022 um 09:59:52 Uhr
Goto Top
Hallo Aqui,

vielen Dank nochmal für deine super Hilfe die mich letztlich zum Ziel gebracht hat.

Ich habe es nun endlich geschafft!!!
Es lag an der Zyxel USG und zwar an der statischen Route. Die war völlig korrekt, aber aus irgendeinem Grund - den ich nicht gefunden habe - wurde irgendetwas blockiert. Nicht alles, sodass es ja halbwegs lief. Das sind die schlimmsten Fehler. Und da es ja sehr lange komplett lief und plötzlich nicht mehr richtig, denke ich, dass der Fehler durch ein Update der USG verursacht wurde.

Ich habe dann anstatt einer statischen Route eine Policyroute mit den selben Parametern angelegt und siehe da es funktioniert.

Viele Grüße
aqui
aqui 22.10.2022 um 13:12:31 Uhr
Goto Top
Glückwunsch und danke fürs Feedback! Hartnäckigkeit zahlt sich aus! face-wink