Hallo Alle,
ich habe da ein Verhalten, was ich mir nicht erklären kann.
Es geht um folgendes Netzwerk (nun ja, ein Ausschnitt):
FW3 -- dns2 -+- FW2
|
FW1
FW1 (192.168.16.60) ist default GW für FW2 (192.168.16.38).
dns2 (192.168.16.3 sowie 192.168.36.105) ist ein einfacher router.
Wenn ich nun einen Ping von FW2 an FW3 schicke, geht der ins Leere, denn FW2 hat nichts besseres zu tun, diesen an FW1 zu schicken.
Allerdings hat FW2 folgender Routing Table
root@FW2:~ # netstat -rn
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default 192.168.16.60 UGS igb0
127.0.0.1 link#6 UH lo0
192.168.2.0/24 192.168.16.60 UGS igb0
192.168.9.0/24 192.168.16.60 UGS igb0
192.168.16.0/24 link#1 U igb0
192.168.16.38 link#1 UHS lo0
192.168.25.0/24 link#2 U igb1
192.168.25.60 link#2 UHS lo0
192.168.36.0/24 192.168.16.3 UGS igb0
192.168.49.0/24 192.168.16.3 UGS igb0
Also, nach meinem Verständnis zumindest, sollte FW2 die Ping Pakete an dns2 (192.168.16.3) schicken.
Das macht er aber nicht. Ein traceroute zeigt dies:
root@FW2:~ # traceroute fw3
traceroute to fw3.independit.de (192.168.36.60), 64 hops max, 40 byte packets
1 fw1 (192.168.16.60) 0.318 ms 0.257 ms 0.248 ms
2 zyxel (192.168.2.1) 0.802 ms 0.789 ms 0.755 ms
3 62.156.244.22 (62.156.244.22) 12.117 ms 11.909 ms 12.073 ms
^C
Welcher Denkfehler mache ich? Bzw. warum wird trotz Vorhandensein eines expliziten Routes die Default GW benutzt?
Lustigerweise ist fw3 von den Rechnern hinter FW2 problemlos errichbar, und der ping wird auch korrekterweise an dns2 weitergeleitet, nicht an die default GW.
-------------------------------------------------------------------------------
In der Zwischenzeit bin ich etwas weiter gekommen.
Irgendwo im (Englischen Teil vom) Forum gab es einen vagen Hinweis auf benötigten Firewallregeln die das entfernte Netzwerk (in meinem Fall 192.168.36.0/24) ansprechen.
Also habe ich eine solche Regel zugefügt. Dabei ist die Position der Regel auch noch wichtig, wie es scheint.
(Siehe Screenshot im Anhang)
Und siehe da: der ping hat erfolg:
root@FW2:~ # ping -m 1 fw3
PING fw3.independit.de (192.168.36.60): 56 data bytes
92 bytes from 192.168.16.3: Time to live exceeded
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 fabe 0 0000 01 01 0938 192.168.16.38 192.168.36.60
^C
--- fw3.independit.de ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss
root@FW2:~ # ping -m 2 fw3
PING fw3.independit.de (192.168.36.60): 56 data bytes
64 bytes from 192.168.36.60: icmp_seq=0 ttl=63 time=2.954 ms
^C
--- fw3.independit.de ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 2.954/2.954/2.954/0.000 ms
Allerdings benimmt traceroute sich nach wie vor daneben:
root@FW2:~ # traceroute fw3
traceroute to fw3.independit.de (192.168.36.60), 64 hops max, 40 byte packets
1 fw1 (192.168.16.60) 0.382 ms 0.255 ms 0.262 ms
2 zyxel (192.168.2.1) 0.847 ms 0.721 ms 0.709 ms
3 62.156.244.22 (62.156.244.22) 11.649 ms 11.674 ms 12.253 ms
^C
Diese Interferenz zwischen Firewall-Regeln und Routing ist für mich höchst unerklärlich.
Vielleich kan mir jemand zumindest das erklären?
Ronald