Hallo,
bin ein wenig am verzweifeln, weil ich offensichtlich irgendeinen Fehler beim Anlegen weiterer Netze mache.
An der FW gibt es LAN (idb0) und WAN (igb1). Nun habe ich einem weiteren Port (igb2) als DMZ (soll er mal werden) angelegt.
* Interface zugewiesen
* IP Adresse gesetzt
* Firewall Regeln (zum Test) "DMZ to any" Rule gesetzt ("LAN to any" existiert bereits)
* den Anschluss der FW (igb2) auf den gleichen Netzwerkswitch wie igb0 (Lan) geklemmt (zum Test).
* Auf einem Proxmox Host, welcher das Netz vom LAN nutzt eine VM mit einer IP aus dem "DMZ" Netz erstellt
Die VM kann die DMZ IP der FW nicht erreichen. Eine zweite VM auf einem anderen Host mit gleicher Konfiguration (bis auf die IP) aber schon. Das heisst: VM im DMZ Netz kann andere Adressen im gleichen Netz erreichen, nicht aber die FW, oder diese scheint sich nicht zuständig zu fühlen.
Wo/wie könnte ich anfangen, das Problem zu identifizieren?
Bfo
Präfixlänge in der DMZ-Interface-Konfiguration und in der Test-VM korrekt und übereinstimmend?
In der "DMZ to any"-Regel die Source auf 'DMZ net' gesetzt?
Funktioniert ein Ping in die andere Richtung?
Hallo,
gerade nochmal überprüft- alles richtig. Ich habe mal ein 2 screenshots angehängt, vielleicht habe ich was übersehen.
Die /etc/nwtwork/interfaces der debian VM sieht so aus:
iface ens18 inet static
address 192.168.132.126/24
gateway 192.168.132.1
dns-nameservers 192.168.132.1
Bfo
Dann würde ich als nächstes einen Packet Capture auf dem DMZ-Interface machen und schauen, ob da überhaupt etwas ankommt (Pings oder wenigstens ARP).
Bitte mal einen Screenshot von der interface Übersicht (alle).
- nutzt du für die DMZ einen eigenen Switch?
- bitte mal einen grafischen netzwerkplan
Gesendet von iPhone mit Tapatalk Pro
Quote from: Maurice on August 01, 2023, 12:22:20 PM
Dann würde ich als nächstes einen Packet Capture auf dem DMZ-Interface machen und schauen, ob da überhaupt etwas ankommt (Pings oder wenigstens ARP).
Das kann ich erst morgen machen. Melde mich dann.
Bfo
Quote from: micneu on August 01, 2023, 02:21:35 PM
Bitte mal einen Screenshot von der interface Übersicht (alle).
- nutzt du für die DMZ einen eigenen Switch?
- bitte mal einen grafischen netzwerkplan
Interfaces: Wie ich schrieb: LAN, WAN, DMZ
Netzwerkplan: Für obige Interfaces nicht wirklich interessant. Intranet == LAN, WAN am dedizierten Port der FW und DMZ am dedizierten Port der FW auf den LAN Switch (wie ich in meinem primären Post schrieb). Was ich nicht schrieb, da ich davon ausging, dass es klar sei: *keine* Vlan's.
Eigentlich eine ganz einfache Konfiguration.
Ich werde morgen mal ein packet capture an der FW als auch an der VM machen.
Bfo
Beim "packet capture" ist aufgefallen, das *kein* einziges Paket bei der FW an dem entsprechenden Interface ankommt.
Fehler lag an dem Kabel, welches von der FW in den *falschen* Switch ging.
OMG - Asche auf mein Haupt.
Danke an alle, die mir hilfreiche Tipps gegeben haben!!!
Bfo
🤣
👍