Hallo Gemeinde,
ich habe auf meiner Firewall ein sehr merkwürdiges Verhalten. Pakete von der selben Quelle zum selben Ziel auf dem selben Port werden mal geblockt und dann wieder durchgelassen (siehe Bild). Hat jemand schon mal ein ähnliches Problem gehabt?
(https://www.logicway.de/transfer/Firewall_port143.png)
Viele Grüße
Strubbi
Asymmetrisches Routing? Gibt es noch einen weiteren Weg von der Quelle zum Ziel und/oder zurück?
Die Vorwärtsroute geht über die Firewall, rückwärts geht es direkt.
Das funktioniert nicht. Das ist eine stateful Firewall. Das muss in beiden Richtungen denselben Weg nehmen.
Was für einen Sinn hat es, in einer Richtung über die Firewall zu routen, wenn eine direkte Verbindung existiert?
Das ist eine komplizierte Geschichte. Ich komme aus der iptables Welt. Wir haben einen openvpn server, der ein "schwebendes" Netz hat (10.130.0.0/20) der Server macht NAT auf die lokalen jeweils zugelassenen adressen in dem Fall 10.130.1.203 -> 192.168.1.203. da die beiden Kollegen, die mit VPN auf den Mailserver zugreifen, im Mailclient die 10.130.1.203 als smtp und imap Server eingetragen haben, muss ich, wenn sie in der Firma sind, diese adressen auch irgendwie umschreiben. Ich habe auf der Firerwall schon eine NAT Regel erzeugt, aber das hat nicht geholfen. Jetzt habe ich dem Mailserver eine zweite IP vergeben (10.130.1.203). Deshalb wird die hinroute über die Firewall gemacht, aber rückwärts (da im gleichen Netz), geht es direkt.
Bei den Linux Clients haben wir einfach ein Script geschrieben, welches die /etc/hosts jeweils anpasst und die Adresse vpn.mailserver.tld auf die richtige IP setzt. Bei Windows fällt mir da nichts gescheites ein.
Wenn du einen anderen Lösungsansatz hast bin ich ganz Ohr.
Warum benutzen die Kollegen nicht immer dieselbe IP-Adresse für den Mailserver? Man kann doch auch vom OpenVPN-Netz aus dort hin routen (macht OPNsense sowieso), eine Firewall-Regel, fertig?
Der OpenVPN Server läuft bei uns nicht auf der Firewall, sondern auf einem eigenen virtuellen Rechner. Wir benutzen Bridging (TAP-Device), die Clients bekommen keine IP im direkten internen Netz zugewiesen, sondern eine Virtuelle, als routen wird das Netz 10.130.0.0/20 gepusht. Dann werden clientabhängige NAT Regeln (--to-destination) erstellt. Mein Chef will, dass das so bleiben soll. Deshalb habe ich jetzt das Problem mit den unterschiedlichen IP's.
Quote from: Strubbi on Today at 11:37:41 AMDas ist eine komplizierte Geschichte
Ich stimme zu. Jedenfalls verstehe ich nicht den Sinn der Sache.
Quote from: Strubbi on Today at 11:37:41 AMWenn du einen anderen Lösungsansatz hast bin ich ganz Ohr.
Dafür wäre es vielleicht besser, die Herausforderung zu erklären, denn die versuchte Umsetzung.
Quote from: Strubbi on Today at 12:14:53 PMDer OpenVPN Server läuft bei uns nicht auf der Firewall, sondern auf einem eigenen virtuellen Rechner. Mein Chef will, dass das so bleiben soll.
Das verkompliziert die Sache gewiss, warum auch immer man das so haben möchte, es sollte aber dennoch umsetzbar sein.