OPNsense Forum
International Forums => German - Deutsch => Topic started by: Crystallic on June 16, 2017, 08:33:19 pm
-
Hallo zusammen,
ich stehe hier vor einem Problem, dass ich nicht so wirklich verstehen will..
Habe auch schon die Firewalls neu aufgesetzt im Konfigurationsfehler auszuschließen.
Zuerst einmal eine kleine Erklärung über den Netzwerkaufbau:
----------
| FB6490 |
----------
|
|
----------
| FW |----IoT
----------
|
DMZ
|
----------
| FW |
----------
| |
| |
| SERVER
|
CLIENT
Die FB6490 ist mein Anschluss zum ISP.
Dann kommt die erste FW hinter der das IoT Netz und die DMZ hängt.
Hinter der DMZ kommt die zweite FW die mein Server, sowie Client Netz absichert.
Nun zu meinen Problemen:
Im Sever Netz steht ein Domain Controller, welcher einwandfrei funktioniert. Jedoch leider nur solange ich mich im selben Netz befinde. Versuche ich bspw. aus dem Client Netz der Domäne beizutreten oder mit einem bereits integriertem Client lediglich ein GPUpdate auszuführen, kann der DC nicht kontaktiert werden.
Ebenfalls im Server Netz setht ein Fileserver, dessen Freigaben aus dem Server Netz super zu erreichen sind, bin ich jedoch in einem anderem Netz, kann ich die freigaben nicht einmal sehen.
Im IoT Netz steht ein XMPP Server, welcher aus dem Internet zu erreichen ist, jedoch aus dem internen Netzen ist eine Verbindung zum Server nicht möglich, außer aus dem IoT Netz selbst.
Seltsam dabei ist, dass die Geräte untereinander Ping und auflösbar sind, sowie per SSH bzw. RDP zu erreichen.
Wie oben bereits erwähnt habe die Firewalls bereits neu installiert, um eingeschlichene Konfigurationsfehler auszuschließen, jedoch ohne Erfolg.
Die Firewalls sind jetzt gerade grundkonfiguriert und mit einer ANY to ANY Rule auf dem CLIENT-, SERVER-, DMZ- & IoT Interface. Das Problem besteht jedoch weiterhin.
Jetzt stelle ich mir schon fast die Frage, ob es an OPNSense liegt oder ob ich einfach nur etwas übersehe..
Danke & Grüße
-
Kann mir denn niemand helfen mit diesem Problem?
Werde es dann wohl mal mit anderen Systemen wie PFSense versuchen.
Vlt funktioniert die Software etwas besser...
-
Moin,
ja klar, nimm ruhig eine andere Firewall ;)
Ob das jedoch Deine Probleme löst glaube ich eher nicht!
Probleme mit Windows Domänen sind zumeist auf Probleme mit dem DNS zurückzuführen. Ist denn das DNS richtig konfiguriert? Sind die DNS-Zonen auf dem DC richtig eingerichtet? Kannst Du jeweils vom Servernetz in das Clientnetz pingen (FQDN)?
Welchen DNS-Server bekommen die Clients denn zugwiesen? Manuelle Zuweisung oder per DHCP?
Ansonsten verstehe ich das Konstrukt mit 2 Firewall's hintereinander ohnehin nicht! ???
Warum nicht Alles über eine Firewall? Die IoT-Devices in ein eigenes Netzwerk kapseln (ggf. per VLAN) und gut ist.
Gruß
Dirk
-
Auch wenn ich nichts dagegen habe, dich im pfsense Forum zu lesen, wird die Antwort zur Frage dort (zumindest von mir) nicht anders ausfallen als Dirk schon geschrieben hat ;) Dein Problem liegt eher in dem einerseits m.E. überkomplizierten Aufbau mit zwei Firewalls (1) und deinem Windows Fileserver (2)
(1) ist kein Problem per se, macht aber auch keinen Sinn, zumindest nicht laut deiner Zeichnung. Dort zweigt an FW1 ein IOT Netz ab und nach unten geht eine DMZ. Diese DMZ ist aber nutzlos, weil nichts in ihr steht. Bei einem zweistufigen Aufbau mit 2 Firewalls wären genau dort bspw. die IOT Geräte und dahinter geschaltet mit zweiter Firewall dann das LAN. Dort (an der 2. Firewall) ist aber die nächste Obskurität: Nochmals zwei getrennte Netze für Server und Clients was prinzipiell natürlich gut und nicht verwerflich ist - macht bei der Architektur aber genausowenig Sinn, das Server Netz hier auf FW2 zu ziehen, da es technisch gesehen auch eher ein DMZ ist.
Einfacher - und bei richtigem Setup auch nicht weniger sicher - wäre alle Netze an einer Firewall abzuspalten. IoT, Server, Clients (LAN). Und damit sind dann auch alle Netze UND REGELN an einem Punkt in der Verwaltung und müssen nicht an 2 Punkten gepflegt werden.
(2) ist wahrscheinlich dein eigentliches Problem. Die Standard MS Windows Firewall ist so eingerichtet, dass das eigene Netz, in welchem DER SERVER steht, immer gern gesehen und freigegeben ist - andere Netze NICHT! Somit werden alle Netze != dem eigenen als "extern" angesehen und per default geblockt. Ich würde daher raten (nur zum TEST!) die Windows Firewall komplett abzuschalten und dann nochmals zu testen (mit der IP des Servers um DNS Probleme wie von Dirk genannt auszuschließen). Geht es und dann mit Namen nicht, haben wir (ggf zusätzlich) ein DNS Problem.
Grüße
-
Moin,
ja klar, nimm ruhig eine andere Firewall ;)
Ob das jedoch Deine Probleme löst glaube ich eher nicht!
Probleme mit Windows Domänen sind zumeist auf Probleme mit dem DNS zurückzuführen. Ist denn das DNS richtig konfiguriert? Sind die DNS-Zonen auf dem DC richtig eingerichtet? Kannst Du jeweils vom Servernetz in das Clientnetz pingen (FQDN)?
Welchen DNS-Server bekommen die Clients denn zugwiesen? Manuelle Zuweisung oder per DHCP?
Ansonsten verstehe ich das Konstrukt mit 2 Firewall's hintereinander ohnehin nicht! ???
Warum nicht Alles über eine Firewall? Die IoT-Devices in ein eigenes Netzwerk kapseln (ggf. per VLAN) und gut ist.
Meine Aussage scheint bei dir wohl falsch angekommen zu sein..
Ich wollte nur damit aussagen, wenn mir hier niemand helfen kann, ich es mit einem anderen aber ähnlichem System versuchen möchte, um einen Bug seiten OPNSense auszuschließen..
Ja das DNS ist richtig konfiguriert.. Es ist jedes Gerät mit FQDN, dem Hostnamen und auch über IP per Ping zu erreichen. Mit einem NSLookup wird auch jeder Host richtig aufgelöst.
Die Clients bekommen den DNS des DC's zugewiesen.. Alles per DHCP jedoch vom DHCP der FW nicht des DC's..
Nun zu meinem Firewallkonstrukt:
Die erste FW sichert die DMZ und das IoT-Netz ab.
Diese habe ich mit absicht getrennt, um die IoT-Geräte noch einmal einem seperatem Netz zu verwalten.
In der DMZ stehen bspw. ein Websever, Mailserver usw..
Dann kommt hinter der DMZ die die zweite FW, die die Client & Server Netze absichert.
Hier stehen z.B. der DC & der Fileserver..
Auch wenn ich nichts dagegen habe, dich im pfsense Forum zu lesen, wird die Antwort zur Frage dort (zumindest von mir) nicht anders ausfallen als Dirk schon geschrieben hat ;) Dein Problem liegt eher in dem einerseits m.E. überkomplizierten Aufbau mit zwei Firewalls (1) und deinem Windows Fileserver (2)
(1) ist kein Problem per se, macht aber auch keinen Sinn, zumindest nicht laut deiner Zeichnung. Dort zweigt an FW1 ein IOT Netz ab und nach unten geht eine DMZ. Diese DMZ ist aber nutzlos, weil nichts in ihr steht. Bei einem zweistufigen Aufbau mit 2 Firewalls wären genau dort bspw. die IOT Geräte und dahinter geschaltet mit zweiter Firewall dann das LAN. Dort (an der 2. Firewall) ist aber die nächste Obskurität: Nochmals zwei getrennte Netze für Server und Clients was prinzipiell natürlich gut und nicht verwerflich ist - macht bei der Architektur aber genausowenig Sinn, das Server Netz hier auf FW2 zu ziehen, da es technisch gesehen auch eher ein DMZ ist.
Einfacher - und bei richtigem Setup auch nicht weniger sicher - wäre alle Netze an einer Firewall abzuspalten. IoT, Server, Clients (LAN). Und damit sind dann auch alle Netze UND REGELN an einem Punkt in der Verwaltung und müssen nicht an 2 Punkten gepflegt werden.
(2) ist wahrscheinlich dein eigentliches Problem. Die Standard MS Windows Firewall ist so eingerichtet, dass das eigene Netz, in welchem DER SERVER steht, immer gern gesehen und freigegeben ist - andere Netze NICHT! Somit werden alle Netze != dem eigenen als "extern" angesehen und per default geblockt. Ich würde daher raten (nur zum TEST!) die Windows Firewall komplett abzuschalten und dann nochmals zu testen (mit der IP des Servers um DNS Probleme wie von Dirk genannt auszuschließen). Geht es und dann mit Namen nicht, haben wir (ggf zusätzlich) ein DNS Problem.
Grüße
Die meisten Sachen sollten auch oben beantwortet sein..
Zudem ist die Windows Firewall auf allen Geräten deaktiviert.
Danke und Grüße
-
Zudem ist mir noch eingefallen, was einem DNS-Problem wiederspricht..
Die Fileserverfreigaben sind auch als IP Mapping nicht zu erreichen..
Habe gerade mal testweise die Paketfilterung auf der zweiten FW komplett deaktiviert und siehe da es funktioniert sofort alles über IP oder DNS.. Also kann der Domäne beitreten, den Fileserver erreichen, sowie mit dem XMPP Server verbinden.
Natürlich möchte ich die Firewall nicht nur als Routingplattform nutzen und die Paketfilterung auf der FW wieder aktivieren, jedoch liege ich dann wieder bei meinem vorherigem Problem :/ abwohl auf allen Interfaces eine ANY to ANY Rule für den Test ganz oben steht..
-
Komplette Deaktivierung des Filters schaltet auch NAT ab. Ich denke eher DA wird dein Problem herkommen, nicht aus den Filtern wenn da tatsächlich any any Regeln drauf sind und nicht nur tcp any any (IP besteht ja nicht nur aus tcp oder udp).
Mach mal komplett NAT aus, denn an der zweiten Firewall brauchst du m.E. nicht NATten, da du noch keine public IPs da überhaupt hast. Also reines Routing + Filtering.
Gruß
-
Komplette Deaktivierung des Filters schaltet auch NAT ab. Ich denke eher DA wird dein Problem herkommen, nicht aus den Filtern wenn da tatsächlich any any Regeln drauf sind und nicht nur tcp any any (IP besteht ja nicht nur aus tcp oder udp).
Mach mal komplett NAT aus, denn an der zweiten Firewall brauchst du m.E. nicht NATten, da du noch keine public IPs da überhaupt hast. Also reines Routing + Filtering.
Gruß
NAT ist auf der zweiten FW ist bereits komplett deaktiviert..
Und ja ich weiß das es mehr als tcp gibt :) hier die Regel nochmal genau definiert "Pass IPv4 Protokoll* Source* SourcePort* Destination* DestinationPort*"
Danke und Grüße
-
Hmm,
hast Du mal testweise IPv6 ebenfalls mit einer ANY-Regel eingerichtet? Windows Server sind manchmal etwas zickig, wenn IPv6 deaktiviert ist...
Wie sieht es mit Logging aus?
Einfach mal eine Deny-All als letzte Regel einrichten und das Logging auf die Regel aktivieren. Sollte zwar nichts ankommen, aber irgendwas scheint ja etwas strange bei Dir zu laufen.
Gruß
Dirk