OPNsense Forum

International Forums => German - Deutsch => Topic started by: Felix on October 05, 2018, 10:35:24 am

Title: LAN to DMZ
Post by: Felix on October 05, 2018, 10:35:24 am
Hallo

ich habe mehrere Schnittstellen, wenn ich beim LAN kein Gateway eintrage kann ich vom LAN in die DMZ kommen, wenn ich aber dem LAN einen Gateway setzte , greifen die Regeln nicht mehr, er probiert dann die private ip über den Gateway aufzulösen. Von der Firewall an sich geht alles anzupingen (ssh ,shell)

Wo ist mein Denkfehler


          OPNSENSE----10.20.20.1 DMZ  Schnittstelle  --------DMZ------Server 10.20.20.2
            |
            |
LAN Schnittstelle --192.168.2.1
            |
       Clients

in der Firewall sind die Reegeln icmp und rdp Richtung dmz eingestellt.
Title: Re: LAN to DMZ
Post by: JeGr on October 08, 2018, 10:51:01 am
> Wo ist mein Denkfehler
> wenn ich aber dem LAN einen Gateway setzte

Warum willst du überhaupt auf dem LAN ein Gateway setzen? Ich sehe in deiner Skizze überhaupt keinen Grund dazu.
Title: Re: LAN to DMZ
Post by: Felix on October 08, 2018, 11:55:15 am
Danke erst mal für deine Antwort.Ich hatte das Szenario so gesetzt wie es intern sein soll.

wenn ich das LAn aber an meinen wan (gateway) binde ,dann will er nicht mehr in die dmz.

        Wan
          |
     opnsense ---- DMZ
          |
          |
       LAN

 Das Gateway für die LAn schnittsetelle soll dann das wan werden (internet). Aber und hier ist mein Problem, OPNSENSE kennt doch die LAN und die DMZ schnittstelle und müsste die interne DMZ ip doch kennen und nicht an das GAteway weiterleiten. Oder denke ich da falsch?
Title: Re: LAN to DMZ
Post by: JeGr on October 08, 2018, 01:07:04 pm
Sorry aber das ist gerade sowas von konfus, dass ich schlicht nicht verstehe, was du eigentlich versuchst ;)
Title: Re: LAN to DMZ
Post by: Felix on October 08, 2018, 01:40:24 pm
kein problem, dann ordne ich das noch einmal.


Das Netzwerk vom Lan geht über die WAN schnittstelle ins internet , also ist das der LAN GAteway korrekt?
Wenn keine WAN Schnittstelle aktiv ist , geht das routing vom LAN zur DMZ , wenn aber die WAN Schnittstelle aktiv ist , geht das routing internen LAN zur DMZ nicht, da er über das Gateway der WAn schnittstelle geht.
Title: Re: LAN to DMZ
Post by: JeGr on October 08, 2018, 05:33:05 pm
>  also ist das der LAN GAteway korrekt?

Nein, das LAN braucht kein Gateway. Das WAN hat das Gateway (ins Internet) und das ist auch das Default Gateway an das alles geschickt wird, was nicht lokal zuordnbar ist. Somit kein Grund am LAN Interface ein Gateway zu definieren.

> Wenn keine WAN Schnittstelle aktiv ist , geht das routing vom LAN zur DMZ , wenn aber die WAN Schnittstelle aktiv ist , geht das routing internen LAN zur DMZ nicht, da er über das Gateway der WAn schnittstelle geht.

Der Abschnitt macht irgendwie keinen wirklichen Sinn. Entweder das DMZ Netz ist lokal an der Sense erreichbar - oder nicht. Der IP Bereich der dort aufliegt muss egal wann funktionieren, ob WAN da ist oder nicht, völlig egal. Aber auch auf dem DMZ Interface (wie auch dem LAN) sollte hier KEIN Gateway definiert sein. Wie gesagt nur Upstream Interfaces (WANs) bekommen ein Gateway definiert, es sei denn du weißt genau was du tust und warum :)

Alles andere sind im Normalfall lediglich Firewall Regeln die entsprechend passen müssen.

Gruß
Title: Re: LAN to DMZ
Post by: Felix on October 11, 2018, 11:13:12 am
Korrekt und da war mein Fehler , habe es bereinigt und es geht jetzt ,wie es sollte.

Danke
Title: Re: LAN to DMZ
Post by: JeGr on October 11, 2018, 02:12:42 pm
Bei was denn genau?
Title: Re: LAN to DMZ
Post by: Felix on October 11, 2018, 04:06:04 pm
Ich hatte ein gateway beim lan eingetragen gehabt und dadurch das ganze Routing versaut, weil ich das in der Routing Tabelle nicht so erkannt hatte.
Title: Re: LAN to DMZ
Post by: JeGr on October 12, 2018, 01:45:29 pm
Aah danke, das war die Vermutung aber gut zu wissen :)