Messages

Komplette Deaktivierung des Filters schaltet auch NAT ab. Ich denke eher DA wird dein Problem herkommen, nicht aus den Filtern wenn da tatsächlich any any Regeln drauf sind und nicht nur tcp any any (IP besteht ja nicht nur aus tcp oder udp).

Mach mal komplett NAT aus, denn an der zweiten Firewall brauchst du m.E. nicht NATten, da du noch keine public IPs da überhaupt hast. Also reines Routing + Filtering.

Gruß

NAT ist auf der zweiten FW ist bereits komplett deaktiviert..
Und ja ich weiß das es mehr als tcp gibt :) hier die Regel nochmal genau definiert "Pass IPv4 Protokoll* Source* SourcePort* Destination* DestinationPort*"

Danke und Grüße

Zudem ist mir noch eingefallen, was einem DNS-Problem wiederspricht..
Die Fileserverfreigaben sind auch als IP Mapping nicht zu erreichen..

Habe gerade mal testweise die Paketfilterung auf der zweiten FW komplett deaktiviert und siehe da es funktioniert sofort alles über IP oder DNS.. Also kann der Domäne beitreten, den Fileserver erreichen, sowie mit dem XMPP Server verbinden.

Natürlich möchte ich die Firewall nicht nur als Routingplattform nutzen und die Paketfilterung auf der FW wieder aktivieren, jedoch liege ich dann wieder bei meinem vorherigem Problem :/ abwohl auf allen Interfaces eine ANY to ANY Rule für den Test ganz oben steht..

Moin,
ja klar, nimm ruhig eine andere Firewall  ;)
Ob das jedoch Deine Probleme löst glaube ich eher nicht!
Probleme mit Windows Domänen sind zumeist auf Probleme mit dem DNS zurückzuführen. Ist denn das DNS richtig konfiguriert? Sind die DNS-Zonen auf dem DC richtig eingerichtet? Kannst Du jeweils vom Servernetz in das Clientnetz pingen (FQDN)?
Welchen DNS-Server bekommen die Clients denn zugwiesen? Manuelle Zuweisung oder per DHCP?

Ansonsten verstehe ich das Konstrukt mit 2 Firewall's hintereinander ohnehin nicht!  ???
Warum nicht Alles über eine Firewall? Die IoT-Devices in ein eigenes Netzwerk kapseln (ggf. per VLAN) und gut ist.

Meine Aussage scheint bei dir wohl falsch angekommen zu sein..
Ich wollte nur damit aussagen, wenn mir hier niemand helfen kann, ich es mit einem anderen aber ähnlichem System versuchen möchte, um einen Bug seiten OPNSense auszuschließen..

Ja das DNS ist richtig konfiguriert.. Es ist jedes Gerät mit FQDN, dem Hostnamen und auch über IP per Ping zu erreichen. Mit einem NSLookup wird auch jeder Host richtig aufgelöst.

Die Clients bekommen den DNS des DC's zugewiesen.. Alles per DHCP jedoch vom DHCP der FW nicht des DC's..

Nun zu meinem Firewallkonstrukt:
Die erste FW sichert die DMZ und das IoT-Netz ab.
Diese habe ich mit absicht getrennt, um die IoT-Geräte noch einmal einem seperatem Netz zu verwalten.
In der DMZ stehen bspw. ein Websever, Mailserver usw..
Dann kommt hinter der DMZ die die zweite FW, die die Client & Server Netze absichert.
Hier stehen z.B. der DC & der Fileserver..

Auch wenn ich nichts dagegen habe, dich im pfsense Forum zu lesen, wird die Antwort zur Frage dort (zumindest von mir) nicht anders ausfallen als Dirk schon geschrieben hat ;) Dein Problem liegt eher in dem einerseits m.E. überkomplizierten Aufbau mit zwei Firewalls (1) und deinem Windows Fileserver (2)

(1) ist kein Problem per se, macht aber auch keinen Sinn, zumindest nicht laut deiner Zeichnung. Dort zweigt an FW1 ein IOT Netz ab und nach unten geht eine DMZ. Diese DMZ ist aber nutzlos, weil nichts in ihr steht. Bei einem zweistufigen Aufbau mit 2 Firewalls wären genau dort bspw. die IOT Geräte und dahinter geschaltet mit zweiter Firewall dann das LAN. Dort (an der 2. Firewall) ist aber die nächste Obskurität: Nochmals zwei getrennte Netze für Server und Clients was prinzipiell natürlich gut und nicht verwerflich ist - macht bei der Architektur aber genausowenig Sinn, das Server Netz hier auf FW2 zu ziehen, da es technisch gesehen auch eher ein DMZ ist.

Einfacher - und bei richtigem Setup auch nicht weniger sicher - wäre alle Netze an einer Firewall abzuspalten. IoT, Server, Clients (LAN). Und damit sind dann auch alle Netze UND REGELN an einem Punkt in der Verwaltung und müssen nicht an 2 Punkten gepflegt werden.

(2) ist wahrscheinlich dein eigentliches Problem. Die Standard MS Windows Firewall ist so eingerichtet, dass das eigene Netz, in welchem DER SERVER steht, immer gern gesehen und freigegeben ist - andere Netze NICHT! Somit werden alle Netze != dem eigenen als "extern" angesehen und per default geblockt. Ich würde daher raten (nur zum TEST!) die Windows Firewall komplett abzuschalten und dann nochmals zu testen (mit der IP des Servers um DNS Probleme wie von Dirk genannt auszuschließen). Geht es und dann mit Namen nicht, haben wir (ggf zusätzlich) ein DNS Problem.

Grüße

Die meisten Sachen sollten auch oben beantwortet sein..
Zudem ist die Windows Firewall auf allen Geräten deaktiviert.


Danke und Grüße

Kann mir denn niemand helfen mit diesem Problem?

Werde es dann wohl mal mit anderen Systemen wie PFSense versuchen.
Vlt funktioniert die Software etwas besser...

[Zuerst einmal eine kleine Erklärung über den Netzwerkaufbau:]

Hallo zusammen,
ich stehe hier vor einem Problem, dass ich nicht so wirklich verstehen will..
Habe auch schon die Firewalls neu aufgesetzt im Konfigurationsfehler auszuschließen.

Zuerst einmal eine kleine Erklärung über den Netzwerkaufbau:

                               ----------
                              | FB6490 |
                               ----------
                                      |
                                      |
                               ----------
                              |    FW    |----IoT
                               ----------
                                     |
                                  DMZ
                                     |
                               ----------
                              |    FW    |
                               ----------
                                 |        |
                                 |        |
                                 |     SERVER
                                 |
                             CLIENT

Die FB6490 ist mein Anschluss zum ISP.
Dann kommt die erste FW hinter der das IoT Netz und die DMZ hängt.
Hinter der DMZ kommt die zweite FW die mein Server, sowie Client Netz absichert.

Nun zu meinen Problemen:
Im Sever Netz steht ein Domain Controller, welcher einwandfrei funktioniert. Jedoch leider nur solange ich mich im selben Netz befinde. Versuche ich bspw. aus dem Client Netz der Domäne beizutreten oder mit einem bereits integriertem Client lediglich ein GPUpdate auszuführen, kann der DC nicht kontaktiert werden.

Ebenfalls im Server Netz setht ein Fileserver, dessen Freigaben aus dem Server Netz super zu erreichen sind, bin ich jedoch in einem anderem Netz, kann ich die freigaben nicht einmal sehen.

Im IoT Netz steht ein XMPP Server, welcher aus dem Internet zu erreichen ist, jedoch aus dem internen Netzen ist eine Verbindung zum Server nicht möglich, außer aus dem IoT Netz selbst.

Seltsam dabei ist, dass die Geräte untereinander Ping und auflösbar sind, sowie per SSH bzw. RDP zu erreichen.

Wie oben bereits erwähnt habe die Firewalls bereits neu installiert, um eingeschlichene Konfigurationsfehler auszuschließen, jedoch ohne Erfolg.
Die Firewalls sind jetzt gerade grundkonfiguriert und mit einer ANY to ANY Rule auf dem CLIENT-, SERVER-, DMZ- & IoT Interface. Das Problem besteht jedoch weiterhin.

Jetzt stelle ich mir schon fast die Frage, ob es an OPNSense liegt oder ob ich einfach nur etwas übersehe..

Danke & Grüße

Ok, danke für die Hilfe.
Es ging mir hauptsächlich darum, dass diese Flags nicht mehr das Protokoll so voll spammen.

Dann werde ich wohl damit leben müssen.

Also damit meine ich nicht die LOG-Datein in denen alles auftaucht, sondern untern dem Bereich "Firewall -> Protokolldatein -> Standardansicht"

Durch den Artikel bin ich dazu gekommen, dass es sich nur um Datenpakete von geschlossenen Verbindungen handelt.
Kannst du mir sagen, wie ich dafür sorgen kann, dass diese nicht mehr in den LOG's auftauchen?

Hey,
ich versuche schon seit einiger Zeit die TCP Flag Blockierungen (TCP:RA, TCP:FA, usw.) aus meinen LOG's zu beseitigen. Jedoch komme ich hier nicht wirklich weiter.
Nach meinen Recherchen mit Hilfe von Google habe schon einmal heraus gefunden, dass dies keine aktiven Verbindungen sind, die hier blockiert werden. Sondern lediglich Datenpakete von bereits geschlossenen Verbindungen verworfen werden. (?)

Leider ist mein Englisch nicht das beste, wodurch ich die gefundenen Texte dazu nur teilweise richtig verstehe..
Sollte es sich wirklich nur um Pakete von bereit geschlossenen Verbindungen handeln, möchte ich diese Einträge gerne aus den LOG's (Firewall -> Protokolldatein -> Standardansicht) entfernen.

Falls es jedoch auch aktive Verbindungen sind, würde ich gerne wissen, warum diese blockiert werden und das Problem beseitigen.

Grüße & Danke
Crystallic