"
Ja danke. Dies ist aber nur unserer innere Firewall zwischen DMZ und LAN. Daher ist hier IPS nicht interessant. Manchmal benötige ich aber trotzdem einen Hinweis warum etwas von hier nach da nicht durch kommt. Selbst mit Filter bei "List View" tauchet das Ergebnis nur 1sek auf und ist dann wieder weg weil der mit der Menge nicht klar kommt. Das sind vor allem Ceph und iSCSI Pakete die das fluten.
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#2
German - Deutsch / Re: Promiscuous Mode bei vSphere
January 18, 2023, 07:35:52 AM
Ich habe auch schon probiert eine LAN zu LAN Rule zu erstellen die vorher matcht und nicht loggt, aber aus irgendeinem Grund wird die wie übersprungen. Echt seltsam
#3
German - Deutsch / Re: Promiscuous Mode bei vSphere
January 17, 2023, 11:10:31 AM
Das von OPNsense. Vor Allem matcht die "Default deny / state violation rule" und die "let out anything from firewall host itself" Rule, auch wenn der Traffic überhaupt nicht durch die Firewall durch geht wie bspw LAN zu LAN.
Natürlich kann ich das Log für diese beiden Rules deaktivieren, aber sehe ich praktisch nichts mehr.
Natürlich kann ich das Log für diese beiden Rules deaktivieren, aber sehe ich praktisch nichts mehr.
#4
German - Deutsch / Promiscuous Mode bei vSphere
January 17, 2023, 10:01:00 AM
Hallo,
ich habe einen OPNsense Cluster. Eine der FWs soll als VM auf einem vSphere Cluster laufen. Hier https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten ist auch beschrieben wie das funktionieren sollte. Da ist aber der Promiscuous Mode deaktiviert. Ich kann aber nur dann auf die virtuelle IP zugreifen wenn ich auch den Promiscuous Mode aktiviere. Leider flutet mir das aber mein Log mit unnützen Zeug.
Auf einer anderen VM die auf Proxmox/Qemu läuft habe ich das aber nicht.
Frage daher ist das irgendwie möglich auf vSphere CARP zum laufen zu bekommen ohne das mein Log geflutet wird?
ich habe einen OPNsense Cluster. Eine der FWs soll als VM auf einem vSphere Cluster laufen. Hier https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten ist auch beschrieben wie das funktionieren sollte. Da ist aber der Promiscuous Mode deaktiviert. Ich kann aber nur dann auf die virtuelle IP zugreifen wenn ich auch den Promiscuous Mode aktiviere. Leider flutet mir das aber mein Log mit unnützen Zeug.
Auf einer anderen VM die auf Proxmox/Qemu läuft habe ich das aber nicht.
Frage daher ist das irgendwie möglich auf vSphere CARP zum laufen zu bekommen ohne das mein Log geflutet wird?
#5
German - Deutsch / Re: VPN mit Virtueller IP
July 25, 2022, 10:49:04 AM
Was ist daran nicht zu verstehen? Ich nutze alle 3 VPNs. Das sind folgende:
- OpenVPN
- IPsec
- WireGuard (das nur testweise)
Bei allen 3 VPNs gibt es das gleiche Problem. Nämlich das wenn der Traffic von draußen an die native IP des Interfaces geleitet wird, das VPN funktioniert, leite ich den Traffic an die VIP, so funktioniert es nicht. Ich hoffe das hat jetzt auch der Letzte verstanden ;)
@JeGr
* WAS genau geht dann "nicht" wenn der Traffic von extern auf die .254 geleitet wird?
Die Verbindung kann nicht aufgebaut werden
* Kann die .254 überhaupt sauber angepingt werden von der Firewall davor?
Yes, she can
* Sind überhaupt REGELN definiert, die auch auf die .254 (die VIP) reagieren? Sonst ist es ja kein Wunder, dass nichts reagiert
Da bin ich mir nicht sicher. An Firewallregeln sollte es nicht scheitern. Ob da was weitergeleitet werden muss, da bin ich mir nicht sicher. Also ob da noch eine Weiterleitung von der .254 auf die .253 gemacht werden muss, oder ob die VPNs (ja es sind mehrere) an allen IPs des Interfaces lauschen
* Was für ein VPN ists denn jetzt?
s.o.
* Wofür braucht die eigehende Firewall für die Zustellung nach intern denn NAT?
Bracuht sie normalerweise nicht. Da hatte ich ja nur getestet
Desweiteren, wenn du das HowTo von TK genutzt hast, müsstest du outbound NAT eh schon auf Hybrid oder Manuell haben und eine outgoing NAT auf die VIP konfiguriert haben, da das Bestandteil des Howtos ist. Laut deiner Angabe geht dann aber nix mehr?
Es steht auf Hybrid. Das Hybrid erstellt aber keine Regeln mit NAT über die VIP. Die habe ich für TCP manuell angelegt. Für UDP habe ich eine separate NAT Regel um die aus oder einschalten zu können. Was soll da aber nicht funktionieren?
* Warum? Hat die Firewall davor vielleicht schlicht falsche Regeln?
Die Firewall davor (Fortigate) dürfte keine falsche Regeln haben. Was von den IPs des OPNsense Clusters kommt wird genattet und über ihre WAN IP rausgeschickt.
* Soll die OPNsense ausgehend überhaupt NATten oder soll das die Firewall davor tun?
Die Fortigate muss auf alle Fälle natten da im Internet niemand was mit IPs aus meiner DMZ anfangen kann. Ich bin mir nur nicht sicher ob die OPNsense auch natten muss. Die Fortigate soll ja die UDP-Pakete an .254 schicken. Die Antwort würde aber ohne NAT von .253 kommen. Daher habe ich bei UDP (outgoing) von OPNsense erst mal disablebar gemacht
* Wie ist der Plan der 2stufigen Firewall?
INET-->ext. FW-->DMZ-->OPNsense-->internes Netz
Die VPNs terminieren an der OPNsense, weil die VPNs primär ins interne Netz sollen
Ja, die DMZ wird von der externen FW gemanaged.
Es stimmt schon das ich vermutlich bei der OPNsense zu viel natte. Leider ist das Konstrukt aber produktiv und historisch so gewachsen. Daher never touch a running system. Es funktioniert auch mit 2x NAT, auch wenn man es vermeiden kann.
Vielen Dank schon mal
Nachtrag, das Fettgedruckte hat geholfen. Es lag also an der fehlenden Weiterleitung da ich annahm das die Dienste auch an den VIPs lauschen
- OpenVPN
- IPsec
- WireGuard (das nur testweise)
Bei allen 3 VPNs gibt es das gleiche Problem. Nämlich das wenn der Traffic von draußen an die native IP des Interfaces geleitet wird, das VPN funktioniert, leite ich den Traffic an die VIP, so funktioniert es nicht. Ich hoffe das hat jetzt auch der Letzte verstanden ;)
@JeGr
* WAS genau geht dann "nicht" wenn der Traffic von extern auf die .254 geleitet wird?
Die Verbindung kann nicht aufgebaut werden
* Kann die .254 überhaupt sauber angepingt werden von der Firewall davor?
Yes, she can
* Sind überhaupt REGELN definiert, die auch auf die .254 (die VIP) reagieren? Sonst ist es ja kein Wunder, dass nichts reagiert
Da bin ich mir nicht sicher. An Firewallregeln sollte es nicht scheitern. Ob da was weitergeleitet werden muss, da bin ich mir nicht sicher. Also ob da noch eine Weiterleitung von der .254 auf die .253 gemacht werden muss, oder ob die VPNs (ja es sind mehrere) an allen IPs des Interfaces lauschen
* Was für ein VPN ists denn jetzt?
s.o.
* Wofür braucht die eigehende Firewall für die Zustellung nach intern denn NAT?
Bracuht sie normalerweise nicht. Da hatte ich ja nur getestet
Desweiteren, wenn du das HowTo von TK genutzt hast, müsstest du outbound NAT eh schon auf Hybrid oder Manuell haben und eine outgoing NAT auf die VIP konfiguriert haben, da das Bestandteil des Howtos ist. Laut deiner Angabe geht dann aber nix mehr?
Es steht auf Hybrid. Das Hybrid erstellt aber keine Regeln mit NAT über die VIP. Die habe ich für TCP manuell angelegt. Für UDP habe ich eine separate NAT Regel um die aus oder einschalten zu können. Was soll da aber nicht funktionieren?
* Warum? Hat die Firewall davor vielleicht schlicht falsche Regeln?
Die Firewall davor (Fortigate) dürfte keine falsche Regeln haben. Was von den IPs des OPNsense Clusters kommt wird genattet und über ihre WAN IP rausgeschickt.
* Soll die OPNsense ausgehend überhaupt NATten oder soll das die Firewall davor tun?
Die Fortigate muss auf alle Fälle natten da im Internet niemand was mit IPs aus meiner DMZ anfangen kann. Ich bin mir nur nicht sicher ob die OPNsense auch natten muss. Die Fortigate soll ja die UDP-Pakete an .254 schicken. Die Antwort würde aber ohne NAT von .253 kommen. Daher habe ich bei UDP (outgoing) von OPNsense erst mal disablebar gemacht
* Wie ist der Plan der 2stufigen Firewall?
INET-->ext. FW-->DMZ-->OPNsense-->internes Netz
Die VPNs terminieren an der OPNsense, weil die VPNs primär ins interne Netz sollen
Ja, die DMZ wird von der externen FW gemanaged.
Es stimmt schon das ich vermutlich bei der OPNsense zu viel natte. Leider ist das Konstrukt aber produktiv und historisch so gewachsen. Daher never touch a running system. Es funktioniert auch mit 2x NAT, auch wenn man es vermeiden kann.
Vielen Dank schon mal
Nachtrag, das Fettgedruckte hat geholfen. Es lag also an der fehlenden Weiterleitung da ich annahm das die Dienste auch an den VIPs lauschen
#6
German - Deutsch / Re: VPN mit Virtueller IP
July 22, 2022, 11:07:34 AM
Danke schon mal für die Antwort.
Alle 3 genannten VPNs und alle nutzen UDP.
HA habe ich dies als Vorbild genommen: https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten. Also VIP mit CARP
Internes Interface hat VIP: x.x.x.1 ; fw1: x.x.x.2 fw2: x.x.x.3
DMZ (u.a. Übergabe zur externen FW) VIP: y.y.y.254 ; fw1: y.y.y.253 ; fw2: y.y.y.252 ; externe Firewall: y.y.y.1
Leite ich kommend von der externen FW den Traffic an y.y.y.253 so funktioniert es, an y.y.y.254 passiert nichts. Bei der externen FW habe ich auch schon NAT (incomming eingeschaltet, hilft aber auch nicht).
Upstream Gateway bei der OPNsense ist y.y.y.1
Ich habe auch versucht UDP-Traffic der von "This Firewall" kommt über y.y.y.254 zu natten. Aber auch kein Erfolg. Muss man bei UDP eigentlich die Rückwärtsroute natten, oder geht das auch ohne?
So funktionieren die VIP als Gateway, nur nicht mit VPN
Alle 3 genannten VPNs und alle nutzen UDP.
HA habe ich dies als Vorbild genommen: https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten. Also VIP mit CARP
Internes Interface hat VIP: x.x.x.1 ; fw1: x.x.x.2 fw2: x.x.x.3
DMZ (u.a. Übergabe zur externen FW) VIP: y.y.y.254 ; fw1: y.y.y.253 ; fw2: y.y.y.252 ; externe Firewall: y.y.y.1
Leite ich kommend von der externen FW den Traffic an y.y.y.253 so funktioniert es, an y.y.y.254 passiert nichts. Bei der externen FW habe ich auch schon NAT (incomming eingeschaltet, hilft aber auch nicht).
Upstream Gateway bei der OPNsense ist y.y.y.1
Ich habe auch versucht UDP-Traffic der von "This Firewall" kommt über y.y.y.254 zu natten. Aber auch kein Erfolg. Muss man bei UDP eigentlich die Rückwärtsroute natten, oder geht das auch ohne?
So funktionieren die VIP als Gateway, nur nicht mit VPN
#7
German - Deutsch / VPN mit Virtueller IP
July 22, 2022, 08:55:13 AM
Hallo ,
wir haben in der Firma ein zweistufiges Firewallkonzept. Die innere Firewall ist OPNsense, bzw ein OPNsense Cluster mit HA. Wenn ich ankommende VPN-Verbindungen zur IP meiner Master OPNsense leite, so funktioniert alles prima. Leite ich den Traffic aber zur virtuellen IP, so kommt keine Verbindung zustande. Ich habe auch schon probiert den ausgehenden Traffic über die virtuelle IP zu natten. Leider kein Erfolg. Was mache ich falsch?
Vielen Dank schon mal
wir haben in der Firma ein zweistufiges Firewallkonzept. Die innere Firewall ist OPNsense, bzw ein OPNsense Cluster mit HA. Wenn ich ankommende VPN-Verbindungen zur IP meiner Master OPNsense leite, so funktioniert alles prima. Leite ich den Traffic aber zur virtuellen IP, so kommt keine Verbindung zustande. Ich habe auch schon probiert den ausgehenden Traffic über die virtuelle IP zu natten. Leider kein Erfolg. Was mache ich falsch?
Vielen Dank schon mal
Pages1
