Show Posts
1
German - Deutsch / Falsche Ziel MAC-Adresse zur Ziel IP-Adresse
« on: April 30, 2024, 01:41:51 pm »
Hallo zusammen,
wir nutzen eine Opensense VM auf einem ESX-Cluster. Die VM wird dient als Gateway und Firewall für interne Netze und Dienste.
Problem: Es kommt eine RDP-Anfrage von einem unserer internen Netze und möchte eine Verbindung mit einem RDP-Server im öffentlichen Netz herstellen. Die Pakete der RDP Anfrage passieren unsere Opensense ohne Probleme. Das Paket des RDP Servers wird auch ordnungsgemäß zurückgegeben und kommt am WAN-Interface der Opensense an. Wir nutzen ein Outbound NAT, welches die privaten Netze auf die öffentliche IP-Adresse unsere Opensense übersetzt, zwecks Routing ins Netz. Dies funktioniert auch. Nun kommt die Rückantwort am WAN Interface an und wird in die private IP-Adresse der eigentlichen Quelle wieder übersetzt. Danach wird es zum nächsten internen Hop weitergeleitet. Genau hier liegt das Problem. Die IP-Adresse, wo es hingeschickt werden soll stimmt, aber nicht die DST-MAC. Die DST-MAC ist nicht die des Next-Hop intern, sondern die des nächsten Gateways Richtung Internet. Sprich statt intern weiter zu Quelle zurückzufließen landet das Gerät wieder im öffentlichen Netz. Komischerweise ist der Paketfluss bei einem Ping an den RDP-Server erfolgreich und findet den richtigen Rückweg.
Ich hoffe das Problem ist etwas verständlich, bei Bedarf kann ich gern die Paket-Capture nachreichen.
Danke für jede Hilfe!
wir nutzen eine Opensense VM auf einem ESX-Cluster. Die VM wird dient als Gateway und Firewall für interne Netze und Dienste.
Problem: Es kommt eine RDP-Anfrage von einem unserer internen Netze und möchte eine Verbindung mit einem RDP-Server im öffentlichen Netz herstellen. Die Pakete der RDP Anfrage passieren unsere Opensense ohne Probleme. Das Paket des RDP Servers wird auch ordnungsgemäß zurückgegeben und kommt am WAN-Interface der Opensense an. Wir nutzen ein Outbound NAT, welches die privaten Netze auf die öffentliche IP-Adresse unsere Opensense übersetzt, zwecks Routing ins Netz. Dies funktioniert auch. Nun kommt die Rückantwort am WAN Interface an und wird in die private IP-Adresse der eigentlichen Quelle wieder übersetzt. Danach wird es zum nächsten internen Hop weitergeleitet. Genau hier liegt das Problem. Die IP-Adresse, wo es hingeschickt werden soll stimmt, aber nicht die DST-MAC. Die DST-MAC ist nicht die des Next-Hop intern, sondern die des nächsten Gateways Richtung Internet. Sprich statt intern weiter zu Quelle zurückzufließen landet das Gerät wieder im öffentlichen Netz. Komischerweise ist der Paketfluss bei einem Ping an den RDP-Server erfolgreich und findet den richtigen Rückweg.
Ich hoffe das Problem ist etwas verständlich, bei Bedarf kann ich gern die Paket-Capture nachreichen.
Danke für jede Hilfe!