Merkwürdiges Verhalten der Firewall Regeln

Started by Strubbi, Today at 11:04:45 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 11:04:45 AM
Hallo Gemeinde,

ich habe auf meiner Firewall ein sehr merkwürdiges Verhalten. Pakete von der selben Quelle zum selben Ziel auf dem selben Port werden mal geblockt und dann wieder durchgelassen (siehe Bild). Hat jemand schon mal ein ähnliches Problem gehabt?



Viele Grüße
Strubbi
Today at 11:13:32 AM #1
Asymmetrisches Routing? Gibt es noch einen weiteren Weg von der Quelle zum Ziel und/oder zurück?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 11:23:46 AM #2
Die Vorwärtsroute geht über die Firewall, rückwärts geht es direkt.
Today at 11:25:21 AM #3
Das funktioniert nicht. Das ist eine stateful Firewall. Das muss in beiden Richtungen denselben Weg nehmen.

Was für einen Sinn hat es, in einer Richtung über die Firewall zu routen, wenn eine direkte Verbindung existiert?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 11:37:41 AM #4
Das ist eine komplizierte Geschichte. Ich komme aus der iptables Welt. Wir haben einen openvpn server, der ein "schwebendes" Netz hat (10.130.0.0/20) der Server macht NAT auf die lokalen jeweils zugelassenen adressen in dem Fall 10.130.1.203 -> 192.168.1.203. da die beiden Kollegen, die mit VPN auf den Mailserver zugreifen, im Mailclient die 10.130.1.203 als smtp und imap Server eingetragen haben, muss ich, wenn sie in der Firma sind, diese adressen auch irgendwie umschreiben. Ich habe auf der Firerwall schon eine NAT Regel erzeugt, aber das hat nicht geholfen. Jetzt habe ich dem Mailserver eine zweite IP vergeben (10.130.1.203). Deshalb wird die hinroute über die Firewall gemacht, aber rückwärts (da im gleichen Netz), geht es direkt.
Bei den Linux Clients haben wir einfach ein Script geschrieben, welches die /etc/hosts jeweils anpasst und die Adresse vpn.mailserver.tld auf die richtige IP setzt. Bei Windows fällt mir da nichts gescheites ein.
Wenn du einen anderen Lösungsansatz hast bin ich ganz Ohr.
Today at 11:46:08 AM #5
Warum benutzen die Kollegen nicht immer dieselbe IP-Adresse für den Mailserver? Man kann doch auch vom OpenVPN-Netz aus dort hin routen (macht OPNsense sowieso), eine Firewall-Regel, fertig?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 12:14:53 PM #6
Der OpenVPN Server läuft bei uns nicht auf der Firewall, sondern auf einem eigenen virtuellen Rechner. Wir benutzen Bridging (TAP-Device), die Clients bekommen keine IP im direkten internen Netz zugewiesen, sondern eine Virtuelle, als routen wird das Netz 10.130.0.0/20 gepusht. Dann werden clientabhängige NAT Regeln (--to-destination) erstellt. Mein Chef will, dass das so bleiben soll. Deshalb habe ich jetzt das Problem mit den unterschiedlichen IP's.
Print
Go Up Pages1
User actions