[GELÖST] Komme nicht ins andere Subnetz...

[Emma2]

Hallo.
Ich versuche, mein Netz ein bisschen umzuorganisieren (weil ich meine Hyper-V-Hosts gegen Linux/VirtualBox ablösen will). Im Rahmen der notwendigen vorbereitenden Versuche bin ich gerade auf ein Problem gestoßen:

Ich kann aus meinem "LAN" nicht "richtig" in meine "DMZ" zugreifen.
Konkret erreiche ich diejenigen VMs, die auf dem selben Host wie die opnSense laufen, die anderen aber nicht.

Die Situation ist diese:

- Ich habe einen Virtualisierungshost (Hyper-V), auf dem auch meine opnSense läuft.
- Die opnSense hat u.a. Schnittstellen in mein LAN (192.168.0.0) und meine DMZ (192.168.4.0).
- Auf diesem Host laufen weitere VMs im Netz 192.168.4.0.
- Diese VMs kann ich ALLE aus meinem LAN (192.168.0.117) an-PING-en und per RDP erreichen.

- Ich habe testweise einen weiteren (Hardware-)Rechner im Netz 192.168.4.0, der physisch am selben Netzwerk hängt.
- Dieser Rechner ist von der opnSense aus zu erreichen und auch von den 4er-VMs auf dem Host.
- Was NICHT funktioniert, ist der Zugriff aus meinem LAN (192.168.0.117) auf diesen Rechner.

Es SCHEINT so, als könne ich vom 0er-Netz ins 4er-Netz "durch die opnSense" nur diejenigen Rechner erreichen, die auf dem selben Host laufen wie die opnSense, nicht aber einen anderen Rechner dieses Subnetzes.

Wo muss ich das "nachkonfigurieren"? Ich bin erstaunt, dass ich problemlos vom 0er-Netz ins 4er-Netz zugreifen kann - aber eben nur, solange es auf dem selben Host spielt, nicht ins "echte" Subnetz. Da sich die 4er-Rechner aber ALLE gegenseitig sehen (also VM zu Hardware UND umgekehrt) bin ich versucht, eine Fehlkonfiguration meiner "virtuellen Switches" und der Schnittstellen auf der opnSense auszuschließen.

(Im Firewall-Protokoll finde ich nichts, aber das ist ja wohl auch kein Fw-Problem, sondern eher eines des Routings, oder?)

Danke für eine Erläuterung und einen Tipp!

[micneu]

bitte einen grafischen netzwerkplan, hilft mir dein geschriebenes zu verstehen.

[Emma2]

Schnelle Skizze. Es sind drei Hardware-Rechner beteiligt.

[Emma2]

Vor die Netzwerkadressen denke man sich bitte ein 192.168.

Der Rechner 192.168.4.94 ist "neu" im Netz, zwischen .4.60 und .4.94 läuft alles prima (da ist ja auch die opnSense) nicht beteiligt. Aber ich kann eben auch von 192.168.0.117 auf den 192.168.4.60 zugreifen, nur nicht auf den 192.168.4.94. Seltsam? Oder ein Konfigurationsfehler von mir?

(Vielleicht komme ich ja schon weiter, wenn ich wiederfinde, wo ich den Zugriff vom 0er-Netz auf das 4er-Netz zugelassen habe... dachte eigentlich, dass ich dafür "gar nichts" getan hätte... aber das kann wohl nicht sein, oder?)

Nachtrag, weiß nicht, ob das eventuell wichtig ist:
Die mit "vSwitch" bezeichneten Kästen sind die Hardware-Netzwerkkarten, auf denen das Hyper-V-Protokoll für virtuelle Switche läuft, und die "Karten" 0.15, 4.15 und 4.60 sind "virtuelle" Netzwerkadapter à la Hyper-V, die jeweils virtuell am jeweiligen vSwitch hängen.
Letztlich hängt zwischen "Client" und "Host" sowie "Rechner" und "Host" jeweils ein physischer Switch, aber das ist ja wirklich irrelevant.

[Maurice]

Ich würde den Fehler eher auf dem neuen, nicht erreichbaren Rechner suchen. Sind Netzmaske und Default Gateway dort korrekt konfiguriert? Funktioniert der Internetzugang von diesem Rechner aus?

Vielleicht komme ich ja schon weiter, wenn ich wiederfinde, wo ich den Zugriff vom 0er-Netz auf das 4er-Netz zugelassen habe... dachte eigentlich, dass ich dafür "gar nichts" getan hätte... aber das kann wohl nicht sein, oder?

Doch, durchaus. Die Standard-"allow all"-Regel auf dem LAN-Interface erlaubt Verbindungen in alle anderen Netze.

Interessanter wäre eher, wie Du den Zugriff von der DMZ auf das LAN unterbindest.

[micneu]

ist das 192.168.4.94 ein windows rechner?
ist die windows firewall noch an?

[Emma2]

ist das 192.168.4.94 ein windows rechner?
ist die windows firewall noch an?

4.60 und 4.94 sind Windows-Rechner, die Firewall auf 4.94 ist aus - er ist ja auch von 4.60 aus erreichbar.
0.117 ist Mint und kann 4.60 erreichen, nur eben nicht den 4.94.

[Emma2]

Ich würde den Fehler eher auf dem neuen, nicht erreichbaren Rechner suchen. Sind Netzmaske und Default Gateway dort korrekt konfiguriert? Funktioniert der Internetzugang von diesem Rechner aus?

Er ist nicht "nicht erreichbar", ist von 4.60 sehr wohl erreichbar.

Doch, durchaus. Die Standard-"allow all"-Regel auf dem LAN-Interface erlaubt Verbindungen in alle anderen Netze.
Interessanter wäre eher, wie Du den Zugriff von der DMZ auf das LAN unterbindest.

Vielleicht 'ne doofe Frage, aber wo habe ich das eingestellt? (Ich bin ja kein Experte, habe die opnSense vor zweieinhalb Jahren eingerichtet und seither kaum angefasst.)
Mir fällt gerade ein: muss für die ping-Antwort die Fw in beiden Richtungen offen sein? Nö, oder? ... und 4.60 KANN ich ja erreichen...

[Maurice]

Er ist nicht "nicht erreichbar", ist von 4.60 sehr wohl erreichbar.

Schon klar, innerhalb der DMZ wird ja auch nichts geroutet.
Um auch aus anderen Netzen erreichbar zu sein müssen aber Netzmaske und Default Gateway korrekt konfiguriert sein. Ist ein beliebter Standardfehler, daher die Frage.

Erst wenn das geklärt ist lohnt es sich, einen Blick auf die Firewall-Regeln zu werfen.

[Emma2]

Um auch aus anderen Netzen erreichbar zu sein müssen aber Netzmaske und Default Gateway korrekt konfiguriert sein. Ist ein beliebter Standardfehler, daher die Frage.

Erst wenn das geklärt ist lohnt es sich, einen Blick auf die Firewall-Regeln zu werfen.

Hmm, das war es wohl... aber jetzt brauche ich eine Erklärung (ich lerne ja gern dazu).

Hintergrund, was ich bisher verschwiegen hatte: Der "Rechner" (also der auf 192.168.4.94) ist "eigentlich" im LAN, hat deshalb auch eine Netzwerkkarte mit 192.168.0.94 (und dem Standardgateway 192.168.0.15, meiner opnSense). Weil sich Windows bei der Einrichtung der Adresse 192.168.4.94 beschwert hat, dass man pro Rechner nur EIN Standardgateway haben soll, habe ich das leer gelassen.

(Ich habe zwischendurch auch die Karte 182.168.0.94 deaktiviert, aber dann ging es natürlich gar nicht, weil ja nun gar kein Standardgateway mehr eingestellt war.)

Warum hat es denn bisher nicht funktioniert (mit nur einem Standardgateway 192.168.0.15)? Versucht der Rechner dann, obwohl er auf der 192.168.4.94 ange-PING-t wird, über sein Standardgateway 192.168.0.15 zu antworten? Aber das kommt dann trotzdem nicht an der 192.168.0.117 an? Kann ich mir so zusammenreimen, aber ob das stimmt?

Ja, so scheint es wohl zu sein. Egal, was Windows will, wenn ich auf jeder Karte/Adresse das "dazugehörige" Standardgateway eintrage, geht alles: Ich kann "Rechner" dann aus dem 0er-Netz auf beiden Adressen erfolgreich anpingen...

Danke!

(Ich würde es gern genauer verstehen. Hast Du einen Lesetipp für mich?)
((Da ich auch von DMZ ins LAN komme, habe ich da wohl noch nichts getan. Versäumnis! Wo stelle ich das ein? Oder ist das ein neuer Thread? Ich denke, ja...))

Nochmals vielen Dank! Immer wieder toller Support hier!

[Maurice]

Ich würde es gern genauer verstehen. Hast Du einen Lesetipp für mich?

Irgendwas zu IP-Grundlagen. :)
Falls Du gerne Podcasts hörst: Request for Comments (requestforcomments.de), da werden in den ersten 10 Folgen oder so die Basics ausführlich erklärt.

Da ich auch von DMZ ins LAN komme, habe ich da wohl noch nichts getan. Versäumnis! Wo stelle ich das ein? Oder ist das ein neuer Thread?

Dazu gibt es hier schon mehrere ausführliche Threads. Es müssen entsprechende Firewall-Regeln angelegt werden, es gibt aber nicht die eine Standardlösung. Kommt darauf an.

Nochmals vielen Dank! Immer wieder toller Support hier!

Gerne!