LAN to DMZ

Felix · October 05, 2018, 10:35:24 AM

Hallo

ich habe mehrere Schnittstellen, wenn ich beim LAN kein Gateway eintrage kann ich vom LAN in die DMZ kommen, wenn ich aber dem LAN einen Gateway setzte , greifen die Regeln nicht mehr, er probiert dann die private ip über den Gateway aufzulösen. Von der Firewall an sich geht alles anzupingen (ssh ,shell)

Wo ist mein Denkfehler

OPNSENSE----10.20.20.1 DMZ Schnittstelle --------DMZ------Server 10.20.20.2
|
|
LAN Schnittstelle --192.168.2.1
|
Clients

in der Firewall sind die Reegeln icmp und rdp Richtung dmz eingestellt.

JeGr · October 08, 2018, 10:51:01 AM

> Wo ist mein Denkfehler
> wenn ich aber dem LAN einen Gateway setzte

Warum willst du überhaupt auf dem LAN ein Gateway setzen? Ich sehe in deiner Skizze überhaupt keinen Grund dazu.

Felix · October 08, 2018, 11:55:15 AM

Danke erst mal für deine Antwort.Ich hatte das Szenario so gesetzt wie es intern sein soll.

wenn ich das LAn aber an meinen wan (gateway) binde ,dann will er nicht mehr in die dmz.

Wan
|
opnsense ---- DMZ
|
|
LAN

Das Gateway für die LAn schnittsetelle soll dann das wan werden (internet). Aber und hier ist mein Problem, OPNSENSE kennt doch die LAN und die DMZ schnittstelle und müsste die interne DMZ ip doch kennen und nicht an das GAteway weiterleiten. Oder denke ich da falsch?

JeGr · October 08, 2018, 01:07:04 PM

Sorry aber das ist gerade sowas von konfus, dass ich schlicht nicht verstehe, was du eigentlich versuchst ;)

Felix · October 08, 2018, 01:40:24 PM

kein problem, dann ordne ich das noch einmal.

Das Netzwerk vom Lan geht über die WAN schnittstelle ins internet , also ist das der LAN GAteway korrekt?
Wenn keine WAN Schnittstelle aktiv ist , geht das routing vom LAN zur DMZ , wenn aber die WAN Schnittstelle aktiv ist , geht das routing internen LAN zur DMZ nicht, da er über das Gateway der WAn schnittstelle geht.

JeGr · October 08, 2018, 05:33:05 PM

> also ist das der LAN GAteway korrekt?

Nein, das LAN braucht kein Gateway. Das WAN hat das Gateway (ins Internet) und das ist auch das Default Gateway an das alles geschickt wird, was nicht lokal zuordnbar ist. Somit kein Grund am LAN Interface ein Gateway zu definieren.

> Wenn keine WAN Schnittstelle aktiv ist , geht das routing vom LAN zur DMZ , wenn aber die WAN Schnittstelle aktiv ist , geht das routing internen LAN zur DMZ nicht, da er über das Gateway der WAn schnittstelle geht.

Der Abschnitt macht irgendwie keinen wirklichen Sinn. Entweder das DMZ Netz ist lokal an der Sense erreichbar - oder nicht. Der IP Bereich der dort aufliegt muss egal wann funktionieren, ob WAN da ist oder nicht, völlig egal. Aber auch auf dem DMZ Interface (wie auch dem LAN) sollte hier KEIN Gateway definiert sein. Wie gesagt nur Upstream Interfaces (WANs) bekommen ein Gateway definiert, es sei denn du weißt genau was du tust und warum :)

Alles andere sind im Normalfall lediglich Firewall Regeln die entsprechend passen müssen.

Gruß

Felix · October 11, 2018, 11:13:12 AM

Korrekt und da war mein Fehler , habe es bereinigt und es geht jetzt ,wie es sollte.

Danke

JeGr · October 11, 2018, 02:12:42 PM

Bei was denn genau?

Felix · October 11, 2018, 04:06:04 PM

Ich hatte ein gateway beim lan eingetragen gehabt und dadurch das ganze Routing versaut, weil ich das in der Routing Tabelle nicht so erkannt hatte.

JeGr · October 12, 2018, 01:45:29 PM

Aah danke, das war die Vermutung aber gut zu wissen :)

LAN to DMZ

Felix

October 05, 2018, 10:35:24 AM Last Edit: October 05, 2018, 11:57:27 AM by Felix

JeGr

October 08, 2018, 10:51:01 AM #1

Felix

October 08, 2018, 11:55:15 AM #2

JeGr

October 08, 2018, 01:07:04 PM #3

Felix

October 08, 2018, 01:40:24 PM #4

JeGr

October 08, 2018, 05:33:05 PM #5

Felix

October 11, 2018, 11:13:12 AM #6

JeGr

October 11, 2018, 02:12:42 PM #7

Felix

October 11, 2018, 04:06:04 PM #8

JeGr

October 12, 2018, 01:45:29 PM #9