Fehlkonfiguration Interfaces

Started by johnab, June 24, 2020, 12:20:31 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 24, 2020, 12:20:31 PM Last Edit: June 25, 2020, 09:32:38 AM by johnab
Hallo,

mein Netzwerk sieht wie folgt aus.

Hardware Firewall (OPNSense):

Netzwerke:
LAN: 10.0.0.0/16
DMZ: 192.168.0.0/16

Interfaces:

  • WAN_SERVER; Public IP; Upstream Gateway gesetzt; Block Private und Bogon Nw
  • WAN_FO_1; Public IP; Upstream Gateway gesetzt; Block Private und Bogon Nw
  • WAN_FO_2;Public IP; Upstream Gateway gesetzt; Block Private and Bogon Nw
  • LAN; 10.0.0.10; Upstream: Auto Detect;
  • DMZ; 192.168.0.10; Upstream: Auto Detect

zu den WAN-Interfaces:
WAN_FO_1 und WAN_FO_2 sind in einem Tier zusammengefasst. Als Failover Leitung dient das Interface WAN_SERVER. Alle drei WAN Interfaces haben einen öffentliche IP. Für jedes WAN Interface gibt es ein eigenes Upstream Gateway. Alle drei WAN Interfaces sind zusammengefasst in einer Gruppe WAN_GRUPPE. TIER 1 dient somit als Hauptleitung zum Surfen, etc. WAN Server ist meine Failover Leitung falls beide WAN_FO ausfallen

zu dem LAN  Interface:
Es ist zusätzlich noch ein DHCP Server konfiguriert. Range: 10.0.0.1 - 10.0.255.254. Der DNS Server ist eine VM unter Proxmox (IP: 10.0.0.9).

Firewall-Regeln:
WAN_SERVER:
Protocol: IPv4 TCP --- Source * --- Port * --- Destination WAN_SERVER_address --- Port 443
Protocol: IPv4 UDP --- Source * --- Port * --- Destination WAN_SERVER_address --- Port 1194
Diese Regeln dienen für zwei OPenVPN Server Instanzen.

WAN_FO_1:
keine zusätzliche Regeln

WAN_FO_2:
Protocol: IPv4 TCP --- Source * --- Port * --- HA_Proxy_Server_Address --- Port 443 --- Port Forward
Protocol: IPv4 TCP --- Source * --- Port * --- HA_Proxy_Server_Address --- Port 80 --- Port Forward
Diese Regelen dienen für die Portweiterletung and meinen Reverse Proxy Server. Dieser läuft auch direkt auf der Firewall, mittels HA Proxy Plugin.

Server (Proxmox VE 5.4):
Mein Server hängt hinter der Firewall.

NICS:

  • Linux Bridge#1: 10.0.0.3/16; GW: 10.0.0.10; Direkt verbunden mit der LAN NIC von OPNsense Firewall
  • Linux Bridge#2: 192.168.0.3/16; Direkt verbunden mit der DMZ NIC von Opnsense Firewall

Folgendes Problem:

Der Ping von meiner Firewall an den Proxmox Server funktioniert einwandfrei:
ping 10.0.0.3

Wenn ich jedoch von meinem Proxmox Server die Firewall pingen möchte, kommt kein Response.
Ich habe mittels traceroute nachgeforscht, dabei ist mir aufgefallen:
Hop 1: 10.0.0.10
Hop 2: Public IP von WAN_FO_1 oder WAN_FO_2
HOP x. * * *
Danach ist es aus.
Im Live Log von Opnsense wird das Paket durchgelassen, jedoch was mir komisch vorkommt ist, dass die Source IP die Public IP eines WAN Interfaces ist und nicht die lokale IP vom Proxmox Server. Die Windows Clients erreichen die Firewall auch nicht. Deshalb vermute ich, dass irgendetwas beim Routing der pakete nicht passt. Hier seitihr gefragt? (Hat es möglicherweise was mit NAT zu tun? Da die interne Source IP durch einen Public IP ersetzt wird, und somit nach außen geroutet wird...)

Zusatz: Internet Zugang, OpenVPN und Reverse Proxy funktionieren einwandfrei.

Weiß jemand was bei meiner Konfiguration nicht passt?
Danke!




October 14, 2020, 10:47:46 PM #1
Hi!
Firewall: NAT: Outbound

NAT Regeln für WAN erstellt ?

October 14, 2020, 11:11:16 PM #2
Schau Dir mal ,,disable reply-to" in den entsprechenden Firewall Regeln an.
Vielleicht liegt es daran.
,,The S in IoT stands for Security!" :)
Print
Go Up Pages1
User actions