Routing - VIPs

[packetpirat]

Hallo zusammen,

ich beschäftige mich sich seit einigen Tagen mit der OPNsense Firewall.
Aktuell habe ich ein Problem, womit ich mich schwer tue.

Grundlegen ist die Idee ein neues separates Netzwerk mit Segmentierung hinter Opnsense zu spannen und zu migrieren.

Firewall A (172.X.X.X)
Firewall B (10.X.X.X)

Szenario:

Ich habe ein Gerät mit der IP-Adresse 10.20.30.40/24. Das Gerät selbst liegt hinter einer Firewall in einem anderem Netzwerk. (Firewall A)

Die Route von A zu B ist soweit korrekt eingerichtet. Ich sehe eingehenden Traffic auf der Firewall B.
Ich möchte unterschiedliche Firewall Regelwerke für die VIPs haben. Alle VIPs sowie die Verbindung zum Netzwerk A laufen über das gleiche Interface.

Wenn das Gerät mit der IP 10.20.30.40/24 im Netzwerk der FW_A ein Paket sendet, dann erscheint es auf der FW_B nicht auf der richtigen virtuellen Schnittstelle 10.20.30.1/24 sondern kommt über die 172.X rein.

Sofern alles richtig konfiguriert wäre, müsste ein Tracroute folgendes ausspucken:

1  <Gateway des Clients> (10.20.30.1)
2  Firewall A (172.X.X.X)
3  Firewall B physisch (z.B. 172.XX.X.X)
Ziel  Firewall B virtuell (z.B. 10.20.30.1)


Ich hoffe es ist halbwegs verständlich erklärt, was ich möchte und woran es derzeit scheitert.
Vielleicht sehe ich auch den Wald vor lauter Bäumen nicht mehr und habe irgendwo eine Kleinigkeit vergessen.

[Saarbremer]

Ich verstehe deine Beschreibung nicht. Du hast 10.x.x.x Adressen im Bereich der Firewall A und die hat an irgendeinem Interface 172.x.x.x oder routet die das nur?

Kannst du deine IF Adressen mal genauer darlegen bitte, danke.