Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Solved] Verständnisproblem DMZ
« previous
next »
Print
Pages: [
1
]
Author
Topic: [Solved] Verständnisproblem DMZ (Read 3101 times)
Topper
Newbie
Posts: 4
Karma: 0
[Solved] Verständnisproblem DMZ
«
on:
March 16, 2019, 10:23:50 am »
Hallo!
Ich habe eine aktuelle Version 19.1.4 auf einer apu4.c4 hinter einer fritz.box. WAN auf igb0 mit public IP, LAN auf igb1 mit IP 192.168.100.0/24 - bislang sind nur die Standardregeln gesetzt, also Allow für LAN IPv4* / LAN Netzwerk / *.
igb2 ist aktiviert (DMZ) mit IP 172.20.20.0/24, zum Test zunächst nur eine Regel Allow IPv4 ICMP / DMZ Netzwerk / * gesetzt.
Nun kann ich ein ping erfolgreich vom DMZ auf Rechner im LAN absetzen, jedoch nicht in die andere Richtung also vom LAN auf Rechner in der DMZ. Ich hatte erwartet das dies mit der Regel "Allow IPv4 any" im LAN bereits möglich sein sollte.
Ich probiere nun schon seit einigen Tagen und frage mich ob ich ein unerwartetes Konfigurationsproblem habe, vielleicht aber auch die grundlegende Vorgehensweise für die Regeln noch nicht verstanden habe.
Für geeignete Hinweise wäre ich dankbar!
P.S.: ansonsten funktioniert alles scheinbar ordnungsgemäß. Es laufen auch schon einige Dienste problemlos (HAProxy, Let's Encrypt, DNS over TLS mit Unbound)
«
Last Edit: March 17, 2019, 04:27:36 pm by Topper
»
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Verständnisproblem DMZ
«
Reply #1 on:
March 16, 2019, 05:48:58 pm »
ICMP musst Du manuell auf beiden Schnittstellen konfigurieren, das geht nicht stateful.
Damit ein
ping
erfolgreich geht, werden zwei ICMP-Typen benötigt.
Auf Deinem Quellinterface: ICMP Echo-request
Auf Deinem Zielinterface: ICMP-Echo-reply
Du hast vermutlich in der DMZ nur ICMP echo-request freigegeben. Deswegen geht der Ping von DMZ ins LAN und da ICMP auch zu IPv4 gehört, geht der ICMP Echo-reply von LAN zu DMZ.
Aber da der ICMP Echo-request in DMZ nicht freigegeben ist, kommt im LAN schon nix an.
Deswegen geht Dein Ping vermutlich nicht.
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
Topper
Newbie
Posts: 4
Karma: 0
Re: Verständnisproblem DMZ
«
Reply #2 on:
March 16, 2019, 08:59:39 pm »
Danke für Deine Antwort, aber das ist nicht das Problem. Standard für ICMP ist all (also echo und reply) eingestellt, wenn man nichts weiter einschränkt. Im LAN ist ja auch IPv4*, also alle Protokolle in der Regel erlaubt.
Auch wenn ich testweise an beiden Interfaces IPv4* allow any to any einstelle, kann ich nur vom DMZ ins LAN pingen, aber nicht andersherum.
Etwas passt nicht...!?
Logged
chemlud
Hero Member
Posts: 2486
Karma: 112
Re: Verständnisproblem DMZ
«
Reply #3 on:
March 16, 2019, 09:20:58 pm »
"bislang sind nur die Standardregeln gesetzt, also Allow für LAN IPv4* / LAN Netzwerk / *."
Was bedeutet das? Screenshot wäre hilfreich...
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Topper
Newbie
Posts: 4
Karma: 0
Re: Verständnisproblem DMZ
«
Reply #4 on:
March 16, 2019, 09:56:59 pm »
Standard, also die Default-Regeln die initial bei Installation angelegt wurden / siehe screenshot (LAN, DMZ). Ich habe lediglich den Port für die web-gui geändert...
Logged
Topper
Newbie
Posts: 4
Karma: 0
[Solved] Verständnisproblem DMZ
«
Reply #5 on:
March 17, 2019, 04:25:27 pm »
Ok, ich habe das Brett vor'm Schädel abgenommen. Der Rechner in der DMZ (Windows) hat das Netzwerk korrekt als öffentlich deklariert, daher muss (natürlich) auch die Windows-Firewall für den ping geöffnet werden.
«
Last Edit: March 17, 2019, 04:28:56 pm by Topper
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Solved] Verständnisproblem DMZ