Automatische Outbound-NAT Rules auf dem LAN-Interface, aber woher?

[Maestro86]

Hallo zusammen,

ich habe hier ein ziemlich merkwürziges Problem und sehe den Wald vor lauter Bäumen nicht mehr. Auf meiner Firewall habe ich im Hybrid-Modus automatische Outbound-NAT Regeln auf der LAN-Schnittstelle (siehe Bild im Anhang), aber ich weiß nicht woher. Es gibt mehrere IPSEC VPN-Tunnel (S2S und C2S).

Ich bin über das Phänomen gestolpert, weil ich trotz korrektem Routing und entsprechenden Firewall-Regeln von der Firewall aus nicht unseren Management-Server anpingen kann. Umgekehrt funktioniert es einwandfrei, ich kann vom Management-Server aus die Firewall anpingen und auf die Web-GUI zugreifen.

Meine Vermutung ist, dass diese NAT-Rules die Verbindungen ins LAN stören.

Hat jemand eine Idee?

Vielen Dank schonmal im Voraus.

[Gauss23]

Evtl nach der Installation WAN und LAN Interface etwas unkonventionell ausgetauscht? Eigentlich sollten da keine Outbound NAT Regeln sein.

[Maestro86]

Ja, das Standard-LAN Interface verwende ich zu Management-Zwecken und habe es auch in "Management" umbenannt. Für den eigentlichen Zugang ins LAN habe ich OPT1 verwendet und auch so bezeichnet.

[JeGr]

Und was daran ist jetzt ungewöhnlich, falsch oder absonderlich? Du bist im Hybrid Mode, also gelten alle default-automatic Rules und zusätzlich die Hybriden.

Wenn du das "LAN" als Management nutzt und so benannt hast, was ist dann LAN - oder gibts das überhaupt nicht? Und ist bei einem der Interfaces AUSSER WAN ein Gateway gesetzt? Dann verhält es sich nämlich wie ein WAN und wird dann wohl auch automatisch NAT Regeln erzeugen.

[Maestro86]

Weil es für Probleme sorgt und ich nicht weiß, woher die NAT-Rules für das LAN-Interface kommen. Ich habe den Hybrid-Modus abgeschaltet und die beiden WAN-Rules manuell neu erstellt. Jetzt kann ich auch ganz normal wieder die Server im Management-Netz anpingen.

[JeGr]

> Wenn du das "LAN" als Management nutzt und so benannt hast, was ist dann LAN - oder gibts das überhaupt nicht? Und ist bei einem der Interfaces AUSSER WAN ein Gateway gesetzt? Dann verhält es sich nämlich wie ein WAN und wird dann wohl auch automatisch NAT Regeln erzeugen.

Ohne Antwort auf die Frage oder mehr Infos zum Interface, kann dir keiner sagen, warum die Regeln im NAT automatisch angelegt werden

Manuell konfigurieren ist IMHO meist es besser weil nur das erlaubt ist was auch wirklich sein muss. Im Auto Mode sind mir persönlich immer zu viele Sachen geNATtet, die das gar nicht müssen, was die Fehlersuche manchmal etwas umständlich oder irritierend macht. Er macht natürlich als Start absolut Sinn, wenn man sich aber etwas tiefer eingelesen hat oder generell sich mit Netzwerktopologien und Routing auskennt, würde ich eher manuell konfigurieren

[Maestro86]

Das eigentliche LAN-Interface war das Interface, welches ich rein für das Management genutzt habe. Aktuell habe ich es deaktiviert und nutze OPT1 als quasi LAN-Schnittstelle. Der ursprüngliche Gedanke war, dass die LAN-Schnittstelle rein für das Management der Firewall genutzt werden soll und daher auch nur vom Management-System aus erreichbar war. Der Internetverkehr der Clients soll über OPT1 laufen. So ist es jetzt konfiguriert, nur dass das LAN-Interface aktuell nicht zugewiesen ist. Alle in Richtung LAN zeigenden Interfaces sind übrigens VLAN-Interfaces auf einem 4-Port-LACP-LAG mit Ausnahme der beiden WAN-Interfaces.

Ich habe es jetzt so wie du sagst gemacht und vom hybriden Outbound-NAT Modus auf den manuellen Modus gewechselt und die notwendigen Outbound-Rules für die WAN-Interfaces manuell angelegt. Et voila, jetzt kann ich auch wieder die internen Server anpingen. Ich muss zwar eine explizite Rule für die LAN-Schnittstelle anlegen, die besagt, dass die Firewall selbst ausgehend ins LAN überall mit allen Services hin darf, aber es funktioniert jetzt auch soweit. Muss ich bei dieser Firewallregel noch etwas beachten in Sachen Sicherheit oder ist die so in Ordnung?

[JeGr]

>  Ich muss zwar eine explizite Rule für die LAN-Schnittstelle anlegen, die besagt, dass die Firewall selbst ausgehend ins LAN überall mit allen Services hin darf, aber es funktioniert jetzt auch soweit. Muss ich bei dieser Firewallregel noch etwas beachten in Sachen Sicherheit oder ist die so in Ordnung?

Das ist etwas unverständlich. Was musst du wo definieren, damit was klappt? Hier wäre ein Netzplan/Skizze von Vorteil damit wir nicht aneinander vorbei sprechen.

Zudem nochmal die Frage weil unbeantwortet: Hast du auf LAN oder einem der OPT Interfaces in der IF Konfiguration(!) ein Gateway zugewiesen oder ist das GW NUR auf dem WAN definiert?

[Maestro86]

Ich habe mal eine grobe Skizze angehängt.

Auf dem jetzigen LAN-Interface ist kein Gateway direkt definiert (weder das echte LAN-Interface (ist aktuell inaktiv), noch eines der anderen Nicht-WAN-Interfaces). Auf den WAN-Interfaces sind Gateways über PPPoE definiert. Das Routing ins LAN passiert über statische Routen zum Aruba-Switch. Auch ist auf dem LAN-Interface kein Blocking von private oder bogon networks aktiv.

Damit das Routing aber funktioniert, musste ich eine Outbound-Rule für das jetzige LAN-Interface erstellen, damit die Firewall überhaupt zum Aruba hinkommt. Das ergibt für mich jedoch auch keinerlei Sinn, anders funktioniert es aber nicht.

Als Outbound-NAT-Modus ist jetzt manuell eingestellt, nix automatisch und nix hybrid. Für ausgehende Verbindungen über WAN sind zwei manuelle Regeln (für jede WAN-Verbindung eine) angelegt.

[JeGr]

> Damit das Routing aber funktioniert, musste ich eine Outbound-Rule für das jetzige LAN-Interface erstellen, damit die Firewall überhaupt zum Aruba hinkommt. Das ergibt für mich jedoch auch keinerlei Sinn, anders funktioniert es aber nicht.

Kannst du das bitte mal posten?

[Maestro86]

Der Fehler hat sich mit dem Update auf die Version 20.7.8 von selber erledigt. Jetzt geht das Routing wieder wie gehabt. Ich habe dennoch mal die (jetzt wieder deaktivierte) Regel angehängt.