Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Netzwerkkopplung
« previous
next »
Print
Pages: [
1
]
Author
Topic: Netzwerkkopplung (Read 2851 times)
riccardo.luedicke
Newbie
Posts: 6
Karma: 0
Netzwerkkopplung
«
on:
June 18, 2021, 12:04:50 pm »
Hallo liebe Community,
ich habe folgendes Problem, ich möchte zwei Netzwerke über ein Koppelnetz verbinden.
Koppelnetz= 10.20.30.104/29
externe Firewall= 10.20.30.105
interne Firewall= 10.20.30.110
Beide Firewall können sich erreichen. Firewall Regeln stehen auf ANY ANY damit ich hier erstmal kein Deny bekomme.
externe Netz= 192.168.10.0/24
interne Netz= 192.168.100.0/24
Routen habe ich alle eingetragen, 192.168.100.0/24 auf 10.20.30.110 192.168.10.0/24 auf 10.20.30.105
Nun habe ich das Problem das das interne Netz= 192.168.100.0/24 zwar IP´s aus dem externen Netzwerk 192.168.10.0/24 erreichen kann jedoch das externe Netzwerk 192.168.10.0/24 keine IP´s aus dem internen Netzwerk 192.168.100.0/24.
Könnte es am Unbound DNS liegen? Wenn was muss ich dort einstellen?
Liebe Grüße
Riccardo
Logged
thogru
Full Member
Posts: 130
Karma: 4
Re: Netzwerkkopplung
«
Reply #1 on:
June 18, 2021, 12:32:40 pm »
Moin Riccardo,
Ich habe mir Deine IP-Adressen gelesen und dachte:
Hä?
Mal doch mal ein Bild...
Das zweite Verständnisproblem habe ich mit Deinen Begriffen:
Geht es Dir um Erreichbarkeit:
Hier spielen eigentlich nur IP-Adressen und Datenverkehr eine Rolle. Geht ping von PC-A im Netz A zu PC-B in Netz B. ping geht, aber HTTP nicht.
Dann fragst Du nach unbound.
Hier ist das Thema, wie ein Rechner zu einem Namen eine IP-Adresse findet. Es können mehrere unbound Instanzen (auf jeder Firewall) im Spiel sein.
Mir scheint, Dir ist Dein eigentliches Problem nicht ganz klar.
Um Dir besser helfen zu können, wäre ein Bild (
siehe
) schon hilfreich.
Dann solltest Du exemplarisch verschiedene Testfälle benennen/aufschreiben, die funktionieren sollen/müssen.
Zum Beispiel:
Alle Rechner aus Netz A soll alle Rechner in Netz B erreichen können (alle Ports, nur bestimmte)
Alle Rechner in Netz C dürfen keine Rechner in Netz A erreichen
Alle konfigurierten Namen aus Netz A müssen/dürfen nicht in Netz B bekannt sein
Wie auch immer Du Deine Netze haben willst.
Zusätzlich wäre es erwähnenswert, falls Du OPNvpn oder ähnliches zwischen den Firewalls nutzt. Ich gehe davon aus, dass beide Firewalls OPNsense sind, auch dies ist nur eine Vermutung.
Gruß
Thomas
Logged
Don't forget to [applaud] those offering time and brainpower to help you!
clownschiff
Newbie
Posts: 15
Karma: 1
Re: Netzwerkkopplung
«
Reply #2 on:
June 18, 2021, 12:46:31 pm »
Als Schuss ins Blaue würde ich mir auf deinem WAN Interface ansehen ob die privaten Netze dort noch geblockt sind. Wenn du nur mit privaten Netzen arbeitest müssen die Haken da auf jeden Fall raus. Siehe Screenshot.
Unbound kann ich mir in der beschriebenen Konstellation erst mal nicht als Problem vorstellen. Hier geht es ja erst mal um reinen IP-Traffic ohne DNS.
Logged
riccardo.luedicke
Newbie
Posts: 6
Karma: 0
Re: Netzwerkkopplung
«
Reply #3 on:
June 18, 2021, 01:34:35 pm »
Hallo thogru
mir ist es schwer Screenshots zu veröffentlichen da es sich um Firmennetze handelt und die Verwendeten IP´s nur Dummies sind.
Ich habe an der Opnsense drei Interfaces, WAN, LAN (internen Netz = 192.168.100.0/24) und PartnerLAN (externes Netz= 192.168.10.0/24)
Es gibt zwischen dem LAN (internen Netz = 192.168.100.0/24) und PartnerLAN (externes Netz= 192.168.10.0/24) jeweils eine Firewall die über ein Koppelnetz= 10.20.30.104/29 verbunden sind. Das Interface an meiner Firewall hat die IP 10.20.30.110 und das Interface der PartnerFirewall hat die IP 10.20.30.105.
Die Routen habe ich richtig eingetragen und es geht auch über das richtige Interface. Somit kann ich mit Clients in meinem Netz 192.168.100.0/24 Clients im PartnerLAN 192.168.10.0/24 pingen jedoch können keine Clients aus dem PartnerLAN 192.168.10.0/24 Clients in meinem Netz 192.168.100.0/24 pingen.
Ich weiß nicht wieso, da auch dort alles genau so eingetragen ist.
Liebe Grüße
Riccardo
Logged
riccardo.luedicke
Newbie
Posts: 6
Karma: 0
Re: Netzwerkkopplung
«
Reply #4 on:
June 18, 2021, 01:36:36 pm »
Hallo clownschiff,
dies ist auf den jeweiligen Interfaces deaktiviert .
Liebe Grüße
Riccardo
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Netzwerkkopplung
«
Reply #5 on:
June 18, 2021, 02:54:01 pm »
> Könnte es am Unbound DNS liegen? Wenn was muss ich dort einstellen?
Warum soll es denn am DNS liegen, wenn dein eines Netz nicht aufs andere zugreifen kann? Hast dus nur mit DNS getestet oder mal eine IP direkt versucht? Ping? Traceroute? Beides mal getestet?
Wie ist das WAN konfiguriert auf der .110? Wie sind die Regeln konfiguriert?
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
riccardo.luedicke
Newbie
Posts: 6
Karma: 0
Re: Netzwerkkopplung
«
Reply #6 on:
June 18, 2021, 03:38:23 pm »
Hallo JeGr,
ich komme vom Netz 192.168.100.0/24 überall hin ping egal was, mein Problem ist das die Gegenseite, also vom Netz 192.168.10.0/24 nicht in das LAN 192.168.100.0/24 komme.
Die Regeln habe ich auf Any gesetzt.
Liebe Grüße
Riccardo
Logged
thogru
Full Member
Posts: 130
Karma: 4
Re: Netzwerkkopplung
«
Reply #7 on:
June 18, 2021, 08:04:06 pm »
Hallo Riccardo
Danke für das Bild, jetzt habe ich erst einmal die Übersicht.
Ich gebe den Firewalls in Deinem Bild Namen:
FW1 :
links, IP 10.20.30.105
FW2 :
rechts, IP 10.20.30.110
Damit Pakete vom
Partner LAN
zum
LAN intern
kommen können, müssen folgende Bedingungen erfüllt sein:
Die Rechner im
Partner LAN
müssen wissen zu welcher IP-Adresse Sie Pakete für 192.168.100.0/24 schicken müssen:
Default Route auf FW1
alle PCs bekommen statische Routen
FW1 muss wissen zu welcher IP-Adresse Sie Pakete für 192.168.100.0/24 schicken muss, wahrscheinlich eine statische Route.
FW1 muss den Verkehr erlauben: von Interface für
Partner LAN
zum
Transfernetz
Da FW2 weiß wo Dein
LAN intern
ist, werden keine Routen in FW2 benötigt.
FW2 muss den Verkehr erlauben: vom
Transfernetz
zum
LAN intern
Falls Du nach der Prüfung obiger Liste meinst, alles richtig eingestellt zu haben und es nicht funktioniert ist ein Blick in die Live-Logs Deiner Firewalls sinnvoll. Anbei die Einstellungen, die ich für Ping-Analysen nutze. Filter auf "protoname is ICMP", 100 Einträge, automatisch update an.
Ping ausführen, automatisch Update aus (die 100 Einträge sollten reichen, wenn nicht mehr sammeln damit nicht verloren geht bis Du Auto-Update aus gemacht hast), auswerten.
Gruß
Thomas
Logged
Don't forget to [applaud] those offering time and brainpower to help you!
riccardo.luedicke
Newbie
Posts: 6
Karma: 0
Re: Netzwerkkopplung
«
Reply #8 on:
June 21, 2021, 02:35:59 pm »
Hallo Thomas,
du schreibst "FW2 muss den Verkehr erlauben: vom Transfernetz zum LAN intern"
Reicht dann diese Regel?
Liebe Grüße
Riccardo
Logged
thogru
Full Member
Posts: 130
Karma: 4
Re: Netzwerkkopplung
«
Reply #9 on:
June 21, 2021, 06:13:30 pm »
Hallo Riccardo,
Deine Regel sieht ein bisschen "groß" aus, sie lässt eventuell mehr durch, als Du willst.
Damit sollte der Verkehr im
LAN intern
ankommen.
Falls das nicht klappt, Logs betrachten.
Wann das nicht hilft, von der beteiligten Firewalls an allen betroffen Interfaces (jeweils Eingang und Ausgang) den Traffic mitschneiden und auswerten.
Gruß
Thomas
Logged
Don't forget to [applaud] those offering time and brainpower to help you!
riccardo.luedicke
Newbie
Posts: 6
Karma: 0
Re: Netzwerkkopplung
«
Reply #10 on:
June 22, 2021, 08:13:40 am »
Hallo Thomas,
was ich jetzt in Erfahrung gebracht habe ist das es am NAT liegt, dies wird in der Opnsense anders gemacht als in einer Palo Alto oder Forcepoint. Ich bin davon ausgegangen das dies an der Stelle 1zu1 NAT umgesetzt wird jedoch muss dies an der Stelle des NAT:Port Forwarding hinterlegt werden. Hatte aber noch keine Zeit dies zu testen.
Liebe Grüße
Riccardo
Logged
thogru
Full Member
Posts: 130
Karma: 4
Re: Netzwerkkopplung
«
Reply #11 on:
June 22, 2021, 08:31:05 am »
Moin Riccardo,
Wieso NAT. Das wird doch meines Wissens nur benötigt, wenn Du mit dem Internet kommunizierst und die Pakete, die aus Deinem LAN kommen mit der public IP Deines Routers versehen werden müssen.
Wenn Du zwei Firewall als "Ethernet-Router" betreibst, benötigst Du nach meinem Verständnis kein NAT. Wenn Du meinst NAT nutzen zu müssen, hast Du etwas in Deinem Diagramm nicht erklärt.
Gruß
Thomas
Logged
Don't forget to [applaud] those offering time and brainpower to help you!
lfirewall1243
Hero Member
Posts: 1386
Karma: 45
Re: Netzwerkkopplung
«
Reply #12 on:
June 22, 2021, 08:36:14 am »
Also Portweiterleitungen solltest du für dein Vorhaben eigentlich nicht benötigen.
Logged
(Unoffial Community) OPNsense Telegram Group:
https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Netzwerkkopplung