Firewall Regeln greifen nicht

Started by bforpc, May 12, 2023, 07:16:28 AM

Previous topic - Next topic
Hallo,

meine Firewall Regeln greifen nicht, ich befürchte, dass irgendeine "Grundeinstellung" falsch ist.
Zum Beispiel habe ich ein openvpn Netz, welches auf 2 LAN Netze zugreifen soll.
Es existiert hierzu in der openvpn Gruppe eine Regel "openvpn to any". Jedoch können die openvpn Clients nur auf das LAN zugreifen, nicht auf das 2. Lan.
Ich könnte das jetzt hier genauer beschreiben, aber die regeln sind nur basics. Der openvpn Server hat in " IPv4 Local Network" natürlich alle Netze drin. Auf einem Client werden die Routen auch für alle Netze gesetzt.
Dennoch kein Zugriff auf andere Netze als das Lan Netz.

Bfo



Was sagt der Firewall live view? Was sagt ein tcpdump auf den jeweiligen Interfaces?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

May 12, 2023, 07:29:37 AM #2 Last Edit: May 12, 2023, 08:23:26 AM by bforpc
Moin,

das kannte ich nich gar nicht ... u.a. steht da sowas beim Zugriff auf das 2. Lan:
Default deny / state violation rule
Wo wird das denn geblockt?
Es gibt die automatisch generierten "Floating" Regeln, aber ausser der letzten "alles verbieten" Regel sehe ich da nichts relevantes. Abgesehen davon, dass es nicht änderbar ist.

Bfo

Dann passt deine allow Regel nicht auf die Pakete und wenn keine andere Regel greift, landet alles am Ende im "default deny".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Danke für deine Antwort.
Im Anhang meine openVPN Reglen. Ich habe dort sogar eine deaktivierte Regel, welches "alles" erlaubt und selbst mit dieser hats nicht geklappt. Bin ratlos.

Das 10.11.128.0/24 ist das VPN Netz.

Bfo

Was sagt das Livelog beim Blocken denn im Detail?
i am not an expert... just trying to help...



Ich glaube da wäre mal ein Netzwerkplan praktisch... mit Angabe welches Netz welche IP Range hat.
i am not an expert... just trying to help...

In deiner OpenVPN-Regel steht als Quelle 10.11.128.0/24 drin. Die Pakete haben aber z.B. 192.168.128.10 als Absender. Da greift diese Regel natürlich nicht - wie auch?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Die 192.168.128.10 scheint auch gar nicht vom OVPNnet zu kommen, sondern vom 2. LAN das nicht erreicht wird (bzw. von dem offensichtlich keine Antworten ankommen).
i am not an expert... just trying to help...

Also zumindest wird im OVPNnet nichts geblockt...
i am not an expert... just trying to help...

Ok, du hast recht, das kann nicht gehen, ist dann aber wohl auch der falsche Screenshot.
Das 10.11.128.0 ist das VPN Netz, welches aber auch auf das 194er Netz zugreifen soll (ok, lassen wir das mal aussen vor).
Ich habe die Ausgabe gefiltert und sehe jetzt folgendes (siehe Screenshot).
Vielleicht noch zur Info:
Urzustand war, das das Lan Netz (192.168.128.0/22) zwar sporadisch auf das LAN194er Netz zugreifen konnte (ca. 50% Paket Verluste). Dann haben wir als workaround jedem Rechner, der in das 194er Netz soll, eine IP aus diesem Netz gegeben (das sollte aber nicht so bleiben).
Seit dem funktioniert die Rechner zu Rechner Verbindung natürlich. Aber dass ist nicht das Ziel gewesen. Vor allem auch wegen den VPN Clienten.

Bfo

Ich bin ja noch für nen Netzwerkplan und dazu Screenshots der Interface und Rules Konfig.
Du hast bei dem Konstrukt irgendwas Übles gebaut das behoben werden muss, der VPN Zugriff dürfte da erstmal zweitrangig sein...
i am not an expert... just trying to help...

Genau so wird es sein.
Wie kann ich denn einen Netzwerkplan erstellen, oder meintest du "handgeschrieben"?

bfo