Firewall Regeln greifen nicht

[bforpc]

Hallo,

meine Firewall Regeln greifen nicht, ich befürchte, dass irgendeine "Grundeinstellung" falsch ist.
Zum Beispiel habe ich ein openvpn Netz, welches auf 2 LAN Netze zugreifen soll.
Es existiert hierzu in der openvpn Gruppe eine Regel "openvpn to any". Jedoch können die openvpn Clients nur auf das LAN zugreifen, nicht auf das 2. Lan.
Ich könnte das jetzt hier genauer beschreiben, aber die regeln sind nur basics. Der openvpn Server hat in " IPv4 Local Network" natürlich alle Netze drin. Auf einem Client werden die Routen auch für alle Netze gesetzt.
Dennoch kein Zugriff auf andere Netze als das Lan Netz.

Bfo

[Patrick M. Hausen]

Was sagt der Firewall live view? Was sagt ein tcpdump auf den jeweiligen Interfaces?

[bforpc]

Moin,

das kannte ich nich gar nicht ... u.a. steht da sowas beim Zugriff auf das 2. Lan:
Default deny / state violation rule
Wo wird das denn geblockt?
Es gibt die automatisch generierten "Floating" Regeln, aber ausser der letzten "alles verbieten" Regel sehe ich da nichts relevantes. Abgesehen davon, dass es nicht änderbar ist.

Bfo

[Patrick M. Hausen]

Dann passt deine allow Regel nicht auf die Pakete und wenn keine andere Regel greift, landet alles am Ende im "default deny".

[bforpc]

Danke für deine Antwort.
Im Anhang meine openVPN Reglen. Ich habe dort sogar eine deaktivierte Regel, welches "alles" erlaubt und selbst mit dieser hats nicht geklappt. Bin ratlos.

Das 10.11.128.0/24 ist das VPN Netz.

Bfo

[tiermutter]

Was sagt das Livelog beim Blocken denn im Detail?

[bforpc]

Hier ein Auszug


bfo

[bforpc]

Hier ein Auszug
Das Lan194 soll Zugriff haben ...

bfo

[tiermutter]

Ich glaube da wäre mal ein Netzwerkplan praktisch... mit Angabe welches Netz welche IP Range hat.

[Patrick M. Hausen]

In deiner OpenVPN-Regel steht als Quelle 10.11.128.0/24 drin. Die Pakete haben aber z.B. 192.168.128.10 als Absender. Da greift diese Regel natürlich nicht - wie auch?

[tiermutter]

Die 192.168.128.10 scheint auch gar nicht vom OVPNnet zu kommen, sondern vom 2. LAN das nicht erreicht wird (bzw. von dem offensichtlich keine Antworten ankommen).

[tiermutter]

Also zumindest wird im OVPNnet nichts geblockt...

[bforpc]

Ok, du hast recht, das kann nicht gehen, ist dann aber wohl auch der falsche Screenshot.
Das 10.11.128.0 ist das VPN Netz, welches aber auch auf das 194er Netz zugreifen soll (ok, lassen wir das mal aussen vor).
Ich habe die Ausgabe gefiltert und sehe jetzt folgendes (siehe Screenshot).
Vielleicht noch zur Info:
Urzustand war, das das Lan Netz (192.168.128.0/22) zwar sporadisch auf das LAN194er Netz zugreifen konnte (ca. 50% Paket Verluste). Dann haben wir als workaround jedem Rechner, der in das 194er Netz soll, eine IP aus diesem Netz gegeben (das sollte aber nicht so bleiben).
Seit dem funktioniert die Rechner zu Rechner Verbindung natürlich. Aber dass ist nicht das Ziel gewesen. Vor allem auch wegen den VPN Clienten.

Bfo

[tiermutter]

Ich bin ja noch für nen Netzwerkplan und dazu Screenshots der Interface und Rules Konfig.
Du hast bei dem Konstrukt irgendwas Übles gebaut das behoben werden muss, der VPN Zugriff dürfte da erstmal zweitrangig sein...

[bforpc]

Genau so wird es sein.
Wie kann ich denn einen Netzwerkplan erstellen, oder meintest du "handgeschrieben"?

bfo