weiteres LAN/DMZ/... Netz : kein routing / kein Ping

Started by bforpc, August 01, 2023, 10:16:04 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 01, 2023, 10:16:04 AM
Hallo,

bin ein wenig am verzweifeln, weil ich offensichtlich irgendeinen Fehler beim Anlegen weiterer Netze mache.
An der FW gibt es LAN (idb0) und WAN (igb1). Nun habe ich einem weiteren Port (igb2) als DMZ (soll er mal werden) angelegt.

* Interface zugewiesen
* IP Adresse gesetzt
* Firewall Regeln (zum Test) "DMZ to any" Rule gesetzt ("LAN to any" existiert bereits)
* den Anschluss der FW (igb2) auf den gleichen Netzwerkswitch wie igb0 (Lan) geklemmt (zum Test).
* Auf einem Proxmox Host, welcher das Netz vom LAN nutzt eine VM mit einer IP aus dem "DMZ" Netz erstellt

Die VM kann die DMZ IP der FW nicht erreichen. Eine zweite VM auf einem anderen Host mit gleicher Konfiguration (bis auf die IP) aber schon. Das heisst: VM im DMZ Netz kann andere Adressen im gleichen Netz erreichen, nicht aber die FW, oder diese scheint sich nicht zuständig zu fühlen.

Wo/wie könnte ich anfangen, das Problem zu identifizieren?

Bfo
August 01, 2023, 12:00:06 PM #1
Präfixlänge in der DMZ-Interface-Konfiguration und in der Test-VM korrekt und übereinstimmend?
In der "DMZ to any"-Regel die Source auf 'DMZ net' gesetzt?

Funktioniert ein Ping in die andere Richtung?
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
August 01, 2023, 12:13:36 PM #2
Hallo,

gerade nochmal überprüft- alles richtig. Ich habe mal ein 2 screenshots angehängt, vielleicht habe ich was übersehen.

Die /etc/nwtwork/interfaces der debian VM sieht so aus:

Code Select

       iface ens18 inet static
address 192.168.132.126/24
gateway 192.168.132.1
dns-nameservers 192.168.132.1


Bfo
August 01, 2023, 12:22:20 PM #3
Dann würde ich als nächstes einen Packet Capture auf dem DMZ-Interface machen und schauen, ob da überhaupt etwas ankommt (Pings oder wenigstens ARP).
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
August 01, 2023, 02:21:35 PM #4 Last Edit: August 01, 2023, 02:25:30 PM by micneu
Bitte mal einen Screenshot von der interface Übersicht (alle).
- nutzt du für die DMZ einen eigenen Switch?
- bitte mal einen grafischen netzwerkplan

Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 01, 2023, 02:27:55 PM #5
Quote from: Maurice on August 01, 2023, 12:22:20 PM
Dann würde ich als nächstes einen Packet Capture auf dem DMZ-Interface machen und schauen, ob da überhaupt etwas ankommt (Pings oder wenigstens ARP).

Das kann ich erst morgen machen. Melde mich dann.

Bfo
August 01, 2023, 02:33:21 PM #6
Quote from: micneu on August 01, 2023, 02:21:35 PM
Bitte mal einen Screenshot von der interface Übersicht (alle).
- nutzt du für die DMZ einen eigenen Switch?
- bitte mal einen grafischen netzwerkplan

Interfaces: Wie ich schrieb: LAN, WAN, DMZ
Netzwerkplan: Für obige Interfaces nicht wirklich interessant. Intranet == LAN, WAN am dedizierten Port der FW und DMZ am dedizierten Port der FW auf den LAN Switch (wie ich in meinem primären Post schrieb). Was ich nicht schrieb, da ich davon ausging, dass es klar sei: *keine* Vlan's.

Eigentlich eine ganz einfache Konfiguration.

Ich werde morgen mal ein packet capture an der FW als auch an der VM machen.

Bfo
August 02, 2023, 11:54:05 AM #7
Beim "packet capture" ist aufgefallen, das *kein* einziges Paket bei der FW an dem entsprechenden Interface ankommt.
Fehler lag an dem Kabel, welches von der FW in den *falschen* Switch ging.
OMG - Asche auf mein Haupt.

Danke an alle, die mir hilfreiche Tipps gegeben haben!!!

Bfo
August 02, 2023, 11:56:04 AM #8
🤣
👍
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages1
User actions