DMZ: Kein Zugriff von LAN auf DMZ

[m4rtin]

Hallo,

ich betreibe eine OPNsense auf einem HyperV auf dem auch zahlreiche VMs (Server) laufen, auf die die Clients im LAN zugreifen.
Einige Server sind aus dem Internet erreichbar, diese würde ich gerne in eine DMZ schieben.

Da sowohl OPNsense als auch Server als VMs auf dem HyperV laufen, habe ich mir gedacht, dass ich einfach auf dem Virtuellen Switch vom HyperV ein "internes" Interface erstelle und den DMZ VMs nur dieses Interface zuweise.
Nachdem ich den DHCP Dienst für das OPNsense DMZ Interface aktiviert habe und das LAN Netz unter Firewall -> DMZ gesperrt habe, hat soweit funktioniert dass eine VM, die dieses Interface zugewiesen bekommen hat, Internetzugriff hat, aber keinen Zugriff auf das LAN.

LAN Netz: 192.168.30.0/24
DMZ Netz: 192.168.29.0/24

Aus dem LAN kann ich auf die VM allerdings nicht zugreifen, obwohl die Firewall Regel unter Firewall -> LAN dies nicht einschränkt.
Merkwürdigerweise sehe ich bei einem Ping auch keine Logs im Live View der OPNsense. 

Habt ihr eine Idee woran das liegen kann?

[Monviech (Cedrik)]

Zu deinem Problem:

Hast du schon in der OPNsense Shell (SSH - Option 8 oder über Hyper V Console direkt drauf) einen TCPdump gestartet und dann gepingt?

Mit ifconfig kannst du die Interface Namen sehen, dann diesen Interface Namen in "LAN" einsetzen.

Code Select Expand


tcpdump -i LAN proto ICMP and net 192.168.29.0/24


Die gleichen Befehle kannst du in deiner DMZ verwenden wenn du Linux VMs hast. Einfach tcpdump installieren und auch schauen. Unter Windows kannst du Wireshark verwenden.

Jetzt kannst du den ICMP echo request sehen. Wenn es keine Echo Reply gibt, kannst du mit tcpdump und Wireshark ganz genau überprüfen wo das Paket nicht mehr weitergeht.

---------------------------------------------------------------------------------------

Ein Tip für die Konfiguration, ich verwende OPNsense auch unter HyperV.

Ich habe einen vSwitch "Externes Netzwerk" gemacht, den alle VMs verwenden.
Die Opnsense hat mehrere Netzwerkkarten zugewiesen, die alle auf dem vSwitch "Externes Netzwerk" zugeordnet sind. In den Netzwerkkarten ist die "Identifizierung virtueller LANS aktivieren" beim Hauptnetzwerk (z.B. LAN) deaktiviert, es wird also ungetaggt verwendet. Alle anderen Netzwerkkarten auf VMs haben "Identifizierung virtueller LANS aktivieren" aktiviert, und ein VLAN-ID gesetzt. Also z.b. 10 auf der Netzwerkkarte der OPNsense die für DMZ zuständig ist. Die DMZ VMs haben auf ihren Netzwerkkarten ebenfalls VLAN-ID 10 gesetzt. In den Betriebssystemen der VMs und der OPNsense selber müssen KEINE Vlan Tags gesetzt werden.

Vorteil: Aus dem Hyper-V Server kommt jetzt ein VLAN Trunk heraus, von dem du auf VLAN untagged dein LAN hast, und auf VLAN TAG 10 deine DMZ hast.

[m4rtin]

bei:

Code Select Expand

tcpdump -i hn0 proto ICMP

kommt

Code Select Expand

12:38:03.657435 IP 192.168.30.80 > 192.168.28.101: ICMP echo request, id 1, seq 6077, length 40
12:38:08.528641 IP 192.168.30.80 > 192.168.28.101: ICMP echo request, id 1, seq 6078, length 40


"and net" scheint sich auf das Quell Netzwerk zu beziehen, nicht Zielnetzwerk.

Also der Ping kommt in der OPNSense an, wird dort aber anscheinend nicht weitergeleitet. Statische Routen muss ich aber nicht erstellen oder? Die OPNsense ist ja das Gateway und müsste ja wissen wie es den Traffic routet.

Dein Vorschlag mit den VLANs scheitert leider daran dass ich keine freien physischen Netzwerkinterfaces mehr habe, ist alles durch NIC-Team, primär und sekundär WAN belegt.

[Maurice]

LAN Netz: 192.168.30.0/24
DMZ Netz: 192.168.29.0/24

Code Select Expand

12:38:03.657435 IP 192.168.30.80 > 192.168.28.101: ICMP echo request, id 1, seq 6077, length 40
12:38:08.528641 IP 192.168.30.80 > 192.168.28.101: ICMP echo request, id 1, seq 6078, length 40


Das widerspricht sich.

[m4rtin]

richtig, mein Fehler, das DMZ Netz ist 192.168.28.0/24

[m4rtin]

Ich kann aus der DMZ VM das LAN anpingen wenn ich die Block Regel DMZ -> LAN deaktiviere:

Interface der DMZ

Code Select Expand

2: ethO: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default glen 1000
link/ether 00:15:5d:1e:15:25 brd ff:ff:ff:ff:ff:ff
inet 192.168.28.101/24 metric 100 brd 192.168.28.255 scope global dynamic etho
Valid_lft S637sec preferred_lft S637?sec

Code Select Expand

PING 192.168.30.2 (192.168.30.2) 56(84) bytes of data.
64 bytes from 192.168.30.2: icmp_seq=1 ttl=127 time=1.45 ms "C
--- 192.168.30.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time Oms

[Maurice]

Ich kann aus der DMZ VM das LAN anpingen wenn ich die Block Regel DMZ -> LAN deaktiviere:

Und funktioniert das dann auch anders herum? Ping LAN > DMZ bei deaktivierter Block-Regel?

Kannst Du die DMZ-VM direkt von OPNsense aus pingen? Sowohl mit Source-Adresse DMZ-Interface als auch LAN-Interface?

[m4rtin]

Und funktioniert das dann auch anders herum? Ping LAN > DMZ bei deaktivierter Block-Regel?

Leider nein.

Kannst Du die DMZ-VM direkt von OPNsense aus pingen? Sowohl mit Source-Adresse DMZ-Interface als auch LAN-Interface?

Ja von der OPNsense SSH Session aus kann ich die DMZ VM anpingen.

[Maurice]

Ja von der OPNsense SSH Session aus kann ich die DMZ VM anpingen.

Auch, wenn Du als Source-Adresse explizit die Adresse des LAN-Interface angibst?

[m4rtin]

Ja von der OPNsense SSH Session aus kann ich die DMZ VM anpingen.

Auch, wenn Du als Source-Adresse explizit die Adresse des LAN-Interface angibst?

Ich habe mal den Ping von der GUI (Schnittstellen -> Diagnose -> Ping) gestartet und als Quell IP die IP vom LAN Interface auf der OPNsense angegeben. Auch das scheint geklappt zu haben:

Hostname 192.168.28.101
Quelle 192.168.30.251
Send 114
Received 114
Min 0.242
Max 0.596
Avg  0.367
loss  0.00 %

[Maurice]

Dann fallen mir nur noch Firewall-Regeln auf dem LAN-Interface ein. Gibt es dort welche mit explizit gesetztem Gateway oder sonstigen Spezialitäten?

[m4rtin]

Dann fallen mir nur noch Firewall-Regeln auf dem LAN-Interface ein. Gibt es dort welche mit explizit gesetztem Gateway oder sonstigen Spezialitäten?

Ja, da ich ein WAN Failover eingerichtet habe, habe ich das Gateway gemäß der Anleitung von opnsense.org auf "GatewayGroup" gestellt. In der Gruppe sind beide Gateways drin (System -> Gateways -> Gruppe)

[m4rtin]

Dann fallen mir nur noch Firewall-Regeln auf dem LAN-Interface ein. Gibt es dort welche mit explizit gesetztem Gateway oder sonstigen Spezialitäten?

Ich habe vor die Regel mit der Gateway Group eine Regel Allow LAN -> DMZ ohne Gatewayangabe erstellt. Jetzt geht es  ;D

Vielen Dank!

[m4rtin]

Im Internet habe ich Anleitungen gefunden, in denen eine virtuelle IP als DMZ WAN Interface benutzt wird (mit one-to-one NAT) ist das sinnvoll? Ich mag es ja lieber unkompliziert (keep it simple).

[Maurice]

Ich habe vor die Regel mit der Gateway Group eine Regel Allow LAN -> DMZ ohne Gatewayangabe erstellt. Jetzt geht es  ;D

Genau. Das Gateway deines ISPs weiß mit Zieladresse 192.168.28.101 nämlich wenig anzufangen.

Im Internet habe ich Anleitungen gefunden, in denen eine virtuelle IP als DMZ WAN Interface benutzt wird (mit one-to-one NAT) ist das sinnvoll?

Bezieht sich das auf Internetanschlüsse mit mehreren öffentlichen IPv4-Adressen? Hast Du das denn?