VLANs antworten nicht

Started by MarroniJohny, Today at 01:07:08 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 01:07:08 PM
Hi

Auf meiner produktiv Sense habe ich am Beispiel der DMZ nur folgende Regel drin. Auf dem LAN habe ich eine Regel "Allow all". Heisst aus der DMZ komme ich nicht in RFC_1918 Netze, so wie es sein soll. Greife ich aber aus dem LAN auf die DMZ zu, bekomme ich Antwort. Das wäre so gewünscht.

You cannot view this attachment.


Nun habe ich eine Sense im Lab eingerichtet. Da musste ich mehr Regeln erstellen, um überhaupt ins Internet zu kommen, und um im VLAN pingen zu können. Die !RFC_1918 Regel habe ich auch drin, damit ich ins Internet komme. Aber ich bekomme aus der DMZ der Lab Sense keine Antwort aus dem LAN. Selbst wenn ich die !RFC_1918 Regel deaktiviere.

You cannot view this attachment.

KI meint ich müsste da eine Admin bypass Regel in der DMZ zurück ins LAN erstellen. Nach mir verzapft die da wieder mal Unsinn. Will eigentlich gar nichts von der DMZ ins LAN beregeln, das führt das ganze VLAN Konzept ja ad absurdum. Und bei der produktiv Sense funktioniert es ja auch ohne Regel zurück.

Gruss und danke
OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
Today at 03:56:20 PM #1
Hallo,

hast du der KI auch deinen Aufbau verraten?

Ich kenne ihn übrigens auch nicht. Er könnte aber Licht in die Sache bringen.
Habe aber mitbekommen, dass du neben der produktiven OPNsense nun eine Test-Instanz installiert hast.
Nun, wenn die so ganz parallel an beiden betroffenen Netzen hängt und du nichts getan hast, um das Routing zwischen den Netzen sicherzustellen, wäre das Fehlerbild eine logische Folge.

D.h., wenn die Geräte die Produktiv-FW als Standardgateway nutzen, schicken sie Antwortpakete da hin, auch wenn die Anfragen über die Lab-FW ankommen. Die Folge wäre asymetrisches Routing und die Pakete würden von den Firewalls abgewiesen.
Könnte das hier der Fall sein?
Today at 06:23:53 PM #2
Ja sry!

Also die Lab Sense hängt hinter der Produktiv Sense, welche hinter einem Provider Router hängt. Also dreifach NAT. Ohne physische Switches dazwischen.

Von der Lab Sense (um die geht es hier mit "VLANs antworten nicht") fahre ich getagged mit allen VLANs weiter auf einen ESXi, wo ich einen vSwitch habe, mit den jeweiligen Portgruppen. Adressen werden an allen VLAN korrekt per DHCP bezogen. Es gibt auch keine doppelten Adressbereiche. Haben alle VLANs und physischen Netze eigene /24 Subnetze, die auf den anderen Geräten nicht vor kommen.

Du sagst dies sei ein Fehlerbild. Ist dem so? Dann wäre ich schon mal beruhigt, und würde den Fehler suchen, statt da rückwärts was zu beregeln. So müsste es nach mir der Fall sein, bei der Produktiv Sense ist es ja auch so. Die KI beharrt darauf, dass ich den Rückweg von der DMZ (im Screenshot 57 Labor als Beispiel) nach LAN (welche eine allow all Regel drin hat) auch beregeln muss.

Bei WAN habe ich block private Networks und block bogon Networks drin. Das steht auf DHCP und bezieht auch die Adresse. Könnte es daran liegen?
OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
Today at 06:34:03 PM #3
Ja klar. Wenn du auf dem WAN der Lab Sense private Netze blockst, die aber hinter einer anderen Sense in einem privaten Netz hängt ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 06:37:33 PM #4
Ins Internet sollte es allerdings in diesem Setup gehen, auch ohne der allow-to-any Regel.

DNS musst du allerdings erlauben. Das gilt aber nur, wenn der Host ein lokales DNS verwendet. Eventuell verwendet der DMZ Host einen öffentlichen Server?
Today at 06:49:21 PM #5 Last Edit: Today at 07:12:54 PM by MarroniJohny
Also habe block bogon und private IPs auf WAN deaktiviert. Geht immer noch nicht.

Bei den DNS bin ich nicht sicher. Internet geht an allen VLANs mit der DNS und der Allow !RFC_1918 Regel. Habe wie im anderen Thread erwähnt ja KEA als DHCP eingerichtet. Erst habe ich überall Gateway auf das jeweilige Subnet gesetzt, und bei Nameserver zwei öffentliche rein gemacht. Weil hatte unbound DNS deaktiviert. Dann habe ich das alles abgeändert, und bei Gateway das jeweilige Gateway und bei NS jeweils auch die Gateway Adresse rein gemacht, damit unbound DNS richtig arbeitet.

Das sollte ja aber nichts ausmachen, oder? Ping auf IP hat ja nichts mit DNS zu tun.

Also so sieht das aus bei KEA Subnet:

You cannot view this attachment.

Habe jetzt auch mal autocollect Data rein gemacht. Internet geht immer noch in den VLANs, aber pingen immer noch nicht.
OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
Today at 08:54:50 PM #6
Himmelherrgott ich habe den Fehler. Ich habe ein Windows gepingt. Da hatte ich die Netzwerkerkennung auf öffentlich, und in der Firewall ICMP freigegeben. Aber anscheinend antwortet Ping nur auf Adressen im selben Subnet. Also fix ein Linux aufgesetzt, das antwortet aus dem Labor Subnet. Lag also nicht an der Sense.

Aber danke mal soweit! Hat mich ja nicht x Stunden gekostet.
OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
Print
Go Up Pages1
User actions