Rules für Routing funktioniert nicht

viragomann

Hallo!

@Syosse said in Rules für Routing funktioniert nicht:

Nur meine Routing Rules wollen nicht so wirklich.
Wenn ich z.b vom (VLAN70=192.168.1.0/24) zu (VLAN10=10.10.10.0/24 route geht gar nichts, keine Verbindung wie Ping etc.

Was du da in den Firewall Regeln machst, ist kein Routen, sondern ein Erlauben von Paketen / Zugriffen. Zwischen zwei an der pfSense anliegenden Netzen musst du auch nix routen, der Router weiß selbst, wo die Pakete hingehören.

Schau mal, ob das Zielgerät in 10.10.10.0/24 überhaupt auf Requests vom anderen Subnetz antwortet.
Du kannst dazu das pfSense Ping Tool aus dem Diagnostic Menü verwenden.

Und was den Upstream Traffic betrifft, funktioniert vermutlich die Namensauflösung nicht. Wie den Capture zeigt, fragt der Rechner 192.168.1.50 die pfSense zur Namensauflösung ab. Diesen Zugriff musst du auch erlauben, falls du alles andere auf dem Interface auf interne IPs verbietest.

Syosse

Vielen Dank für die Info.

Habe jetzt die 2 Interfaces als Test verwendet:

VLAN20 = 10.10.20.0/24
Vmware = 10.10.20.10

VLAN10 = 10.10.10.0/24
PC = 10.10.10.20

Ping Tool ist erfolglos,.Vom Netz 10.10.20.0 kann ich nicht auf 10.10.10.20 pingen. Umgekehrt geht es (Siehe unten)

viragomann

@Syosse said in Rules für Routing funktioniert nicht:

Ping Tool ist erfolglos,.Vom Netz 10.10.20.0 kann ich nicht auf 10.10.10.20 pingen.

D.h. genau erstmal, das Zielgerät antwortet nicht.
Dafür fallen mir 2 mögliche Ursachen ein:

• das Zielgerät blockiert Pings (und vermutlich auch andere Netzwerkzugriffe) aus vermutlich jedem als dem anderen als dem eigenen Subnetz. Das ist Standardeinstellung auf den Systemfirewalls.
• das Zielgerät verwendet ein anderes Gateway als die pfSense.

Syosse

Der PC hatt das Gateway 10.10.10.1 (die gleiche Pfsense)
Die Vmware hatt das Gateway 10.10.20.1 (die gleiche Pfsense)

Und bei beiden interfaces VLAN20 und VLAN10 ist source und destination auf any eingestellt.

Beim Ping habe ich den Rule noch eingetragen:

Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?

viragomann

Wie gesagt, für das in #3 genannte Phänomen gibt es fast nur die in #4 genannten Erklärungen. Wenn die zweite nicht zutrifft, überprüfe die erste.
Eine weitere Möglichkeit wäre noch, dass es durch eine Floating Rule auf Outbound Traffic auf der pfSense blockiert würde. Ich nehme aber nicht an, dass du eine derartige Regel gesetzt hast.

@Syosse said in Rules für Routing funktioniert nicht:

Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?

Ich lege mir für solche Zwecke einen RFC1918 Alias an, dem ich eben sämtliche RFC1918 Netze hinzufüge.
In der Pass-Regel am Interface verwende ich diesen als Ziel zusammen mit "invert" angehakt (negiert das Ziel).
Das bewirkt dann, dass Sämtliches erlaubt ist, was nicht RFC1918 Netze als Ziel hat.
Voraussetzung ist natürlich, dass du ausschließlich RFC1918 Netze intern verwendest. Alles andere wäre ohnehin Blödsinn.
Diese Regel passt auch dann noch, wenn du Netzwerke hinzufügst oder welche änderst.

Alternativ kannst du auch eine Block-Regel mit Ziel RFC1918 erstellen und hinterher dann alles oder nur bestimmtes erlauben.

Aber wie in meinem ersten Post bereits hingewiesen, du musst den DNS-Zugriff auf die pfSense noch in einer zusätzlichen Regel erlauben, sonst können deine Clients keine Namen auflösen, was ein ähnliches Fehlerbild ergibt, eben dass einfach nichts geht.
Ich mache das meist mit einer Floating-Rule, weil ich (faul bin) diese gleich für mehrere Interfaces aktivieren kann.

Syosse

@viragomann

So, ich habe nun eine Regel erstellt für DNS :

Sowie ein Alias mit dem RFC1918 Inhalt:

Funktioniert einwandfrei:) Ich kann nun vom VLAN70 Netz nicht mehr in die andere Netze zugreifen sondern nur noch ins Internet. Umgekehrt kann ich aber z.B vom VLAN10 Netz auf die VLAN70 Netz zugreifen.

Genau so wie ich es wollte, das mit dem Pingen schau ich mir dann noch wieso das nicht klappt, an beiden Geräten ist die Firewall ausgeschaltet sowie eine Regel erstellt für ICMP.

Hier ist noch der Auszug vom Wireshark:

Herzlichen Dank!

Gruss

Bob.Dig

So sähe das bei mir aus, als mögliche Inspiration für deine Konsultation.

viragomann

@Syosse
Das 10.0.0.0er Netz sollte "/8" als Maske haben.

Ein falsch konfiguriertes Netzwerkinterface auf einer Seite käme auch noch für das Ping Problem in Frage.
Wenn du das Packet Capture Tool der pfSense zur Analyse einsetzt, und du siehst da die Request-Pakete rausgehen aber keine Antworten, dann antwortet das Gerät eben nicht, jedenfalls nicht Richtung pfSense, da gibt es sonst nichts.
Wenn die pfSense das Standardgateway auf dem Gerät ist und die Netzwerkinterfaces richtig konfiguriert sind, müssen die Response-Pakete zur pfSense zurückkommen, ausgenommen der Request kam von einem anderen Gerät aus dem eigenen Subnetz.

Grüße

JeGr

@Syosse said in Rules für Routing funktioniert nicht:

Hier ist noch der Auszug vom Wireshark:

Ich sehe nur einen Ping im Bild und der ging an die 8.8.8.8 und kam zurück?

viragomann

@JeGr
Das Problem hatten wir weiter oben diskutiert: https://forum.netgate.com/topic/157091/rules-f%C3%BCr-routing-funktioniert-nicht/3?_=1601037194518

JeGr

Ich dachte das war der Grund für den Wireshark Auszug. Aber OK :)

viragomann

@JeGr said in Rules für Routing funktioniert nicht:

Ich dachte das war der Grund für den Wireshark Auszug.

Mir erging es ebenso.

Syosse

@Bob-Dig

Vielen Dank für die Info:)

@viragomann

Netz habe ich soeben geändert auf /8. Ich werde das nacher nochmal tracern und so versuchen.

@JeGr

Ops, mein fehler habe ich wohl das falsche Bild hochgeladen, hab den überblick verloren von den ganzen Printscreens xD.