• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Problem mit Policy Based Routing

Scheduled Pinned Locked Moved Deutsch
9 Posts 3 Posters 926 Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • S
    silvio.ruppe
    last edited by Aug 7, 2018, 3:05 PM

    Hallo Zusammen,

    mit der unten stehenden Netzwerkstruktur versuche ich folgendes Szenario umzusetzen:

    • Netzwerktraffic aus den Netzen LAN 1 und LAN 2 werden über das WAN-Interface der pfsense prinzipiell and die sophos XG gesendet. Eine direkte Kommunikation zwischen dem Interface LAN 1 und LAN 2 ist nicht erlaubt. Über eine Floating Regel wird eingender Traffic auf LAN 1 und LAN 2 direkt zum sophos XG Gateway gesendet.

    • Die Sophos entscheidet zentral, welche Kommunikation zwischen LAN 1, LAN 2 und Internet erlaubt ist, arbeitet als Application Gateway Firewall

    • Auf der sophos XG wurden statische Routen eingerichtet, die die Pakete wieder zurück zum WAN-Interface der pfSense senden.

    • Eingehender Traffic auf dem WAN-Interface der pfSense ist prinzipiell erlaubt, da die sophos XG die zentralen Firewall-Regeln abbildet.

    • Die pfSense soll die eingehenden Pakete auf dem WAN-Interface an das entsprechende LAN Interface senden.

    Ergebniss:

    • Ping von sophos XG zu einem Rechner in LAN 1 bzw. LAN 2 funktioniert, Ping von Rechner in LAN 1 und LAN 2 zum sophos XG Gateway und pfSense WAN-Interface funktioniert.
    • Ping zwischen LAN 1 und LAN 2 funktioniert nicht. Das Packet Capturing hat ergeben, das die Pakete auf der Rückroute von der sophos XG zu LAN1 oder LAN 2, vom WAN Interface der pfSense zurück zur sophos XG geschickt werden und damit in einen Schleife laufen. Die ICMP-Pakete auf dem Rückweg, sind nicht auf den Interfaces auf LAN 1 oder LAN 2 zu sehen (zu capturen), sondern nur auf dem WAN-Interface.

    Meine Frage. Kann man dieses Szenario überhaupt so umsetzen und was mache ich ggfs. falsch bzw. wo ist mein Denkfehler?

    Vielen Dank für Eure Hilfe.
    Silvio

     WAN / Internet
                :
                :
      .---------+------.
      |  Sophos XG     |  
      '---------+------'
                |
               WAN 
                |
      .---------+-----.   
      |  pfSense      +---- LAN 2 | 10.0.1.1/24
      '---------+-----' 
                |
         LAN 1  | 10.0.0.1/24
    
    1 Reply Last reply Reply Quote 0
    • V
      viragomann
      last edited by Aug 7, 2018, 4:51 PM

      Nein, das funktioniert so nicht und hat nichts mit pfSense zu tun, das ist einfach nur ein Routing-Problem.

      Wofür benötigst du in diesem Szenario überhaupt die pfSense? Hat die Sophos einfach nur zu wenig Netzwerk Anschlüsse?

      1 Reply Last reply Reply Quote 0
      • S
        silvio.ruppe
        last edited by Aug 8, 2018, 9:35 AM

        Hallo viragomann,

        vielen Dank für Deinen Hinweis. Das hatte ich schon befürchtet. Die Sophos wird in einer virtuellen Umgebung betrieben, bei der kein VLAN-Trunking genutzt werden kann. Daher stehen max. 10 interfaces an der Sophos zur Verfügung. Durch die Nutzung eines "Backend"-Routers sollten dann bis zu 8 Netze auf ein einzelnes Interface der Sophos gelegt werden. Aktuell sind schon vier Interfaces belegt (Management, WAN, VPN-DMZ, Internet-DMZ). Im "Backend" müssen aber noch über 10 verschiedene Netze an die Sophos angeschlossen werden.
        Kann man das Szenario retten, wenn ich die pfSense mit 2 Netzwerkinterfaces an die Sophos anschließe und ein Transfernetz für die Hinroute und eines für die Rückroute verwende? Dann könnte ich bis zu 7 Backend-Netze über 2 Interfaces der Sophos XG betreiben.

        Vielen Dank,
        Silvio

        1 Reply Last reply Reply Quote 0
        • V
          viragomann
          last edited by Aug 8, 2018, 10:07 AM

          Warum ist da kein VLAN möglich? Was ist das für eine Virtualisierung?

          @silvio-ruppe said in Problem mit Policy Based Routing:

          Kann man das Szenario retten, wenn ich die pfSense mit 2 Netzwerkinterfaces an die Sophos anschließe und ein Transfernetz für die Hinroute und eines für die Rückroute verwende? Dann könnte ich bis zu 7 Backend-Netze über 2 Interfaces der Sophos XG betreiben.

          Sehr seltsamer Aufbau.
          Damit könntest du aber wieder nur zwischen bestimmten Netzen Routen, indem du jedem Interface gewisse Netze zuordnest. Es könnten aber nicht alle Netze miteinander kommunizieren.

          Warum überlässt du das Routen und auch das Filtern zwischen den Backend-Netzen nicht der pfSense, wenn schon kein VLAN umsetzbar ist? Dann wäre alles möglich.

          1 Reply Last reply Reply Quote 0
          • S
            silvio.ruppe
            last edited by Aug 8, 2018, 12:44 PM

            Hintergrund ist, dass es nur eine Firewall geben soll, die alle Regeln zentral verwaltet. Bei Verbindungsproblemen muss ich nur auf einer Firewall analysieren, wo Pakete geblockt werden. Wenn es aber grundsätzlich nicht geht, dann muss ich wohl das prinzipielle Konzept ändern und die Firewallregeln auf mehrere Komponenten verteilen.

            Viele Grüße
            Silvio

            1 Reply Last reply Reply Quote 0
            • J
              JeGr LAYER 8 Moderator
              last edited by Aug 8, 2018, 2:13 PM

              @silvio-ruppe said in Problem mit Policy Based Routing:

              Wenn es aber grundsätzlich nicht geht, dann muss ich wohl das prinzipielle Konzept ändern und die Firewallregeln auf mehrere Komponenten verteilen.

              Oder auf eine, die ordentlich funktioniert und (größtenteils) alles macht/kann. Scheint in diesem Szenario nicht unbedingt die Sophos zu sein :/

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • S
                silvio.ruppe
                last edited by Aug 9, 2018, 9:36 AM

                Hallo JeGr,
                wir kommen leider nicht mit einer einzigen Firewall aus, da wir mehr als 10 Netze haben und die Virtualisierungslösung nur 10 Interfaces zulässt. Insofern ist das weniger eine Problem der FW-Software, sondern es gibt bestimmte Rahmenbedingungen in der IaaS-Umgebung, die ich nicht ändern kann.

                Viele Grüße
                Silvio

                1 Reply Last reply Reply Quote 0
                • J
                  JeGr LAYER 8 Moderator
                  last edited by Aug 9, 2018, 11:50 AM

                  @silvio-ruppe said in Problem mit Policy Based Routing:

                  da wir mehr als 10 Netze haben und die Virtualisierungslösung nur 10 Interfaces zulässt

                  Und das wäre - am Beispiel pfSense - warum ein Problem? Es genügt da doch ein virtuelles 10G Interface als Parent mit entsprechend VLANs drauf? Und ein Hypervisor der keine VLANs kann wäre mir noch nicht untergekommen?

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  S 1 Reply Last reply Aug 10, 2018, 6:47 AM Reply Quote 0
                  • S
                    silvio.ruppe @JeGr
                    last edited by Aug 10, 2018, 6:47 AM

                    Unser IaaS Provider hat aus Sicherheitsgründen die Guest-VLAN-Funktion ausgeschaltet, da sonst das Risiko besteht, das wir auch VLANs anderer Kunden an unsere VMs hängen könnten. Ist zumindest die Argumentation des IaaS Providers.

                    1 Reply Last reply Reply Quote 0
                    9 out of 9
                    • First post
                      9/9
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                      This community forum collects and processes your personal information.
                      consent.not_received