Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problem mit Policy Based Routing

    Deutsch
    3
    9
    912
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      silvio.ruppe
      last edited by

      Hallo Zusammen,

      mit der unten stehenden Netzwerkstruktur versuche ich folgendes Szenario umzusetzen:

      • Netzwerktraffic aus den Netzen LAN 1 und LAN 2 werden über das WAN-Interface der pfsense prinzipiell and die sophos XG gesendet. Eine direkte Kommunikation zwischen dem Interface LAN 1 und LAN 2 ist nicht erlaubt. Über eine Floating Regel wird eingender Traffic auf LAN 1 und LAN 2 direkt zum sophos XG Gateway gesendet.

      • Die Sophos entscheidet zentral, welche Kommunikation zwischen LAN 1, LAN 2 und Internet erlaubt ist, arbeitet als Application Gateway Firewall

      • Auf der sophos XG wurden statische Routen eingerichtet, die die Pakete wieder zurück zum WAN-Interface der pfSense senden.

      • Eingehender Traffic auf dem WAN-Interface der pfSense ist prinzipiell erlaubt, da die sophos XG die zentralen Firewall-Regeln abbildet.

      • Die pfSense soll die eingehenden Pakete auf dem WAN-Interface an das entsprechende LAN Interface senden.

      Ergebniss:

      • Ping von sophos XG zu einem Rechner in LAN 1 bzw. LAN 2 funktioniert, Ping von Rechner in LAN 1 und LAN 2 zum sophos XG Gateway und pfSense WAN-Interface funktioniert.
      • Ping zwischen LAN 1 und LAN 2 funktioniert nicht. Das Packet Capturing hat ergeben, das die Pakete auf der Rückroute von der sophos XG zu LAN1 oder LAN 2, vom WAN Interface der pfSense zurück zur sophos XG geschickt werden und damit in einen Schleife laufen. Die ICMP-Pakete auf dem Rückweg, sind nicht auf den Interfaces auf LAN 1 oder LAN 2 zu sehen (zu capturen), sondern nur auf dem WAN-Interface.

      Meine Frage. Kann man dieses Szenario überhaupt so umsetzen und was mache ich ggfs. falsch bzw. wo ist mein Denkfehler?

      Vielen Dank für Eure Hilfe.
      Silvio

       WAN / Internet
            :
            :
  .---------+------.
  |  Sophos XG     |  
  '---------+------'
            |
           WAN 
            |
  .---------+-----.   
  |  pfSense      +---- LAN 2 | 10.0.1.1/24
  '---------+-----' 
            |
     LAN 1  | 10.0.0.1/24
      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Nein, das funktioniert so nicht und hat nichts mit pfSense zu tun, das ist einfach nur ein Routing-Problem.

        Wofür benötigst du in diesem Szenario überhaupt die pfSense? Hat die Sophos einfach nur zu wenig Netzwerk Anschlüsse?

        1 Reply Last reply Reply Quote 0
        • S
          silvio.ruppe
          last edited by

          Hallo viragomann,

          vielen Dank für Deinen Hinweis. Das hatte ich schon befürchtet. Die Sophos wird in einer virtuellen Umgebung betrieben, bei der kein VLAN-Trunking genutzt werden kann. Daher stehen max. 10 interfaces an der Sophos zur Verfügung. Durch die Nutzung eines "Backend"-Routers sollten dann bis zu 8 Netze auf ein einzelnes Interface der Sophos gelegt werden. Aktuell sind schon vier Interfaces belegt (Management, WAN, VPN-DMZ, Internet-DMZ). Im "Backend" müssen aber noch über 10 verschiedene Netze an die Sophos angeschlossen werden.
          Kann man das Szenario retten, wenn ich die pfSense mit 2 Netzwerkinterfaces an die Sophos anschließe und ein Transfernetz für die Hinroute und eines für die Rückroute verwende? Dann könnte ich bis zu 7 Backend-Netze über 2 Interfaces der Sophos XG betreiben.

          Vielen Dank,
          Silvio

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Warum ist da kein VLAN möglich? Was ist das für eine Virtualisierung?

            @silvio-ruppe said in Problem mit Policy Based Routing:

            Kann man das Szenario retten, wenn ich die pfSense mit 2 Netzwerkinterfaces an die Sophos anschließe und ein Transfernetz für die Hinroute und eines für die Rückroute verwende? Dann könnte ich bis zu 7 Backend-Netze über 2 Interfaces der Sophos XG betreiben.

            Sehr seltsamer Aufbau.
            Damit könntest du aber wieder nur zwischen bestimmten Netzen Routen, indem du jedem Interface gewisse Netze zuordnest. Es könnten aber nicht alle Netze miteinander kommunizieren.

            Warum überlässt du das Routen und auch das Filtern zwischen den Backend-Netzen nicht der pfSense, wenn schon kein VLAN umsetzbar ist? Dann wäre alles möglich.

            1 Reply Last reply Reply Quote 0
            • S
              silvio.ruppe
              last edited by

              Hintergrund ist, dass es nur eine Firewall geben soll, die alle Regeln zentral verwaltet. Bei Verbindungsproblemen muss ich nur auf einer Firewall analysieren, wo Pakete geblockt werden. Wenn es aber grundsätzlich nicht geht, dann muss ich wohl das prinzipielle Konzept ändern und die Firewallregeln auf mehrere Komponenten verteilen.

              Viele Grüße
              Silvio

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                @silvio-ruppe said in Problem mit Policy Based Routing:

                Wenn es aber grundsätzlich nicht geht, dann muss ich wohl das prinzipielle Konzept ändern und die Firewallregeln auf mehrere Komponenten verteilen.

                Oder auf eine, die ordentlich funktioniert und (größtenteils) alles macht/kann. Scheint in diesem Szenario nicht unbedingt die Sophos zu sein :/

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • S
                  silvio.ruppe
                  last edited by

                  Hallo JeGr,
                  wir kommen leider nicht mit einer einzigen Firewall aus, da wir mehr als 10 Netze haben und die Virtualisierungslösung nur 10 Interfaces zulässt. Insofern ist das weniger eine Problem der FW-Software, sondern es gibt bestimmte Rahmenbedingungen in der IaaS-Umgebung, die ich nicht ändern kann.

                  Viele Grüße
                  Silvio

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    @silvio-ruppe said in Problem mit Policy Based Routing:

                    da wir mehr als 10 Netze haben und die Virtualisierungslösung nur 10 Interfaces zulässt

                    Und das wäre - am Beispiel pfSense - warum ein Problem? Es genügt da doch ein virtuelles 10G Interface als Parent mit entsprechend VLANs drauf? Und ein Hypervisor der keine VLANs kann wäre mir noch nicht untergekommen?

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    S 1 Reply Last reply Reply Quote 0
                    • S
                      silvio.ruppe @JeGr
                      last edited by

                      Unser IaaS Provider hat aus Sicherheitsgründen die Guest-VLAN-Funktion ausgeschaltet, da sonst das Risiko besteht, das wir auch VLANs anderer Kunden an unsere VMs hängen könnten. Ist zumindest die Argumentation des IaaS Providers.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.