Problem mit Policy Based Routing

silvio.ruppe · Aug 7, 2018, 3:05 PM

Hallo Zusammen,

mit der unten stehenden Netzwerkstruktur versuche ich folgendes Szenario umzusetzen:

Netzwerktraffic aus den Netzen LAN 1 und LAN 2 werden über das WAN-Interface der pfsense prinzipiell and die sophos XG gesendet. Eine direkte Kommunikation zwischen dem Interface LAN 1 und LAN 2 ist nicht erlaubt. Über eine Floating Regel wird eingender Traffic auf LAN 1 und LAN 2 direkt zum sophos XG Gateway gesendet.
Die Sophos entscheidet zentral, welche Kommunikation zwischen LAN 1, LAN 2 und Internet erlaubt ist, arbeitet als Application Gateway Firewall
Auf der sophos XG wurden statische Routen eingerichtet, die die Pakete wieder zurück zum WAN-Interface der pfSense senden.
Eingehender Traffic auf dem WAN-Interface der pfSense ist prinzipiell erlaubt, da die sophos XG die zentralen Firewall-Regeln abbildet.
Die pfSense soll die eingehenden Pakete auf dem WAN-Interface an das entsprechende LAN Interface senden.

Ergebniss:

Ping von sophos XG zu einem Rechner in LAN 1 bzw. LAN 2 funktioniert, Ping von Rechner in LAN 1 und LAN 2 zum sophos XG Gateway und pfSense WAN-Interface funktioniert.
Ping zwischen LAN 1 und LAN 2 funktioniert nicht. Das Packet Capturing hat ergeben, das die Pakete auf der Rückroute von der sophos XG zu LAN1 oder LAN 2, vom WAN Interface der pfSense zurück zur sophos XG geschickt werden und damit in einen Schleife laufen. Die ICMP-Pakete auf dem Rückweg, sind nicht auf den Interfaces auf LAN 1 oder LAN 2 zu sehen (zu capturen), sondern nur auf dem WAN-Interface.

Meine Frage. Kann man dieses Szenario überhaupt so umsetzen und was mache ich ggfs. falsch bzw. wo ist mein Denkfehler?

Vielen Dank für Eure Hilfe.
Silvio

 WAN / Internet
            :
            :
  .---------+------.
  |  Sophos XG     |  
  '---------+------'
            |
           WAN 
            |
  .---------+-----.   
  |  pfSense      +---- LAN 2 | 10.0.1.1/24
  '---------+-----' 
            |
     LAN 1  | 10.0.0.1/24

viragomann · Aug 7, 2018, 4:51 PM

Nein, das funktioniert so nicht und hat nichts mit pfSense zu tun, das ist einfach nur ein Routing-Problem.

Wofür benötigst du in diesem Szenario überhaupt die pfSense? Hat die Sophos einfach nur zu wenig Netzwerk Anschlüsse?

silvio.ruppe · Aug 8, 2018, 9:35 AM

Hallo viragomann,

vielen Dank für Deinen Hinweis. Das hatte ich schon befürchtet. Die Sophos wird in einer virtuellen Umgebung betrieben, bei der kein VLAN-Trunking genutzt werden kann. Daher stehen max. 10 interfaces an der Sophos zur Verfügung. Durch die Nutzung eines "Backend"-Routers sollten dann bis zu 8 Netze auf ein einzelnes Interface der Sophos gelegt werden. Aktuell sind schon vier Interfaces belegt (Management, WAN, VPN-DMZ, Internet-DMZ). Im "Backend" müssen aber noch über 10 verschiedene Netze an die Sophos angeschlossen werden.
Kann man das Szenario retten, wenn ich die pfSense mit 2 Netzwerkinterfaces an die Sophos anschließe und ein Transfernetz für die Hinroute und eines für die Rückroute verwende? Dann könnte ich bis zu 7 Backend-Netze über 2 Interfaces der Sophos XG betreiben.

Vielen Dank,
Silvio

viragomann · Aug 8, 2018, 10:07 AM

Warum ist da kein VLAN möglich? Was ist das für eine Virtualisierung?

@silvio-ruppe said in Problem mit Policy Based Routing:

Kann man das Szenario retten, wenn ich die pfSense mit 2 Netzwerkinterfaces an die Sophos anschließe und ein Transfernetz für die Hinroute und eines für die Rückroute verwende? Dann könnte ich bis zu 7 Backend-Netze über 2 Interfaces der Sophos XG betreiben.

Sehr seltsamer Aufbau.
Damit könntest du aber wieder nur zwischen bestimmten Netzen Routen, indem du jedem Interface gewisse Netze zuordnest. Es könnten aber nicht alle Netze miteinander kommunizieren.

Warum überlässt du das Routen und auch das Filtern zwischen den Backend-Netzen nicht der pfSense, wenn schon kein VLAN umsetzbar ist? Dann wäre alles möglich.

silvio.ruppe · Aug 8, 2018, 12:44 PM

Hintergrund ist, dass es nur eine Firewall geben soll, die alle Regeln zentral verwaltet. Bei Verbindungsproblemen muss ich nur auf einer Firewall analysieren, wo Pakete geblockt werden. Wenn es aber grundsätzlich nicht geht, dann muss ich wohl das prinzipielle Konzept ändern und die Firewallregeln auf mehrere Komponenten verteilen.

Viele Grüße
Silvio

JeGr · Aug 8, 2018, 2:13 PM

@silvio-ruppe said in Problem mit Policy Based Routing:

Wenn es aber grundsätzlich nicht geht, dann muss ich wohl das prinzipielle Konzept ändern und die Firewallregeln auf mehrere Komponenten verteilen.

Oder auf eine, die ordentlich funktioniert und (größtenteils) alles macht/kann. Scheint in diesem Szenario nicht unbedingt die Sophos zu sein :/

silvio.ruppe · Aug 9, 2018, 9:36 AM

Hallo JeGr,
wir kommen leider nicht mit einer einzigen Firewall aus, da wir mehr als 10 Netze haben und die Virtualisierungslösung nur 10 Interfaces zulässt. Insofern ist das weniger eine Problem der FW-Software, sondern es gibt bestimmte Rahmenbedingungen in der IaaS-Umgebung, die ich nicht ändern kann.

Viele Grüße
Silvio

JeGr · Aug 9, 2018, 11:50 AM

@silvio-ruppe said in Problem mit Policy Based Routing:

da wir mehr als 10 Netze haben und die Virtualisierungslösung nur 10 Interfaces zulässt

Und das wäre - am Beispiel pfSense - warum ein Problem? Es genügt da doch ein virtuelles 10G Interface als Parent mit entsprechend VLANs drauf? Und ein Hypervisor der keine VLANs kann wäre mir noch nicht untergekommen?

silvio.ruppe · Aug 10, 2018, 6:47 AM

Unser IaaS Provider hat aus Sicherheitsgründen die Guest-VLAN-Funktion ausgeschaltet, da sonst das Risiko besteht, das wir auch VLANs anderer Kunden an unsere VMs hängen könnten. Ist zumindest die Argumentation des IaaS Providers.