Rules für Routing funktioniert nicht
-
Hallo Zusammen:)
Aktuell habe ich folgende Konsultation:
Pfsense 2.4.5 verbunden via Trunk am Cisco SGH300-28 Switch. Von dort aus sind die Ports tagged, aktuell nur an 2 PCs.
Die Pfsense ist virtualisiert mit Vmware und auf der vSwitch sind die VLAN IDs eingerichtet.
Das Problem liegt denk ich eher an der Pfsense Einstellung. Subnetting, DHCP, VLANs, Portforwarding funktioniert einwandfrei.Nur meine Routing Rules wollen nicht so wirklich.
Wenn ich z.b vom (VLAN70=192.168.1.0/24) zu (VLAN10=10.10.10.0/24 route geht gar nichts, keine Verbindung wie Ping etc.. Das Routing funktioniert nur wenn ich bei Source any und Destination any auswähle. Bei Wireshark sehe ich das es die Meldung anzeigt: no response found!
Ich habe dann noch einen Rule erstellt mit ICMP echo request erlaubt, doch leider ohne Erfolg.
Was ich explizit brauche ist das V70 nur ins WAN darf und in keine andere Netze, was eben nur mit der Einstellung Source: any und Destination: any funktioniert. Dann kann aber ins jedes Netz.Vielen Dank für eure Hilfe!
Gruss Syosse -
Hallo!
@Syosse said in Rules für Routing funktioniert nicht:
Nur meine Routing Rules wollen nicht so wirklich.
Wenn ich z.b vom (VLAN70=192.168.1.0/24) zu (VLAN10=10.10.10.0/24 route geht gar nichts, keine Verbindung wie Ping etc.Was du da in den Firewall Regeln machst, ist kein Routen, sondern ein Erlauben von Paketen / Zugriffen. Zwischen zwei an der pfSense anliegenden Netzen musst du auch nix routen, der Router weiß selbst, wo die Pakete hingehören.
Schau mal, ob das Zielgerät in 10.10.10.0/24 überhaupt auf Requests vom anderen Subnetz antwortet.
Du kannst dazu das pfSense Ping Tool aus dem Diagnostic Menü verwenden.Und was den Upstream Traffic betrifft, funktioniert vermutlich die Namensauflösung nicht. Wie den Capture zeigt, fragt der Rechner 192.168.1.50 die pfSense zur Namensauflösung ab. Diesen Zugriff musst du auch erlauben, falls du alles andere auf dem Interface auf interne IPs verbietest.
-
Vielen Dank für die Info.
Habe jetzt die 2 Interfaces als Test verwendet:
VLAN20 = 10.10.20.0/24
Vmware = 10.10.20.10VLAN10 = 10.10.10.0/24
PC = 10.10.10.20Ping Tool ist erfolglos,.Vom Netz 10.10.20.0 kann ich nicht auf 10.10.10.20 pingen. Umgekehrt geht es (Siehe unten)
-
@Syosse said in Rules für Routing funktioniert nicht:
Ping Tool ist erfolglos,.Vom Netz 10.10.20.0 kann ich nicht auf 10.10.10.20 pingen.
D.h. genau erstmal, das Zielgerät antwortet nicht.
Dafür fallen mir 2 mögliche Ursachen ein:- das Zielgerät blockiert Pings (und vermutlich auch andere Netzwerkzugriffe) aus vermutlich jedem als dem anderen als dem eigenen Subnetz. Das ist Standardeinstellung auf den Systemfirewalls.
- das Zielgerät verwendet ein anderes Gateway als die pfSense.
-
Der PC hatt das Gateway 10.10.10.1 (die gleiche Pfsense)
Die Vmware hatt das Gateway 10.10.20.1 (die gleiche Pfsense)Und bei beiden interfaces VLAN20 und VLAN10 ist source und destination auf any eingestellt.
Beim Ping habe ich den Rule noch eingetragen:
Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?
-
Wie gesagt, für das in #3 genannte Phänomen gibt es fast nur die in #4 genannten Erklärungen. Wenn die zweite nicht zutrifft, überprüfe die erste.
Eine weitere Möglichkeit wäre noch, dass es durch eine Floating Rule auf Outbound Traffic auf der pfSense blockiert würde. Ich nehme aber nicht an, dass du eine derartige Regel gesetzt hast.@Syosse said in Rules für Routing funktioniert nicht:
Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?
Ich lege mir für solche Zwecke einen RFC1918 Alias an, dem ich eben sämtliche RFC1918 Netze hinzufüge.
In der Pass-Regel am Interface verwende ich diesen als Ziel zusammen mit "invert" angehakt (negiert das Ziel).
Das bewirkt dann, dass Sämtliches erlaubt ist, was nicht RFC1918 Netze als Ziel hat.
Voraussetzung ist natürlich, dass du ausschließlich RFC1918 Netze intern verwendest. Alles andere wäre ohnehin Blödsinn.
Diese Regel passt auch dann noch, wenn du Netzwerke hinzufügst oder welche änderst.Alternativ kannst du auch eine Block-Regel mit Ziel RFC1918 erstellen und hinterher dann alles oder nur bestimmtes erlauben.
Aber wie in meinem ersten Post bereits hingewiesen, du musst den DNS-Zugriff auf die pfSense noch in einer zusätzlichen Regel erlauben, sonst können deine Clients keine Namen auflösen, was ein ähnliches Fehlerbild ergibt, eben dass einfach nichts geht.
Ich mache das meist mit einer Floating-Rule, weil ich (faul bin) diese gleich für mehrere Interfaces aktivieren kann. -
So, ich habe nun eine Regel erstellt für DNS :
Sowie ein Alias mit dem RFC1918 Inhalt:
Funktioniert einwandfrei:) Ich kann nun vom VLAN70 Netz nicht mehr in die andere Netze zugreifen sondern nur noch ins Internet. Umgekehrt kann ich aber z.B vom VLAN10 Netz auf die VLAN70 Netz zugreifen.
Genau so wie ich es wollte, das mit dem Pingen schau ich mir dann noch wieso das nicht klappt, an beiden Geräten ist die Firewall ausgeschaltet sowie eine Regel erstellt für ICMP.
Hier ist noch der Auszug vom Wireshark:
Herzlichen Dank!
Gruss
-
So sähe das bei mir aus, als mögliche Inspiration für deine Konsultation.
-
@Syosse
Das 10.0.0.0er Netz sollte "/8" als Maske haben.Ein falsch konfiguriertes Netzwerkinterface auf einer Seite käme auch noch für das Ping Problem in Frage.
Wenn du das Packet Capture Tool der pfSense zur Analyse einsetzt, und du siehst da die Request-Pakete rausgehen aber keine Antworten, dann antwortet das Gerät eben nicht, jedenfalls nicht Richtung pfSense, da gibt es sonst nichts.
Wenn die pfSense das Standardgateway auf dem Gerät ist und die Netzwerkinterfaces richtig konfiguriert sind, müssen die Response-Pakete zur pfSense zurückkommen, ausgenommen der Request kam von einem anderen Gerät aus dem eigenen Subnetz.Grüße
-
@Syosse said in Rules für Routing funktioniert nicht:
Hier ist noch der Auszug vom Wireshark:
Ich sehe nur einen Ping im Bild und der ging an die 8.8.8.8 und kam zurück?
-
@JeGr
Das Problem hatten wir weiter oben diskutiert: https://forum.netgate.com/topic/157091/rules-f%C3%BCr-routing-funktioniert-nicht/3?_=1601037194518 -
Ich dachte das war der Grund für den Wireshark Auszug. Aber OK :)
-
@JeGr said in Rules für Routing funktioniert nicht:
Ich dachte das war der Grund für den Wireshark Auszug.
Mir erging es ebenso.
-
Vielen Dank für die Info:)
Netz habe ich soeben geändert auf /8. Ich werde das nacher nochmal tracern und so versuchen.
Ops, mein fehler habe ich wohl das falsche Bild hochgeladen, hab den überblick verloren von den ganzen Printscreens xD.