• Hallo zusammen,

    wir haben folgendes Routing Problem, vlt hat ja jemand eine Idee.

    Wir haben einen IPSec Tunnel von Standort A nach Standort B.

    Wir wollen auf ein Netz zugreifen welches hinter einer weiteren Firewall im Standort B liegt.

    Also haben wir das Netz als static route eingegeben und als Gateway die Firewall hinter Standort B.

    Standort A - telnet 10.x.x.1 -> Standort B -> static route to 10.x.x.1 via Firewall C.

    Da Standort B und somit es keinen Phase2 Eintrag für das 10.x.x.1 Netz gibt haben wir einfach einen Port Forward eingerichtet dorthin, jedoch sehe ich keinen traffic über das Gateway interface raus gehen.

    Wo habe ich den denk Fehler ?
    Ich sehe traffic auf Standort B auf enc0 reingehen. Jedoch nicht im LAN interface rausgehen wo die Firewall C dran hängt.

    lg
    Chris

  • LAYER 8 Moderator

    @christoph-strauch said in IPSec Routing Problem:

    Da Standort B und somit es keinen Phase2 Eintrag für das 10.x.x.1 Netz gibt haben wir einfach einen Port Forward eingerichtet dorthin, jedoch sehe ich keinen traffic über das Gateway interface raus gehen.

    Und warum gibt es keinen? Was hindert euch daran einen anzulegen? Wenn ihr ein Netz braucht, was auf Seite B liegt, selbst wenn es da hinter einem weiteren Router liegt, dann braucht ihr das Routing in Phase 2 sonst wirds nicht hinhauen. Einfach eine zweite Phase 2 mit dem zusätzlichen Netz auf beiden Seiten anlegen und gut, dann sollte das sauber hinhauen. Seite B Firewall muss natürlich die erwähnte statische Route für Netz 2 zu Router C haben.

    Grüße


  • @jegr vielen lieben dank für deine Antwort.

    Die Idee hatten wir am Anfang auch.

    Habe gerade nochmal das Netz in die Phase 2 auf beiden Seiten eingetragen.

    Ich kann jetzt direkt die IP von Seite A ansprechen. Der Traffic kommt auch auf Seite B an.

    Jedoch die Weiterleitung nach Firewall C geht weiterhin nicht.

    Weder wird hier irgendein Traffic geblockt - noch sehe ich ausgehenden Traffic auf dem LAN interface.

    Ggf noch einen Tipp für mich ?

    lg
    Chris


  • @christoph-strauch
    Falls die Firewall von B nicht das Default Gateway auf dem C-Router ist, braucht es natürlich auch noch eine statische Route für das Netz hinter A, die auch B zeigt.


  • @viragomann danke für deine Antwort.

    Genau das haben wir. Wir haben also das Netz was wir erreichen wollen in der Phase2 im IPSec konfiguriert.

    Weiterhin haben wir eine statische Route angelegt auf den C Router über das LAN interface.

    Der Traffic kommt auf dem enc0 an. Soweit super, ich würde aber erwarten das die Firewall das danach ans LAN weiter schickt, aber dort ist gähnende leere :-(


  • @christoph-strauch
    Ist das Monitoring für das Gateway Router C aktiviert? Falls ja, wird es auch als Up angezeigt?

    @christoph-strauch said in IPSec Routing Problem:

    Der Traffic kommt auf dem enc0 an. Soweit super, ich würde aber erwarten das die Firewall das danach ans LAN weiter schickt, aber dort ist gähnende leere :-(

    Ich nehme an, das hast du mit Packet Capture auf der Firewall B festgestellt. Kannst du mal prüfen, ob die Pakete am Standardgateway rausgehen? Sie hätten da aber vermutlich die Interface-IP als Quelle, weil NAT gemacht wird.

    Am IPSec Interface ist der Zugriff von A nach C auch erlaubt?


  • @viragomann
    Wir haben das Monitoring auf dem Router C deaktiviert da die Firewall den Router nicht pingen kann. Daher würde er sonst als Offline angezeigt. Das war auch eine meine Vermutungen, daher hatte ich es abgeschaltet.

    Nein der Traffic geht auch nicht über das WAN raus. ( Default Gateway).

    Ich sehe im Filter Log zumindest nichts mehr was Blockiert - also gehe ich davon aus das der Zugriff erlaubt ist.

    Kann das denn mit dem Gateway zusammen hängen das die weitere Firewall nicht pingbar ist ? Sollte doch nicht oder ?

    ps. Wünsche euch auf jedenfall schonmal wunderschöne Feiertage.


  • @christoph-strauch said in IPSec Routing Problem:

    Wir haben das Monitoring auf dem Router C deaktiviert da die Firewall den Router nicht pingen kann.

    Aber die Router liegt doch direkt im LAN Subnetz von B, oder?

    @christoph-strauch
    Das Gateway-Monitoring zu deaktivieren dürfte kein Problem darstellen. Ich habe hier auch ein OpenVPN Gateway, wo es deaktiviert ist, das Routing funktioniert dennoch problemlos.
    Es könnte nur bei aktiviertem Monitoring sein, dass bei Gateway Down das Default-Gateway verwendet wird. Allerdings betrifft das wohl eher Policy Routing mit Standardeinstellungen denn statisches Routing.

    Hast du auch die Routing-Tabelle auch B überprüft, ob hier die Route für das Netz hinter C mit dem Gateway richtig eingetragen ist?

    @christoph-strauch said in IPSec Routing Problem:

    Ich sehe im Filter Log zumindest nichts mehr was Blockiert - also gehe ich davon aus das der Zugriff erlaubt ist.

    Könnte ja sein, dass das Logging der Default Deny-Rule deaktiviert ist, dann würde sich eben nichts im Log zeigen. Daher würde ich die Regeln überprüfen.

    Also wenn die Phase 2 für A und C richtig eingerichtet ist auf beiden Endpunkten, die Firewalls auf B und C den Zugriff erlauben, die Route auf B richtig gesetzt und der Router C im LAN von B ist und siche die verbundenen Subnetze nicht überlappen, fällt mir leider auch nichts Weiteres mehr ein.

    Wünsche auch schöne Feiertage!

  • LAYER 8 Moderator

    @christoph-strauch said in IPSec Routing Problem:

    Weiterhin haben wir eine statische Route angelegt auf den C Router über das LAN interface.

    Nochmals nachgefragt weil die Frage von @viragomann nicht beantwortet wurde:

    Falls die Firewall von B nicht das Default Gateway auf dem C-Router ist, braucht es natürlich auch noch eine statische Route für das Netz hinter A, die auch B zeigt.

    @christoph-strauch du hast nur was geschrieben davon, dass ihr auf der Firewall von B eine Route AUF C erstellt habt. Aber was ist mit dem Router C? Hat DER denn die Firewall von B als Default GW?

    Das ist ja leicht festzustellen: Wenn wie du schreibst Traffic AN das Netz C auf Firewall B zu sehen ist auf dem ENC0 Interface ANkommend (erster Check) und dann auch auf dem LAN Richtung Router C ABgehend (zweiter Check mit capture) - wenn also der komplette Hinweg bis zum Router C sicher steht und du einen Ping oder bspw. ein HTTP(S) hinschickst und es kommt NICHTS zurück, dann ist das ziemlich sicher der Router C der Murks macht.

    Entweder:

    • Hat Router C NICHT Firewall B als Default GW und sendet daher nichts für IPs aus Range A zurück an B
    • Oder C hat einen Filter drin, dass nichts, was nicht Netz B ist rein darf (damit blockt er alles aus A)
    • Oder Router C hat ggf. intern noch andere Netze/Routings und der Adressbereich von A wird deshalb von C wo ganz anders hingeroutet

    Die Möglichkeiten bei sowas sind vielfältig :) Da musst du genau hinsehen.
    Ansonsten könnte man noch versuchen ein "Outbound NAT" auf Firewall B zu bauen, was Pakete von Netz A (via VPN Tunnel) empfangen ABgehend auf dem LAN zu C dann auf die Interface Adresse von Firewall B umschreibt. Damit wäre eigentlich dann Routing/Firewall mäßig wenig Grund da, warum Router C die Pakete ablehnen sollte, aber schön ists natürlich nicht so ganz, weil die Geräte in C dann nicht mehr sehen wo der Kram herkommt.

    BTW: bei sowas hier wäre ein ordentlicher Netzplan unglaublich hilfreich ;)