internes Gerät verliert sporadisch die Verbindung zur Firewall
-
Guten Tag,
ich habe die Frage auch im general gepostet. Da ich aber deutsch deutlich besser beherrsche auch noch mal hier. Wenn das ein Doppelpost nach Forenregeln sein sollte, dann bitte diesen hier löschen. Danke.
Es geht um:
Netgate SG-8860
Version: ADI_RCCVE-01.00.00.17-nodebug
22.01-RELEASE (amd64)
FreeBSD 12.3-STABLE
pfsense+Wir betreiben einen nginx web proxy. Seit 2 Wochen verliert der die Verbindung zur FW und nur durch Neustart der FW kann das Problem behoben werden.
Der Proxy ist per NAT -> DMZ -> Proxy (WAN-VLAN17-172.17.77.10) verbunden. Das WAN GW des Proxy läuft über 192.168.1.200 -> 192.168.1.254 (Switch) - 192.168.1.1 (FW)
(Proxy hat 3 Netzwerkkarten).
Nun passiert es sporadisch, dass der Proxy keine Verbindung mehr zur FW bekommt. Traceoute endet am Switch. Von der FW ist der Proxy auch nicht mehr erreichbar.
Es läuft noch pfblockerng und suricata (nur logging). Diese Dienste waren auch schon deaktiviert, ohne Änderung. Ich habe auch schon eine allow all Regel eingesetzt (ohne Erfolg)
Auch ein clone der nginx Installation auf anderen Adressen führt zu den Abbrüchen.
Im Systemlog sind keine Auffälligkeiten zu sehen (für mich).
Was habe ich übersehen, wo kann ich noch testen?Jede Idee ist herzlich willkommen.
Beste Grüße
dirk -
Hallo!
@anonymnuss said in internes Gerät verliert sporadisch die Verbindung zur Firewall:
Der Proxy ist per NAT -> DMZ -> Proxy (WAN-VLAN17-172.17.77.10) verbunden. Das WAN GW des Proxy läuft über 192.168.1.200 -> 192.168.1.254 (Switch) - 192.168.1.1 (FW)
Das DMZ Interface hat also 192.168.1.1 und 172.17.77.10 ist die IP des Proxy im Netz dahinter oder wie?
Vielleicht kannst du das Setup mittels eines Netzwerkplans verdeutlichen.Nun passiert es sporadisch, dass der Proxy keine Verbindung mehr zur FW bekommt. Traceoute endet am Switch.
Ist der Switch eigentlich ein Router / L3 Switch?
Hat der Proxy überhaupt eine IP im Netz der pfSense? -
DMZ ist 172.17.77.0/24
Der Proxy hat als Schnittstellen die DMZ und 192.168.1.0/24
Das Routing erfolgt über einen L3 Switch -
@anonymnuss
Dann scheint mir die pfSense an der Misere gar keine Beteiligung zu haben.
Da würde ich das Problem erst mal zwischen Switch und Proxy suchen.Die pfSense kennt damit ja nicht mal die MAC-Adresse des Proxys, was das erste wäre, das ich untersuchen würde.
Dass die pfSense weiß, wo sie die Paket hin zu schicken hat, zeigt ja das Traceroute.