[Gelöst] Ping von green nach DMZ kommt nicht an



  • Moin allerseits,

    in meiner DMZ stehen zwei Maschinchen: ein Linux Server und ein Windows 7 Client (ebenso als Server genutzt). Beide sind am selben Switch angeschlossen. Auf dem Windowsrechner möchte ich jetzt ein paar Shares anlegen, um vom grünen Netz aus darauf zugreifen zu können; leider klappt es nicht mit der Netzwerkverbindung zwischen dieser Maschine und meinem PC im grünen Netz.

    Von meinem PC im grünen Netz kann ich erfolgreich ein Ping an den Linux Server senden; ich komme da auch Problemlos an Shares, Webinterfaces, SQL etc. ran; an den Windows Rechner geht nicht. Ein Ping vom PfSense Webinterface aus funktioniert aber an beide Maschinen.

    Das Verrückte an der ganzen Geschichte ist, dass ich von meinem PC im grünen Netz mittels VNC auf den Windows Rechner in der DMZ zugreifen kann.

    Es sind keinerlei Rules eingestellt, die etwelche Verbindungen von grün auf DMZ verbieten würden (auch keine, die es erlauben - Testweise eingerichtet, hat aber keine Verbesserung gebracht.)

    Ich weiss jetzt gar nicht mehr, wo ich noch suchen soll, hat vielleicht jemand einen Tip für mich?

    Merci und Grüsse
    David



  • Hiho,

    stöpsel doch testweise mal den Win7 Client in Dein grünes Netz, falls das Sicherheitstechnisch möglich ist. Dann weißt Du schonmal, ob es die FW oder die Konfiguration des Win7 Client ist. Und es sollte ja kaum Aufwand sein für den Test.

    Gruß
    Sradag



  • Moin Sradag,

    hab ich gemacht und funzt wie es sollte, Ping, Shares, alles ok. Liegt also wohl an der FW.
    Was mir nicht in den Kopf will:

    • beide Maschinen in der DMZ erhalten ihre IP vom PfSense DHCP Server
    • beide sind im selben Subnetz
    • beide hängen am gleichen Switch
    • mit VNC komme ich auf den Windows Client, nicht aber mit Ping (ausser das Ping kommt von der FW)
      => Ping auf den Linux Server funktioniert auch aus dem grünen Subnetz

    Die letzte Rule übersteuert doch alle zuvor gesetzten Rules, die ggfs. in Kollision stehen, oder? Wenn ich also auf dem grünen Interface eine Rule von grünes Subnetz an orangenes Subnetz setze, müsste es doch klappen?

    Gruss
    David



  • Moin David,

    das ist allerdings seltsam. Siehst Du denn Einträge im Logfile bezüglich Ping?

    Ich muß zugeben, ich habe keine DMZ an meiner pfSense eingerichtet. Ich vermute, Du hast Regeln für den Zugriff auf die DMZ eingerichtet? Du könntest in den Regeln den Haken setzen, das sie Logfile Einträge erzeugen und schauen, ob Dein Ping dann dort auftaucht.

    Gruß
    Sradag



  • Ich hab mal allen Rules gesagt, sie sollen ins Logfile schreiben. Danach habe ich vom grünen PC ein Ping sowohl an den Windows Rechner als auch an den Linux Server in der DMZ geschickt:

    
    <134>1 2014-07-06T08:54:11+02:00 pfsense.local pf - - - pf: 00:00:00.242627 rule 88/0(match): pass in on vr0: (tos 0x0, ttl 128, id 4128, offset 0, flags [none], proto ICMP (1), length 60)
    <134>1 2014-07-06T08:54:11+02:00 pfsense.local pf - - - pf:     192.168.0.30 > 192.168.100.101: ICMP echo request, id 1, seq 120, length 40
    
    <134>1 2014-07-06T08:59:55+02:00 pfsense.local pf - - - pf: 00:00:05.973300 rule 88/0(match): pass in on vr0: (tos 0x0, ttl 128, id 9216, offset 0, flags [none], proto ICMP (1), length 60)
    <134>1 2014-07-06T08:59:55+02:00 pfsense.local pf - - - pf:     192.168.0.30 > 192.168.100.100: ICMP echo request, id 1, seq 124, length 40
    
    
    • 192.168.0.30 ist mein PC im grünen Netz

    • 192.168.100.100 ist der Linux Server in der DMZ

    • 192.168.100.101 ist der Windows Rechner in der DMZ

    • VR0 ist das grüne Interface

    Sieht beides genau gleich aus, nur dass der eine Ping durchgeht und der andere nicht. Leider weiss ich nicht, welche Rule die mit der Nummer 88 ist (die ID ist es jedenfalls nicht), aber "match" hört sich für mich schonmal gut an.

    Vielleicht irgendein Routing Problem? Warum zum Geier geht dann aber die VNC Verbindung problemlos durch?

    Merci & Grüsse
    David



  • OK. Danach geht das Ping also durch die FW und die Rückregel wird ja dynamisch generiert. An ein Routing Problem glaube ich nicht, denn dann würde ja das Paket vom Linux Rechner auch nicht zurück kommen (oder Du hast seltsames Subnetting betrieben). Vielleicht hilft das hier noch weiter: http://itler.net/windows-7-ping-aktivieren-einschalten/. Standardmäßig blockt die Windows FW Ping - dann sollte der Rechner aber auch im gleichen Netz nicht auf Ping reagieren. Einzig, wenn die Windows FW unterscheidet zwischen eigenem Subnetz und "Draußen" könnte das hinkommen. Grundsätzlich sollte ein PC in der DMZ ja ein höheres Sicherheitskonzept fahren. Die Einstellungen auf dem Win 7 Client sollten also auch unterscheiden zwischen Deinem grünen- und Deinem roten (?) Netz. Da könnte der Hase im Pfeffer liegen.

    Gruß
    Sradag



  • Na, das war jetzt 'ne Zangengeburt;

    Es lag alles an der Windows Firewall; hätte ich nie gedacht, da das Ping von PfSense ja sauber durchging - nur eben auf dem gleichen Subnetz und da lag wohl der Hund begraben. VNC hat gefunzt, weil bei der Installation eine Regel angelegt und aktiviert wurde.

    Meine Shares sind jetzt erreichbar, aber auch nur, weil ich die Windows Firewall für den privaten Bereich deaktiviert habe. Mit den Dateifreigabe-Einstellungen habe ich zuvor rumprobiert, aber nachdem da immer noch nichts ging, habe ich mir gedacht kreuzweise ;-)

    Vielen Dank für Deine Unterstützung und Grüsse
    David



  • Prima  :D

    Gruß
    Sradag


  • Moderator

    Ich hab das mal auf gelöst gesetzt :)