Keine Kommunikation zwischen LAN und DMZ möglich



  • Hi,

    wir sind schon etwas länger am evaluieren von Pfsense 2.1.5. Allerdings haben wir einige unerklärliche Probleme in der Testphase, wir bekommen keine Verbindung zwischen LAN und DMZ.

    Zur Zeit haben wir das Netzwerk mit iptables realisiert mit manuellen Umschalten / Sync beim Ausfall.

    Der Netzbau ist im Anhang und muss auch so bestehen bleiben!

    Das Ziel ist eine HA Firewall aktiv/passiv, welches sich laut Dokumentation mit einfach Pfsense realisieren lässt.

    Die Interface der zwei FWs sind wie folgt:

    FW2 Interface:

    • WAN: xx.xx.7.31/24

    • LAN: xx.xx.31.223/23

    • SYNC: 192.168.0.1/24

    • DMZ: xx.xx.31.1/26

    FW2 Interface:

    • WAN: xx.xx.7.32/24

    • LAN: xx.xx.31.224/23

    • SYNC: 192.168.0.2/24

    • DMZ: xx.xx.31.2/26

    Dazu kommen die gemeinsamen IP Adressen:

    • CARP-LAN:  xx.xx.31.254/23

    • CARP-WAN: xx.xx.7.30/24

    • CARP-DMZ: xx.xx.31.30/26

    • Proxy-ARP: LAN Interface xx.xx.31.0/16

    Folgende Routen sind auf der FW1 hinterlegt (über CARP sync):

    | Network | Gateway | Interface |
    |   10.0.20.0/24 | xx.xx.31.110 (Cluster) | LAN |
    |   10.42.0.0/16 | xx.xx.31.111 (Cloud) | LAN |
    |   xx.xx.0.0/16 | xx.xx.7.1 (Intern) | WAN |
    |   192.168.90.0/24 | xx.xx.30.62 (Cisco01) | LAN |
    |   192.168.90.0/24 | xx.xx.30.62 (Cisco01) | LAN |

    Die NAT Regeln sind wie folgt:

    | Interface | Source | sPort | Dest | dPort | NAT Adress | NAT Port | Static Port |
    | WAN | 10.0.20.0/24 | * | * | * | xx.xx.7.30 | * | No |
    | WAN | 192.168.90.0/24 | * | * | * | xx.xx.7.30 | * | No |
    | WAN | 10.42.0.0/16 | * | * | * | xx.xx.7.30 | * | No |
    | WAN | 192.168.99.0/24 | * | * | * | xx.xx.7.30 | * | No |

    EDIT: IP-Adressen korrigiert und neues Netzwerkdiagramm hinzugefügt.

    ![2014-11-10 Netzwerkübersicht_anon.jpg_thumb](/public/imported_attachments/1/2014-11-10 Netzwerkübersicht_anon.jpg_thumb)
    ![2014-11-10 Netzwerkübersicht_anon.jpg](/public/imported_attachments/1/2014-11-10 Netzwerkübersicht_anon.jpg)


  • Moderator

    Hi,

    Dazu kommen die gemeinsamen IP Adressen:
    CARP-IP (LAN) xx.xx.31.226
    WAN IP-Alias xx.xx.7.30
    Proxy-ARP: LAN Interface xx.xx.30.0/16

    Stop. Das wird häßlich. Du hast nur eine Carp-IP auf dem LAN? Was ist mit dem WAN? DMZ? Wenn die Kisten ein Failover machen, wie sollen die Maschinen dahinter dann weiter ihr Default-GW sehen? Du brauchst auf allen Interfaces ein CARP Interface, welches das Default-GW ist. Ansonsten klappt das nicht.

    Aus deinem Diagramm kann ich leider auch nicht rauslesen, welche der FWs die pfSense sein soll, da bspw. die CARP Adressen fehlen. Soll die pfSense die mittlere FW übernehmen die dort über AbtNetz1 eingezeichnet ist? Warum dann komplett andere IPs?

    Momentan ist das noch etwas verwirrend.

    Grüße



  • @JeGr:

    Hi,

    Dazu kommen die gemeinsamen IP Adressen:
    CARP-IP (LAN) xx.xx.31.226
    WAN IP-Alias xx.xx.7.30
    Proxy-ARP: LAN Interface xx.xx.30.0/16

    Stop. Das wird häßlich. Du hast nur eine Carp-IP auf dem LAN? Was ist mit dem WAN? DMZ? Wenn die Kisten ein Failover machen, wie sollen die Maschinen dahinter dann weiter ihr Default-GW sehen? Du brauchst auf allen Interfaces ein CARP Interface, welches das Default-GW ist. Ansonsten klappt das nicht.

    Aus deinem Diagramm kann ich leider auch nicht rauslesen, welche der FWs die pfSense sein soll, da bspw. die CARP Adressen fehlen. Soll die pfSense die mittlere FW übernehmen die dort über AbtNetz1 eingezeichnet ist? Warum dann komplett andere IPs?

    Momentan ist das noch etwas verwirrend.

    Grüße

    Danke dir, die IP-Adresse haben wir falsch übertragen. Wir haben ein neues Netzwerkdiagramm erstellt, in dem nun hoffentlich der Aufbau klar werden sollte.

    Das eigentliche Problem mit der LAN-zu-DMZ Kommunikation sollte davon aber nicht betroffen sein. Es kann ja nur an den Proxy ARP Einstellungen liegen?!


  • Moderator

    Ahoi,

    nicht so ganz. Ich sehe hier immer noch CARP-LAN und CARP-DMZ im gleichen Subnetz .31.xxx
    Zwei Interfaces im gleichen Subnetz dann auch noch mit CARP ist keine gute Idee… oder sehe ich hier noch ein falsches Diagramm?

    Grüße



  • @JeGr:

    nicht so ganz. Ich sehe hier immer noch CARP-LAN und CARP-DMZ im gleichen Subnetz .31.xxx
    Zwei Interfaces im gleichen Subnetz dann auch noch mit CARP ist keine gute Idee… oder sehe ich hier noch ein falsches Diagramm?

    Doch es geht! Wir nutzen es ja gerade genau so mit iptables und ProxyARP. Wir wissen leider nicht genau wie man Proxy ARP in Pfsense konfiguriert ggf. ist die Adresse falsch.


  • Moderator

    Doch es geht…

    Natürlich geht es, es ist trotzdem eine verflixt schlechte Idee, genau wegen dem Rumgebastel mit ProxyARP und iptables. Sowas baut man nicht freiwillig, sowas versucht man zu vermeiden wie der Teufel das Weihwasser. Genau deshalb frage ich, warum man das freiwillig genauso nachbauen will und nicht an der Stelle ändert. Ihr versucht euer Netz ja offensichtlich zu verbessern/aufzurüsten, warum dann genau solch ein PoF auch noch bestehen lassen und nicht ebenfalls ersetzen!? Warum nicht wenigstens in Subnetze trennen und splitten damit ordentlich geroutet werden kann?

    Grüße



  • Hey,

    ich mische mich jetzt mal direkt mit ein, das spart sicherlich Kommunikationszeit…

    Wir versuchen nicht das Netzwerk aufzurüsten oder zu verbessern, es geht lediglich darum die bestehende iptables-Firewall gegen eine pfsense-Lösung auszutauschen.

    Natürlich gebe ich dir recht, dass diese Konstellation mit einer solchen DMZ nicht wünschenswert ist und dies niemand freiwillig nachbauen wollen kann. Allerdings haben wir diese bestehende Struktur und momentan nicht die Möglichkeit etwas zu ändern. Irgendwo in der Planung (damals, vor unserer Zeit) ist gewaltig was schief gelaufen und durch mangelnde Kommunikation hat sich das nicht verbessert. Das Abteilungsnetz hat keine Möglichkeit zu wachsen und auch für die DMZ ist (bisher) kein anderer IP-Adressbereich verfügbar (gewesen). Uns sind in der Hinsicht die Hände gebunden.

    Man könnte jetzt darüber diskutieren, ob es dann nicht eine Alternative wäre, dass man das Abteilungsnetz in drei eigene Subnetze aufteilt und die DMZ ebenfalls. Allerdings steht dann der Aufwand die Konfiguration anzupassen und alles was sonst noch da dran hängt, was wir jetzt noch nicht überblicken können gegenüber dem Aufwand, den IST-Zustand der iptables-Firewall auf pfsense abzubilden. Hierbei ist die Umstellung auf pfsense unsere Wahl...

    Wie du selbst gesagt hast, so wie wir das abgebildet haben geht es. Zumindest theoretisch, praktisch haben wir mit pfsense dabei noch Probleme. Und genau da bräuchten wir die Hilfe...

    Gruß
    cBoLsmUiEc