[Gelöst] Vom LAN zugriff auf DMZ - Ich bin am verzweifeln…



  • Hallo zusammen,

    ich ochs hier schon seit Wochen an diesem Problem herum und komme keinen Schritt weiter.

    Folgende Situation liegt bei mir vor:

    FB7490 (Voip und Router–192.168.100.1) --->pfsense (192.168.100.2) --->LAN (172.100.1.1/16)
                                                                                                            --->DMZ(172.100.2.1/16)

    In die DMZ soll z.B mein NAS rein
    Im LAN stehen meine Rechner

    Mein Problem ist, dass ich schon so viele Konfigurationen aus dem Netz ausprobiert habe, dass ich schon nicht mehr weiß, was ich alles schon getestet habe.
    Es funktioniert einfach nicht, dass ich von einem Rechner aus dem LAN die Schnittstelle zugreifen kann, geschweige denn den NAS erreichen kann.

    Es kommt mir so vor, als wenn ich eine ganz wichtige Sache vergessen habe, auf die aber nirgendwo hingewiesen wird.

    Firewallregeln (Noch eine taufrische pfsense 2.2):
    WAN : Keine, außer die beiden Standardblocks für private Netzwerke
    LAN : Die beiden Standardregeln (LAN ip4 und ip6 any to any)
    DMZ: Keine
    LAN und DMZ blockieren keine privaten Netzwerke

    Zuletzt habe ich versucht:
    LAN: Allow LAN Network to DMZ Network
    Hat nichts gebracht.
    Dann habe ich meine Rechner und die LAN und DMZ-Schnittstellen in das 16er SUBNET gesteckt.
    Ich glaube das war eine reine Verzweiflungstat, denn gebracht hat es nichts.

    Merkwürdigerweise kann ich vom Webconfigurator der pfsense aus die DMZ erfolgreich anpingen.
    Auch wenn ich Source auf LAN stelle geht es. Localhost funktioniert auch.

    Vielleicht hat ja jemand Lust mir mal weiter zu helfen.

    Viele Grüße
    Chris





  • Hallo,
    danke für die schnelle Antwort.

    Die Variante habe ich noch nicht probiert. Sie funktioniert aber auch nicht. Kommt immer Zielhost nicht erreichbar.

    Das muss doch funktionieren…



  • Ich habe jetzt noch mal aus der pfsense gepingt.

    Die Schnittstelle der DMZ erreiche ich mit dem PING bei Source Address = LAN
    Die alte Fritzbox die ich testweise dort angeschlossen habe, erreiche  nicht.
    Vom LAN-Rechner aus, erreiche ich weder Schnittstelle noch Fritte.

    Es ist zum Mäusemelken.

    Gruß
    Chris



  • Alte Fritzbox? Hat die denn das passende Subnetz eingetragen. ?



  • Ja schon, das hab ich mit Sicherheit schon "27" Mal kontrolliert. Das sind ja die einfachen Dinge, die ein Leihe, so wie ich es bin, noch hinbekommt.

    Es hängt ja eigentlich schon an der DMZ Schnittstelle. Die kann ich ja schon nicht aus dem LAN anpingen.
    Normal müsste doch schon die Standard-Rule auf der LAN-Schnittstelle, also LAN to any, schon reichen, um auf die DMZ zukommen, oder?



  • Hallo!

    @ChrisRoo:

    Es hängt ja eigentlich schon an der DMZ Schnittstelle. Die kann ich ja schon nicht aus dem LAN anpingen.

    Was? Du kommst nicht mal von einem DMZ Rechner auf das DMZ Interface der pfSense?

    Also als erstes möchte ich dir dringendst nahe legen, deinen internen Netzen private IP Adressbereiche zu geben. 172.100.1.1/16 gehört da nicht dazu.

    Vielleicht klappt dann auch schon alles, weil diese Bereiche nicht auf pfSense geroutet werden. Weiß nicht, mit diesen IPs hab ich keine Erfahrung.

    Ansonsten können die Kommunikation ja nur ein paar Dinge verhindern:

    • IP und Subnetz: Das Subnetz muss auf dem Interface und auf dem Rechner gleich sein und die IPs müssen natürlich zum dem Subnetz gehören.

    • Die Firewall-Regel: Wenn du mit Ping ran willst, vergewissere dich, dass neben Quell- und Ziel-IP u. -Port auch das Protokoll auf any gestellt ist. Natürlich auf dem DMZ Interface zum Testen.

    • Rechner-Firewall: Die kannst du ja für Testzwecke erstmal abschalten, sollte aber standardmäßig ausgehende Verbindungen ohnehin nicht behindern. Aber, wer weiß?

    Sonst fällt mir auch schon nichts mehr ein, außer vielleicht, Netzwerkkabel nicht angesteckt.
    Also bitte, was soll da sein?

    Solltest du trotzdem keine Ping-Antwort bekommen, schau mal mit traceroute, wo denn die Pakete hinverfrachtet werden, oder werden würden, wenn es ginge, wenn du was von der DMZ ins LAN schickst. Der erste Hop sollte das Interface sein und mit dem 2. sollte die Route auch schon beendet sein.

    Grüße



  • Wenn ich das Richtig lese hast du ein Interface LAN mit 172.100.1.1/16 und ein Interface DMZ mit 172.100.2.1/16?
    Wenn ja dann ist durch die Subnetmaske das Ganze ein Netz sprich ein Client in dem jeweiligen Netz wird nie versuchen über die PfSense zu gehen da er ja denkt die Adressen liegen im eigenen Netz.

    Das Netz wäre bei dir ja 172.100.0.0/16 also liegen beide Bereiche drin daher brauch man da kein Routing das willst du ja aber.

    Brauchst du wirklich ein /16 netz? Wenn du alles auf /24 anpasst sollte es auch gehen. (auch dran denken die Client im dem Netz dann anzupassen wenn die Subnetzmaske sich ändert)

    Erst mal das Netzdesign überdenke und dann kann man an die Firewall gehen  :)


  • Moderator

    zeigt nach oben
    Was flix schreibt. Solange DMZ und LAN das gleiche Netzwerk sind wird bei dir nichts funktionieren auf DMZ Seite, da die pfSense überhaupt nicht weiß, wo sie was hinrouten soll und warum, da das gleiche Subnetz 172.100/16 (was korrekt bemerkt wurde KEIN private Netz mehr ist, was durchaus fatal sein kann) auf 2 Interfaces anliegt. Das darf bei Routing nicht sein. Und Bridging macht in dem Szenario keinen Sinn (sonst wäre es keine DMZ mehr).

    Grüße



  • Hallo zusammen und
    Danke für die vielen und hilfreichen Antworten.
    Das mit dem 16er Netz war eine reine Verzweiflungstat, weil ich garnichts mehr wußte.
    Ich habe das mal in einer Anleitung vom DerFachinformatiker auf Youtube gesehen.
    Der wollte dort aber das Aufsetzen eines MultiWAN demonstrieren.

    Wenn ich mir das nun richtig überlege könnte das alles gut sein, was Ihr da schreibt.
    Wie gesagt, ich habe am Anfang alles so eingerichtet, mit LAN und DMZ im 16er Netz. Hat natürlich nichts funktioniert.
    Dann habe ich alles wieder ins 24er gebracht, bis auf… die alte Fritzbox, die als Test-Server-Ersatz an der DMZ-Schnittstelle hängt und die ich anpingen möchte.
    Ich werde jetzt gleich wieder alles auf 24 setzen und dann noch mal versuchen.
    Was müsste ich denn dann für Regeln angeben?
    Im Netz findet man immer, dass nur auf dem LAN-Regelinterface eine Regel drauf soll und zwar:
    LAN Net to DMZ Net

    Seht ihr das auch so?

    Gruß
    Chris



  • Wollte mal kurz einen Teilerfolg melden.

    Habe alles ins 24er Netz gebracht und was soll ich sagen, ich kann aus dem LAN die DMZ-Schnittstelle anpingen.
    Wenn ich die FB im DMZ-Netz anpinge kommt Zeitüberschreitung.
    Wie gesagt, die FB hängt einfach nur in der DMZ, dass ich etwas zum anpingen habe. Ansonsten erfüllt die keinen Zweck.

    Was kann das denn nun noch sein?
    Doch eine falsche Regel?



  • Der Fall ist gelöst!  :)

    Habe das die Einstellung auf der alten FB mit dem Handy geändert.
    Die FB hat wohl die Änderung nicht übernommen, weil ich in der Eile nicht oder nicht richtig auf ÜBERNEHMEN geklickt habe.
    Jetzt geht alles.
    Nun mach ich mich an die Regeln.

    Vielen Dank für den genialen Denkanstoß

    Gruß
    Chris