Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Hilfe gesucht - Port-Weiterleitung auf Netscaler

    Scheduled Pinned Locked Moved Deutsch
    13 Posts 3 Posters 3.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vegatronic
      last edited by

      Hallo alle zusammen,

      heute mal ein bei dem ich absolut nicht weiterkomme, vielleicht bin ich auch gerade etwas Betriebsblind. Also Port-Weiterleitungen, 1:1 NAT etc. kann ich im Normalfall schon konfigurieren, aber hier komme ich nicht weiter.

      Also, die PF-Sense Appliance steht in der DMZ bei T-SYSTEMS, es gibt eine interne Zone - die aus dem KDN (Kommunales Datennetz) erreichbar ist und eine externe Zone - aus dem Tnternet erreichbar.  Beide sind mit Firewall-Clustern abgesichert. Durch das setzen des Kernel-Parameters "net.link.ether.inet.allow_multicast" auf "1" kann ich diese auch ansprechen, beide Interfaces der pfSense sind jetzt online. Die Firewalls sind für die entsprechenden Zugriffe auch freigeschaltet, dies haben wir getestet/geprüft.
      Bei dem Port für die exteren Zone ist ein Gateway angegeben und gesetzt, für die Interne Zone ist das gateway angelegt, aber nicht der Schnittstelle zugewiesen, sondern es sind statische Routing-Einträge für die entsprechenden Netze gesetzt.
      Ich komme von der Intern Zone auf die PfSense-Kiste, die Portweiterleitung habe ich auf den Netscaler ist eingerichtet, ebenfalls habe ich schon ein 1:1 Nat ausprobiert - beides funktioniert nicht. Triggere ich die Regel, sehe ich das die Anfrage am externen Interface ankommt, an das interne Interface weitergereicht wird - aber auf der T-Systems Firewall der internen Zone gibt es keine Anfrage dazu….
      Das ganze beschäftigt mich schon einige Zeit und ich habe keine Ideen mehr dazu, wäre super wenn hier jemand helfen könnte. Die Konfig-Datei könnte ich eventuell posten, sonst gern auch per PM oder Telefon.

      Gruß
      Thomas

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Kannst du dazu vllt. eine kleine Text/Grafik Skizze machen? Nur aus dem Text schlau zu werden, wie genau das zusammengesetzt ist, da habe ich gerade so meine Schwierigkeit :) Vor allem was vor/nach der pfSense wie steht und wohin gehen soll.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • V
          vegatronic
          last edited by

          Hallo,

          ich hab mal ganz schnell und ganz grob etwas gezeichnet…..

          pzd_problem.png
          pzd_problem.png_thumb

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            OK und von wo nach wo geht nun welcher Traffic nicht wo durch?

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Wie siehst du, dass an der Firewall interne Zone nichts ankommt?

              Das Ding ist ja ein Cluster, wobei jede eine eigene MAC Adresse hat, so wie ich das verstanden habe. Laufen diese Hosts also parallel und ist es egal, an welchen die Pakete geschickt werden?
              An welche MAC schickt pfSense die Pakete? Vielleicht kannst du das mal erschnüffeln.

              1 Reply Last reply Reply Quote 0
              • V
                vegatronic
                last edited by

                @ Jens - der Traffic vom Internet Richtung Netscaler geht nicht durch. Also von den Außenstellen der Verwaltung wird über einen Webbrowser die IP-Adresse der Firewall auf der Internetseite/externe  Zone aufgerufen - der https:// Aufruf wird (ober besser soll) wird dann zum Netscaler durchgeleitet. Und dies funktioniert nicht….

                Ich habe von der T-Systems auf die Firewall der internen Zone sehen lassen, dort ist zu sehen das keine Anfrage an der FW eintrifft - und auf diese Aussage muss ich mich verlassen, ich habe selbst keine Möglichkeit auf die FW zu sehen. mache ich aber über die Kommandozeile der pfSense ein telnet auf die IP-Adresse des Netscalers, Port 443 kommt in der internen FW 1 Paket an....

                Gruß
                Thomas

                1 Reply Last reply Reply Quote 0
                • V
                  viragomann
                  last edited by

                  Wenn alle Angaben in deiner Grafik stimmen und du die weitergeleiteten Pakete am Interface interne Zone richtig addressiert siehst, dann müssen sie auch beim Gateway (FW interne Zone) ankommen. Schließlich sind die Interfaces der pfSense und des GW im gemeinsamen Subnetz und sind verbunden.
                  Wichtig ist, dass das Gateway innerhalb des Subnetzes des pfSense Interfaces liegt, was es ja nach deinen Angaben tut.

                  An welche MAC die Pakete geschickt werden, lässt sich auch mit Hilfe von Paket Capture herausfinden. Vermutlich ist es die erste verfügbare in der ARP Tabelle.

                  1 Reply Last reply Reply Quote 0
                  • V
                    vegatronic
                    last edited by

                    Kommen Sie aber nicht - und ich habe keine Idee wo ich noch suchen soll…... Ich würde euch auch das pfSense Konfigurationsfile zur Verfügung stellen bzw. einen Login auf der KISTE einrichten um dieses Problem zu lösen.... die Alternative ist anstelle der pfSense KISTE einen zweiten Netscaler zu setzen, genau das wollte ich aber vermeiden.

                    Gruß
                    Thomas

                    @viragomann:

                    Wenn alle Angaben in deiner Grafik stimmen und du die weitergeleiteten Pakete am Interface interne Zone richtig addressiert siehst, dann müssen sie auch beim Gateway (FW interne Zone) ankommen. Schließlich sind die Interfaces der pfSense und des GW im gemeinsamen Subnetz und sind verbunden.
                    Wichtig ist, dass das Gateway innerhalb des Subnetzes des pfSense Interfaces liegt, was es ja nach deinen Angaben tut.

                    An welche MAC die Pakete geschickt werden, lässt sich auch mit Hilfe von Paket Capture herausfinden. Vermutlich ist es die erste verfügbare in der ARP Tabelle.

                    1 Reply Last reply Reply Quote 0
                    • V
                      viragomann
                      last edited by

                      Fürs erste sollte eine Ausgabe von Packet Capture reichen.
                      Diagnostic > Packet Capture
                      Stelle das Interface auf das interne.
                      Host Address: die des Netscalers
                      Level of Detail: Medium

                      Starte es und mache dann eine Anfrage von außen auf deine Weiterleitung zum Netscaler, dann poste das Ergebnis.

                      1 Reply Last reply Reply Quote 0
                      • V
                        vegatronic
                        last edited by

                        @viragomann - Bitteschön….

                        Gruß
                        Thomas

                        packetcapture.zip

                        1 Reply Last reply Reply Quote 0
                        • V
                          viragomann
                          last edited by

                          Danke.

                          Es sind nur dir Requests zu sehen, es kommen da definitiv keine Antworten.

                          Wenn dann noch ein Traceroute auf den Netscale die FW interne Zone als ersten und einzigen Hop auswirft, würde ich sagen, auf der pfSense ist alles in Ordnung, aber die interne FW leitet die Anfrage nicht weiter.
                          Kommt auch die IP des Nescalers, würde ich meinen, dieser antwortet nicht auf deine Anfragen oder hat womöglich eine falsche Defaultroute. Diese müsste nämlich wieder auf das ihm zugewandte Interface der FW interne Zone zeigen und diese wiederum müsste alles, was vom Netscaler kommt auf die pfSense weiterleiten.

                          Grüße

                          1 Reply Last reply Reply Quote 0
                          • V
                            vegatronic
                            last edited by

                            @viragomann:

                            Danke.

                            Es sind nur dir Requests zu sehen, es kommen da definitiv keine Antworten.

                            Wenn dann noch ein Traceroute auf den Netscale die FW interne Zone als ersten und einzigen Hop auswirft, würde ich sagen, auf der pfSense ist alles in Ordnung, aber die interne FW leitet die Anfrage nicht weiter.
                            Kommt auch die IP des Nescalers, würde ich meinen, dieser antwortet nicht auf deine Anfragen oder hat womöglich eine falsche Defaultroute. Diese müsste nämlich wieder auf das ihm zugewandte Interface der FW interne Zone zeigen und diese wiederum müsste alles, was vom Netscaler kommt auf die pfSense weiterleiten.

                            Grüße

                            Ein Traceroute vom Internen Interface der pfSense auf den Netscaler geht aber. Das Routing passt auch, der Netscaler selbst ist in der internen Zone erreichbar. Ob ich allerdings aus der internen Zone das Webinterface des Netscalers aufrufen kann konnte ich noch nicht testen, das wäre noch einen Versuch wert.
                            Im Anhang der Tracert….noch jemand Ideen dazu?

                            Gruß
                            Thomas

                            tracert_pzd_netscaler.png
                            tracert_pzd_netscaler.png_thumb

                            1 Reply Last reply Reply Quote 0
                            • V
                              viragomann
                              last edited by

                              Da liegen ja noch Hosts dazwischen.

                              @vegatronic:

                              Ein Traceroute vom Internen Interface der pfSense auf den Netscaler geht aber. Das Routing passt auch, der Netscaler selbst ist in der internen Zone erreichbar. Ob ich allerdings aus der internen Zone das Webinterface des Netscalers aufrufen kann konnte ich noch nicht testen, das wäre noch einen Versuch wert.

                              Das wird vermutlich auch funktionieren, aber eben nicht von extern.

                              Es müssen auf all den Host, die passiert werden müssen, entsprechende Routen eingerichtet sein, die die Antworten vom Netscaler wieder an die pfSense zurück leiten. Ich nehme an, da fehlt etwas. Hierzu musst du aber wieder die T-Leute bemühen.
                              Wäre interessant vom Netscaler ein Traceroute Richtung Internet abzusetzen.
                              Wie vorhin erwähnt, das Default-Gateway muss auf diesem auch richtig eingerichtet sein, damit die Verbindung klappt.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.