Hilfe gesucht - Port-Weiterleitung auf Netscaler
-
OK und von wo nach wo geht nun welcher Traffic nicht wo durch?
-
Wie siehst du, dass an der Firewall interne Zone nichts ankommt?
Das Ding ist ja ein Cluster, wobei jede eine eigene MAC Adresse hat, so wie ich das verstanden habe. Laufen diese Hosts also parallel und ist es egal, an welchen die Pakete geschickt werden?
An welche MAC schickt pfSense die Pakete? Vielleicht kannst du das mal erschnüffeln. -
@ Jens - der Traffic vom Internet Richtung Netscaler geht nicht durch. Also von den Außenstellen der Verwaltung wird über einen Webbrowser die IP-Adresse der Firewall auf der Internetseite/externe Zone aufgerufen - der https:// Aufruf wird (ober besser soll) wird dann zum Netscaler durchgeleitet. Und dies funktioniert nicht….
Ich habe von der T-Systems auf die Firewall der internen Zone sehen lassen, dort ist zu sehen das keine Anfrage an der FW eintrifft - und auf diese Aussage muss ich mich verlassen, ich habe selbst keine Möglichkeit auf die FW zu sehen. mache ich aber über die Kommandozeile der pfSense ein telnet auf die IP-Adresse des Netscalers, Port 443 kommt in der internen FW 1 Paket an....
Gruß
Thomas -
Wenn alle Angaben in deiner Grafik stimmen und du die weitergeleiteten Pakete am Interface interne Zone richtig addressiert siehst, dann müssen sie auch beim Gateway (FW interne Zone) ankommen. Schließlich sind die Interfaces der pfSense und des GW im gemeinsamen Subnetz und sind verbunden.
Wichtig ist, dass das Gateway innerhalb des Subnetzes des pfSense Interfaces liegt, was es ja nach deinen Angaben tut.An welche MAC die Pakete geschickt werden, lässt sich auch mit Hilfe von Paket Capture herausfinden. Vermutlich ist es die erste verfügbare in der ARP Tabelle.
-
Kommen Sie aber nicht - und ich habe keine Idee wo ich noch suchen soll…... Ich würde euch auch das pfSense Konfigurationsfile zur Verfügung stellen bzw. einen Login auf der KISTE einrichten um dieses Problem zu lösen.... die Alternative ist anstelle der pfSense KISTE einen zweiten Netscaler zu setzen, genau das wollte ich aber vermeiden.
Gruß
ThomasWenn alle Angaben in deiner Grafik stimmen und du die weitergeleiteten Pakete am Interface interne Zone richtig addressiert siehst, dann müssen sie auch beim Gateway (FW interne Zone) ankommen. Schließlich sind die Interfaces der pfSense und des GW im gemeinsamen Subnetz und sind verbunden.
Wichtig ist, dass das Gateway innerhalb des Subnetzes des pfSense Interfaces liegt, was es ja nach deinen Angaben tut.An welche MAC die Pakete geschickt werden, lässt sich auch mit Hilfe von Paket Capture herausfinden. Vermutlich ist es die erste verfügbare in der ARP Tabelle.
-
Fürs erste sollte eine Ausgabe von Packet Capture reichen.
Diagnostic > Packet Capture
Stelle das Interface auf das interne.
Host Address: die des Netscalers
Level of Detail: MediumStarte es und mache dann eine Anfrage von außen auf deine Weiterleitung zum Netscaler, dann poste das Ergebnis.
-
-
Danke.
Es sind nur dir Requests zu sehen, es kommen da definitiv keine Antworten.
Wenn dann noch ein Traceroute auf den Netscale die FW interne Zone als ersten und einzigen Hop auswirft, würde ich sagen, auf der pfSense ist alles in Ordnung, aber die interne FW leitet die Anfrage nicht weiter.
Kommt auch die IP des Nescalers, würde ich meinen, dieser antwortet nicht auf deine Anfragen oder hat womöglich eine falsche Defaultroute. Diese müsste nämlich wieder auf das ihm zugewandte Interface der FW interne Zone zeigen und diese wiederum müsste alles, was vom Netscaler kommt auf die pfSense weiterleiten.Grüße
-
Danke.
Es sind nur dir Requests zu sehen, es kommen da definitiv keine Antworten.
Wenn dann noch ein Traceroute auf den Netscale die FW interne Zone als ersten und einzigen Hop auswirft, würde ich sagen, auf der pfSense ist alles in Ordnung, aber die interne FW leitet die Anfrage nicht weiter.
Kommt auch die IP des Nescalers, würde ich meinen, dieser antwortet nicht auf deine Anfragen oder hat womöglich eine falsche Defaultroute. Diese müsste nämlich wieder auf das ihm zugewandte Interface der FW interne Zone zeigen und diese wiederum müsste alles, was vom Netscaler kommt auf die pfSense weiterleiten.Grüße
Ein Traceroute vom Internen Interface der pfSense auf den Netscaler geht aber. Das Routing passt auch, der Netscaler selbst ist in der internen Zone erreichbar. Ob ich allerdings aus der internen Zone das Webinterface des Netscalers aufrufen kann konnte ich noch nicht testen, das wäre noch einen Versuch wert.
Im Anhang der Tracert….noch jemand Ideen dazu?Gruß
Thomas
-
Da liegen ja noch Hosts dazwischen.
Ein Traceroute vom Internen Interface der pfSense auf den Netscaler geht aber. Das Routing passt auch, der Netscaler selbst ist in der internen Zone erreichbar. Ob ich allerdings aus der internen Zone das Webinterface des Netscalers aufrufen kann konnte ich noch nicht testen, das wäre noch einen Versuch wert.
Das wird vermutlich auch funktionieren, aber eben nicht von extern.
Es müssen auf all den Host, die passiert werden müssen, entsprechende Routen eingerichtet sein, die die Antworten vom Netscaler wieder an die pfSense zurück leiten. Ich nehme an, da fehlt etwas. Hierzu musst du aber wieder die T-Leute bemühen.
Wäre interessant vom Netscaler ein Traceroute Richtung Internet abzusetzen.
Wie vorhin erwähnt, das Default-Gateway muss auf diesem auch richtig eingerichtet sein, damit die Verbindung klappt.