Hilfe gesucht - Port-Weiterleitung auf Netscaler
-
Hallo alle zusammen,
heute mal ein bei dem ich absolut nicht weiterkomme, vielleicht bin ich auch gerade etwas Betriebsblind. Also Port-Weiterleitungen, 1:1 NAT etc. kann ich im Normalfall schon konfigurieren, aber hier komme ich nicht weiter.
Also, die PF-Sense Appliance steht in der DMZ bei T-SYSTEMS, es gibt eine interne Zone - die aus dem KDN (Kommunales Datennetz) erreichbar ist und eine externe Zone - aus dem Tnternet erreichbar. Beide sind mit Firewall-Clustern abgesichert. Durch das setzen des Kernel-Parameters "net.link.ether.inet.allow_multicast" auf "1" kann ich diese auch ansprechen, beide Interfaces der pfSense sind jetzt online. Die Firewalls sind für die entsprechenden Zugriffe auch freigeschaltet, dies haben wir getestet/geprüft.
Bei dem Port für die exteren Zone ist ein Gateway angegeben und gesetzt, für die Interne Zone ist das gateway angelegt, aber nicht der Schnittstelle zugewiesen, sondern es sind statische Routing-Einträge für die entsprechenden Netze gesetzt.
Ich komme von der Intern Zone auf die PfSense-Kiste, die Portweiterleitung habe ich auf den Netscaler ist eingerichtet, ebenfalls habe ich schon ein 1:1 Nat ausprobiert - beides funktioniert nicht. Triggere ich die Regel, sehe ich das die Anfrage am externen Interface ankommt, an das interne Interface weitergereicht wird - aber auf der T-Systems Firewall der internen Zone gibt es keine Anfrage dazu….
Das ganze beschäftigt mich schon einige Zeit und ich habe keine Ideen mehr dazu, wäre super wenn hier jemand helfen könnte. Die Konfig-Datei könnte ich eventuell posten, sonst gern auch per PM oder Telefon.Gruß
Thomas -
Kannst du dazu vllt. eine kleine Text/Grafik Skizze machen? Nur aus dem Text schlau zu werden, wie genau das zusammengesetzt ist, da habe ich gerade so meine Schwierigkeit :) Vor allem was vor/nach der pfSense wie steht und wohin gehen soll.
-
Hallo,
ich hab mal ganz schnell und ganz grob etwas gezeichnet…..
-
OK und von wo nach wo geht nun welcher Traffic nicht wo durch?
-
Wie siehst du, dass an der Firewall interne Zone nichts ankommt?
Das Ding ist ja ein Cluster, wobei jede eine eigene MAC Adresse hat, so wie ich das verstanden habe. Laufen diese Hosts also parallel und ist es egal, an welchen die Pakete geschickt werden?
An welche MAC schickt pfSense die Pakete? Vielleicht kannst du das mal erschnüffeln. -
@ Jens - der Traffic vom Internet Richtung Netscaler geht nicht durch. Also von den Außenstellen der Verwaltung wird über einen Webbrowser die IP-Adresse der Firewall auf der Internetseite/externe Zone aufgerufen - der https:// Aufruf wird (ober besser soll) wird dann zum Netscaler durchgeleitet. Und dies funktioniert nicht….
Ich habe von der T-Systems auf die Firewall der internen Zone sehen lassen, dort ist zu sehen das keine Anfrage an der FW eintrifft - und auf diese Aussage muss ich mich verlassen, ich habe selbst keine Möglichkeit auf die FW zu sehen. mache ich aber über die Kommandozeile der pfSense ein telnet auf die IP-Adresse des Netscalers, Port 443 kommt in der internen FW 1 Paket an....
Gruß
Thomas -
Wenn alle Angaben in deiner Grafik stimmen und du die weitergeleiteten Pakete am Interface interne Zone richtig addressiert siehst, dann müssen sie auch beim Gateway (FW interne Zone) ankommen. Schließlich sind die Interfaces der pfSense und des GW im gemeinsamen Subnetz und sind verbunden.
Wichtig ist, dass das Gateway innerhalb des Subnetzes des pfSense Interfaces liegt, was es ja nach deinen Angaben tut.An welche MAC die Pakete geschickt werden, lässt sich auch mit Hilfe von Paket Capture herausfinden. Vermutlich ist es die erste verfügbare in der ARP Tabelle.
-
Kommen Sie aber nicht - und ich habe keine Idee wo ich noch suchen soll…... Ich würde euch auch das pfSense Konfigurationsfile zur Verfügung stellen bzw. einen Login auf der KISTE einrichten um dieses Problem zu lösen.... die Alternative ist anstelle der pfSense KISTE einen zweiten Netscaler zu setzen, genau das wollte ich aber vermeiden.
Gruß
ThomasWenn alle Angaben in deiner Grafik stimmen und du die weitergeleiteten Pakete am Interface interne Zone richtig addressiert siehst, dann müssen sie auch beim Gateway (FW interne Zone) ankommen. Schließlich sind die Interfaces der pfSense und des GW im gemeinsamen Subnetz und sind verbunden.
Wichtig ist, dass das Gateway innerhalb des Subnetzes des pfSense Interfaces liegt, was es ja nach deinen Angaben tut.An welche MAC die Pakete geschickt werden, lässt sich auch mit Hilfe von Paket Capture herausfinden. Vermutlich ist es die erste verfügbare in der ARP Tabelle.
-
Fürs erste sollte eine Ausgabe von Packet Capture reichen.
Diagnostic > Packet Capture
Stelle das Interface auf das interne.
Host Address: die des Netscalers
Level of Detail: MediumStarte es und mache dann eine Anfrage von außen auf deine Weiterleitung zum Netscaler, dann poste das Ergebnis.
-
-
Danke.
Es sind nur dir Requests zu sehen, es kommen da definitiv keine Antworten.
Wenn dann noch ein Traceroute auf den Netscale die FW interne Zone als ersten und einzigen Hop auswirft, würde ich sagen, auf der pfSense ist alles in Ordnung, aber die interne FW leitet die Anfrage nicht weiter.
Kommt auch die IP des Nescalers, würde ich meinen, dieser antwortet nicht auf deine Anfragen oder hat womöglich eine falsche Defaultroute. Diese müsste nämlich wieder auf das ihm zugewandte Interface der FW interne Zone zeigen und diese wiederum müsste alles, was vom Netscaler kommt auf die pfSense weiterleiten.Grüße
-
Danke.
Es sind nur dir Requests zu sehen, es kommen da definitiv keine Antworten.
Wenn dann noch ein Traceroute auf den Netscale die FW interne Zone als ersten und einzigen Hop auswirft, würde ich sagen, auf der pfSense ist alles in Ordnung, aber die interne FW leitet die Anfrage nicht weiter.
Kommt auch die IP des Nescalers, würde ich meinen, dieser antwortet nicht auf deine Anfragen oder hat womöglich eine falsche Defaultroute. Diese müsste nämlich wieder auf das ihm zugewandte Interface der FW interne Zone zeigen und diese wiederum müsste alles, was vom Netscaler kommt auf die pfSense weiterleiten.Grüße
Ein Traceroute vom Internen Interface der pfSense auf den Netscaler geht aber. Das Routing passt auch, der Netscaler selbst ist in der internen Zone erreichbar. Ob ich allerdings aus der internen Zone das Webinterface des Netscalers aufrufen kann konnte ich noch nicht testen, das wäre noch einen Versuch wert.
Im Anhang der Tracert….noch jemand Ideen dazu?Gruß
Thomas
-
Da liegen ja noch Hosts dazwischen.
Ein Traceroute vom Internen Interface der pfSense auf den Netscaler geht aber. Das Routing passt auch, der Netscaler selbst ist in der internen Zone erreichbar. Ob ich allerdings aus der internen Zone das Webinterface des Netscalers aufrufen kann konnte ich noch nicht testen, das wäre noch einen Versuch wert.
Das wird vermutlich auch funktionieren, aber eben nicht von extern.
Es müssen auf all den Host, die passiert werden müssen, entsprechende Routen eingerichtet sein, die die Antworten vom Netscaler wieder an die pfSense zurück leiten. Ich nehme an, da fehlt etwas. Hierzu musst du aber wieder die T-Leute bemühen.
Wäre interessant vom Netscaler ein Traceroute Richtung Internet abzusetzen.
Wie vorhin erwähnt, das Default-Gateway muss auf diesem auch richtig eingerichtet sein, damit die Verbindung klappt.