Privates Subnetz über Gatway mit Green-Zone verbinden

1. offizieller Beitrag

    Hallo zusammen,
    ich bin seit letzter Woche dabei die Endian Firewall zu testen und zu schauen, ob sie für mich das richtige ist. Nun bin ich sehr zufrieden und begeistert, allerdings bin ich auch ein Problem gestoßen. Ich hoffe es kann mir jemand helfen.

    Folgender Einstellungen liegen vor (Green-Zone):
    Firewallip: 10.0.0.1
    Firewall Subnetz: 255.255.252.0

    Ein zweites privates Subnetz (10.0.4.0/24) soll mit dem 10.0.0.0/24 Netz verbunden werden, um zwei Standorte miteinander zu vernetzen.
    Ich habe einen Gateway der die beiden Netze miteinander verbinden soll. Er hat die IPs 10.0.0.2 und 10.0.4.254.

    Nun habe ich eine statische Route in der Endian-Firewall festgelegt:
    Source: 10.0.0.0/22
    Destination: 10.0.4.0/24
    Gateway: 10.0.0.2

    Zunächst habe ich gedacht, alles würde funktionierten: Ich kann vom Netz 10.0.0.0 ins 10.0.4.0 Netz, ich komme von beiden Netzen ins Internet, aber ich komme nicht vom 10.0.4.0'er Netz in das 10.0.0.0'er Netz.

    Ich vermute, dass die Firewall denkt, das 10.0.4.0'er Netz wäre in der "Red-Zone", und blockiert daher alle Anfrage die ins 10.0.0.0'er Netz gestellt werden. Daher habe ich unter "Firewall->Incomming routed traffic" eine Regel angelegt die wie folgt aussieht:
    Source 10.0.4.0/24
    Destination: 10.0.0.0/22
    Policy: Allow

    Leider hat das Ganze nicht geholfen.

    Sieht evtl. jemand auf anhieb meinen Gedankenfehler? Oder kann mir jemand ein paar Tipps geben wie ich bei der Fehlersuche vorgehen kann?

    Gibt es die Möglichkeit ein zweites Subnetz in die Green-Zone mit aufzunehmen?

    Vielen Dank schonmal im voraus!

    EFW Version: 2.5.1 Community

    • Offizieller Beitrag

    Hallo,
    was für ein Netz hast du auf der Roten Schnittstelle ( Extern ) ?

    Auf welcher Schnittstelle hast du das 10.0.4.0/24) Netz ?
    Wenn das auf der Orangen ( DMZ ) Schnittstelle ist kommst du nicht in das Interne Netz

    Von welcher Schnittstelle zu welcher Schnittstelle hast du die Firewall->Incomming routed traffic gemacht ?

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo Sabine, danke für deine Antwort.
    Also das rote Netz ist quasi das Internet mit eine IP, die mir vom Provider zugewiesen wird.

    Das 10.0.4.0/24 Netz ist physisch mit der Green-Zone verbunden. Also ich habe einen Gateway der die IP 10.0.0.2 hat und dahinter hängt das Netz 10.0.4.0/24. Der Gateway leitet alle Anfrage vom 10.0.4.0'er Netz auf die IP 10.0.0.2 und alle Anfragen aus dem 10.0.0.0'er Netz an die 10.0.4.254 im 10.0.4.0/24'er Netz.

    Da die Firewall nur zwei Schnittstellen hat, gibts nur eine green- und red-zone, keine orange-zone.

    Bei der Firewalleinstellung "Incomming routed traffic" habe ich keine Schnittstelle ausgewählt, wie macht ich das? Ich habe als Source-Typ "Network/IP" ausgewählt und dann in dem Textfeld "10.0.4.0/24" eingetragen. Ebenso bei der Destination, da nur im Textfeld "10.0.0.0/22".

    Gruß

    EFW Version: 2.5.1 Community

    • Offizieller Beitrag

    Mmmm, kann mir immer noch kein genaues Bild von deinem Netz machen . .

    Zitat

    Das 10.0.4.0/24 Netz ist physisch mit der Green-Zone verbunden

    Wenn die Grüne Zone in 10.0.0.1 / 255.255.252.0 liegt ist das 10.0.4.0/24 Netz nicht im Grünen Bereich . . .. das geht ja nur bis 10.0.3.254 . . wie kommst du da ins Internet ?


    Zitat

    Also ich habe einen Gateway der die IP 10.0.0.2 hat

    Was für ein Gateway ?

    Gruß Sabine

    Hallo,
    ich gebe zu es wirkt ein bisschen unübersichtlich, aber ich habe das ganze mal fix aufgezeichnet (siehe Bild im Anhang).

    Den Gateway kannst du dir als einen Router vorstellen mit einer internen IP 10.0.0.2 (im Grünen Bereich) und einer externen IP 10.0.4.254 (Bereich ???).

    Hier noch mal zusammengefasst, welche Verbindugen funktionieren und welche nicht:
    - Ping von 10.0.0.1 nach 10.0.4.3 funktioniert
    - Ping von 10.0.0.3 nach 10.0.4.3 funktioniert
    - Ping von 10.0.4.3 nach 10.0.0.1 funktioniert
    - Ping von 10.0.4.3 nach 10.0.0.3 funktioniert NICHT
    - Ping von 10.0.0.3 nach google.de funktioniert
    - Ping von 10.0.4.3 nach google.de funktioniert

    Ich vermute folgendes:
    - die Firewall lässt die Anfragen von 10.0.4.0/24 ins Internet durch, weil das Internet ja nicht von der Firewall "geschützt" werden muss.
    - Vom 10.0.4.0/24 Netz ins 10.0.0.0/22 Netz blockiert die Firewall den traffic.
    - Vom 10.0.0.0/22 Netz ins 10.0.4.0/24 gibts auch wieder keine Probleme mit der Firewall, weil die "outgoing-firewall" ausgeschaltet ist.

    Meiner Meinung nach sollte eine Firewallregel (Incomming routed traffic) mit:
    Source 10.0.4.0/24
    Destination: 10.0.0.0/22
    Policy: Allow
    das Problem lösen, macht es aber nicht.

    Gruß
    krstn

    • Offizieller Beitrag
    Zitat

    Ping von 10.0.4.3 nach 10.0.0.3 funktioniert NICHT


    Ich gehe mal davon aus das du in deinem Gateway ( In der Mitte deines Bildes ) die Endian als Standard Gateway eingetragen hast ?

    Der Ping von 10.0.4.3 nach 10.0.0.1 funktioniert , wenn du jetzt die 10.0.0.3 pingen willst geht der Ping auf die Endian und du bekommst keine Antwort . .

    Gruß Sabine

    Richtig, bei der 10.0.0.2 ist als Gateway die 10.0.0.1 eingetragen, also die Anfragen gehen auf die Firewall.
    Aber sollte Endian die ping-Anfrage nicht weiterleiten ?! Oder habe ich was vergessen?

    EFW Version: 2.5.1 Community

    • Offizieller Beitrag

    Wie will die den den Ping weiterleiten ?
    Die kann den höchsten nach außen weiterleiten . . . weil ja die Anfrage „ direkt „ auf die Endian geht.

    Du gehst ja vom PC 10.0.4.3 auf das Gateway 10.0.4.254 und das Gateway geht auf das nächste Gateway also die Endian.

    Du hast ja die Netze getrennt . . . warum soll den jetzt der PC 2 auf den PC 1 zugreifen ?

    Müsste die nicht erkennen, dass die Anfrage nicht für sie bestimmt ist, sondern für PC1 und dann weiterleiten?

    Könnte ich das mit irgendeiner Firewallregel (Source NAT, Statischen Route) realisieren?

    Es handelt sich absichtlich um zwei Subnetze, da es sich um zwei Standorte handelt. Es soll aber dennoch auf zumindest ausgewählte PC's zugegriffen werden können.

    EFW Version: 2.5.1 Community

    • Offizieller Beitrag
    Zitat

    Müsste die nicht erkennen, dass die Anfrage nicht für sie bestimmt ist, sondern für PC1 und dann weiterleiten?

    Mmmmm, . . . dein Gateway leitet ja die Anfrage auf die Endian weiter und von da kommen die Response zurück . .

    Wenn du in deinem Gateway als Gateway den PC1 einträgst . . . kannst du auch den PC1 pingen . . . aber die Endian nicht mehr.

    Das ganze müsste gehen wenn du in die Endian noch einen Netzwerkkarte rein steckst . . :)
    Die dann als Blaues Netz nimmst und ihr die IP von deinen Gateway gibst, dann kannst du auch Regeln von Blau nach Grün machen und von Rot nach Blau.
    Deinen 2 Gateway brachst du dann nicht mehr . .

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hmm, danke schonmal für die Antwort. Ich werde das morgen mal ausprobieren und antworten. Bin mir noch nicht sicher ob sich das realisieren lässt.

    Gruß
    krstn

    EFW Version: 2.5.1 Community

    Hallo zusammen,
    ich habe eine Lösung gefunden. Sie ist zwar nicht so wie ich sie mir vogrstellt habe, aber es funktioniert.

    Ich habe folgendes gemacht:
    - Standartgateway von allen Clients im Netz 10.0.0.0/24 auf die 10.0.0.2 gesetzt
    - Im gateway 10.0.0.2 zwei routen angelegt.
    1) Destination: 10.0.4.0/24, gateway: 10.0.4.254
    2) Destination: 0.0.0.0, gateway: 10.0.0.1

    Dann funktioniert alles!
    Vielen dank für die Unterstützung!

    EFW Version: 2.5.1 Community