3
Routing über 3 Netze mit Monowall
Hallo zusammen,
ich möchte 3 Netze über die Monowall miteinander verbiden.
Erstmal die Problemstellung:
Meine Monowall hat 3 Netze angeschlossen..
1. WAN: Bezieht DHCP von der Fritzbox, welche weiter mit dem Internet verbunden ist und WLAN verteilt. IP:172.17.88.1
2. LAN: Stellt DHCP Server zur Verfügung. IP:190.68.0.1
3. OPT1: Sollte DHCP vom Wohnheimverteiler(10.6.12.1) beziehen, was ich leider nicht auswählen kann. Es wird der Mac automatisch dieselbe IP zugeordnet, deswegen steht die IP fest auf 10.6.14.48/16
zum 4. läuft über ein PPTP VPN, der fürs OPT1 interface läuft, damit man vom wohnheim über mich ins internet kommen kann.
Alle Verbindungen zur Fritzbox laufen einwandfrei und werden richtig geroutet.
Mein Problem ist, dass ich nun vom LAN interface nicht ins OPT1 interface routen kann und somit nicht vom 190er privaten netz ins 10.6er Netz des Wohnheimnetes komme und umgekehrt.
Zum aufbau mal die Routingtabelle der Monowall:
Internet:
kann jemand vielleicht helfen die richtigen Routen zu finden um mir zu ermöglichen zwischen allen Netzen gleichermaßen zu routen?
Vielen Dank im Vorraus,
Eisel
ich möchte 3 Netze über die Monowall miteinander verbiden.
Erstmal die Problemstellung:
Meine Monowall hat 3 Netze angeschlossen..
1. WAN: Bezieht DHCP von der Fritzbox, welche weiter mit dem Internet verbunden ist und WLAN verteilt. IP:172.17.88.1
2. LAN: Stellt DHCP Server zur Verfügung. IP:190.68.0.1
3. OPT1: Sollte DHCP vom Wohnheimverteiler(10.6.12.1) beziehen, was ich leider nicht auswählen kann. Es wird der Mac automatisch dieselbe IP zugeordnet, deswegen steht die IP fest auf 10.6.14.48/16
zum 4. läuft über ein PPTP VPN, der fürs OPT1 interface läuft, damit man vom wohnheim über mich ins internet kommen kann.
Alle Verbindungen zur Fritzbox laufen einwandfrei und werden richtig geroutet.
Mein Problem ist, dass ich nun vom LAN interface nicht ins OPT1 interface routen kann und somit nicht vom 190er privaten netz ins 10.6er Netz des Wohnheimnetes komme und umgekehrt.
Zum aufbau mal die Routingtabelle der Monowall:
Internet:
| Destination | Gateway | Flags | Refs | Use | Netif | Expire |
|---|---|---|---|---|---|---|
| default | fritz.fonwlan.box | UGS | 1 | 51109 | rl0 | |
| 10.6/16 | 10.6.12.1 | UGS | 0 | 0 | rl1 | |
| localhost | localhost | UH | 1 | 0 | lo0 | |
| 172.17.88/24 | link#1 | UC | 0 | 0 | rl0 | |
| fritz.fonwlan.box | 00:1f:3f:d1:37:d9 | UHLW | 2 | 13 | rl0 | 1169 |
| m0n0wall | localhost | UGHS | 0 | 0 | lo0 | |
| 192.168.0 | link#3 | UC | 0 | 0 | rl2 | |
| wg-mini | 00:40:f4:b8:33:95 | UHLW | 1 | 0 | lo0 | |
| 192.168.0.199 | 00:50:fc:70:68:9b | UHLW | 1 | 91431 | rl2 | 440 |
kann jemand vielleicht helfen die richtigen Routen zu finden um mir zu ermöglichen zwischen allen Netzen gleichermaßen zu routen?
Vielen Dank im Vorraus,
Eisel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194325
Url: https://administrator.de/contentid/194325
Printed on: April 19, 2024 at 07:04 o'clock
3 Comments
Latest comment
Mit Routen hat dein Problem rein gar nix zu tun...vergiss das also !
Etwas verwirrend ist das ja schon was du da schreibst, speziell der Punkt 4 mit dem VPN ! Aber egal für die Funktion die du erreichen willst ist das erstmal egal.
Vermutlich scheiterst du, wie immer bei diesen Fragen, an den Firewall Regeln weil du eine falsche Logik in der Regelreihenfolge verwendest.
Die beiden Tutorials:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
gehen in mehreren Hinweisen explizit darauf ein aber wir wiederholen das gerne nochmal für dich.
Die 2 eisernen Firewall Regel Grundlagen sind:
Spezielle Routing einträge brauchst du keine ! Logisch, denn alle IP Netze sind ja direkt an der FW angeschlossen und diese "weiss" somit wie sie alle Netze erreichen kann.
Oben schreibst du "IP:190.68.0.1" Dieses Netzwerk taucht aber nirgendwo auf bei dir und ist auch kein RFC1918 Netz.
Vermutlich ein Tippfehler, oder ??
Also der Reihe nach:
Du hast nun 2 Optionen am OPT 1 Port:
1.) Entweder trägst du hier auch eine Scheunentor FW Regel ein wie am LAN Port also any zu any jeder darf überall hin. Oder...
2.) Wenn du nur vom OPT1 Netz ins LAN willst und sonst nix dann eben nur eine Regel:
ALLOW Source: OPT1 network, Port any, Destination: LAN network, Port any
Fertisch
Dann können OPT1 Rechner auf LAN Rechner zugreifen aber nix anderes also auch nix Internet.
Falls du Regeln schon hast. dann beachte die Reihenfolge dieser am OPT Port !
Den Rest mit dem Punkt 4. und dem VPN Kauderwelsch versteht kein normaler ITler aber nundenn das ist ja auch nicht dein Problem dieses Threads.
Nochwas: Es macht Sinn schlauerweise immer mal bei solcher Art Problemen ins Firewall Log zu sehen !!
Dort steht meistens sehr genau WAS und WARUM es geblockt wurde so das man den Fehler schnell selbst fixen kann !!
Und nochwas zur Adressierung. Du solltest nie einer FW oder Router per DHCP IP Adressen vergeben. Besser ist immer statisch. Wenn du irgendwann mal mit z.B. VPNs arbeiten musst oder willst musst du Port Forwarding auf der davorliegenden FritzBox machen. Zeigt der PFW Eintrag auf eine dynmaisch vergeben IP die sich irgendwann mal ändert muss man dir hier nicht mehr groß beschreiben was passiert.... Router, FWs, Server, NAS usw. haben immer feste statische IPs !!
Etwas verwirrend ist das ja schon was du da schreibst, speziell der Punkt 4 mit dem VPN ! Aber egal für die Funktion die du erreichen willst ist das erstmal egal.
Vermutlich scheiterst du, wie immer bei diesen Fragen, an den Firewall Regeln weil du eine falsche Logik in der Regelreihenfolge verwendest.
Die beiden Tutorials:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
gehen in mehreren Hinweisen explizit darauf ein aber wir wiederholen das gerne nochmal für dich.
Die 2 eisernen Firewall Regel Grundlagen sind:
- Regeln gelten immer nur eingehend ! Also für Pakete die ins FW Interface reinkommen !
- Die Regeln funktionieren nach dem sog. "First match wins" Prizip. Also beim ersten Regelsatz der zutrifft werden darauf folgende Regelsätze nicht mehr abgearbeitet. Du kannst also nicht erst was erlauben und dann verbieten. Die Reihenfolge ist also immens wichtig für die korrekte Funktion.
Spezielle Routing einträge brauchst du keine ! Logisch, denn alle IP Netze sind ja direkt an der FW angeschlossen und diese "weiss" somit wie sie alle Netze erreichen kann.
Oben schreibst du "IP:190.68.0.1" Dieses Netzwerk taucht aber nirgendwo auf bei dir und ist auch kein RFC1918 Netz.
Vermutlich ein Tippfehler, oder ??
Also der Reihe nach:
- WAN Port sollte soweit OK sein. Funtioniert ja alles. Wichtig ist nur hier das die am WAN Interface unten den haken beim Blocking der RFC1918 IP Netze entfernst weil du ja so eins zur FB hast. Vermutlich aber hast du das gemacht da es ja klappt ?!
- Der LAN Port hat per Default eine any zu any Firewall Regel. Leider hast du hier keine Port Regeln gepostet so das eine zielführende Hilfe nicht möglich ist und wir mal wieder raten müssen
Raten wir aber mal das du diese Regel nicht verändert hast ?! Also so lassen... - Kommen wir zum Wohnheim Interface OPT1, 10.16er Netz. Per Default ist hier in den Port FW Regeln alles verboten (keine Regel) Nehmen wir mal an du hast das nicht verändert dann kommen Pakete noch (da outgoing) vom LAN ins OPT1 zu einem Endgerät dort. Das Endgerät will das Paket zurücksenden mit einer Ziel IP aus Port LAN bleibt nun aber logischerweise in den FW Regeln am OPT1 Port hängen denn die blocken das logischerweise !
Du hast nun 2 Optionen am OPT 1 Port:
1.) Entweder trägst du hier auch eine Scheunentor FW Regel ein wie am LAN Port also any zu any jeder darf überall hin. Oder...
2.) Wenn du nur vom OPT1 Netz ins LAN willst und sonst nix dann eben nur eine Regel:
ALLOW Source: OPT1 network, Port any, Destination: LAN network, Port any
Fertisch
Dann können OPT1 Rechner auf LAN Rechner zugreifen aber nix anderes also auch nix Internet.
Falls du Regeln schon hast. dann beachte die Reihenfolge dieser am OPT Port !
Den Rest mit dem Punkt 4. und dem VPN Kauderwelsch versteht kein normaler ITler aber nundenn das ist ja auch nicht dein Problem dieses Threads.
Nochwas: Es macht Sinn schlauerweise immer mal bei solcher Art Problemen ins Firewall Log zu sehen !!
Dort steht meistens sehr genau WAS und WARUM es geblockt wurde so das man den Fehler schnell selbst fixen kann !!
Und nochwas zur Adressierung. Du solltest nie einer FW oder Router per DHCP IP Adressen vergeben. Besser ist immer statisch. Wenn du irgendwann mal mit z.B. VPNs arbeiten musst oder willst musst du Port Forwarding auf der davorliegenden FritzBox machen. Zeigt der PFW Eintrag auf eine dynmaisch vergeben IP die sich irgendwann mal ändert muss man dir hier nicht mehr groß beschreiben was passiert.... Router, FWs, Server, NAS usw. haben immer feste statische IPs !!
Danke schonmal für die ausführliche Antwort..
192.68.0.1 war wie du sagtest ein tippfehler.
Die FW kriegt immer die selbe IP, sprich ihr wird immer die selbe zugewiesen.
Es sind grade für jedes interface die Regeln any zu any definiert, da die FW auch mein erster Anhaltspunkt der Problembehebung war.
Das hier ist der Firewall log nach einem Traceroute zu 10.6.12.1 von Rechner mit der ip 192.168.0.199 .
Bei einem Ping tauchen nur die ersten beiden Zeilen im log auf.
Ich verstehe da nicht, wieso übrhaupt das 192.168.178er netz aufgelistet wird.
Und da in jedem interface die Regel any to any gilt sollte an für sich auch jedes netz mit jedem kommunizieren können, was es ja nicht tut. Deswegen ging ich auch davon aus, das es ein Routingproblem sein müsste..
192.68.0.1 war wie du sagtest ein tippfehler.
Die FW kriegt immer die selbe IP, sprich ihr wird immer die selbe zugewiesen.
Es sind grade für jedes interface die Regeln any zu any definiert, da die FW auch mein erster Anhaltspunkt der Problembehebung war.
| Time | If | Source | Destination |
|---|---|---|---|
| 22:11:51.193565 | OPT1 | 192.168.178.160, port 17500 | 192.168.178.255, port 17500 |
| 22:11:51.188240 | OPT1 | 192.168.178.160, port 17500 | 255.255.255.255, port 17500 |
| 22:11:50.693953 | OPT1 | 192.168.178.160, port 52928 | 224.0.0.252, port 5355 |
| 22:11:34.788298 | OPT1 | 192.168.178.1, port 67 | 255.255.255.255, port 68 |
| 22:11:33.777562 | OPT1 | 0.0.0.0, port 68 | 255.255.255.255, port 67 |
| 22:11:33.635820 | OPT1 | 169.254.235.73, port 53339 | 224.0.0.252, port 5355 |
| 22:11:21.003020 | OPT1 | 192.168.178.160, port 17500 | 192.168.178.255, port 17500 |
| 22:11:20.998913 | OPT1 | 192.168.178.160, port 17500 | 255.255.255.255, port 17500 |
| 22:11:07.459536 | OPT1 | 192.168.178.56, port 138 | 192.168.178.255, port 138 |
Das hier ist der Firewall log nach einem Traceroute zu 10.6.12.1 von Rechner mit der ip 192.168.0.199 .
Bei einem Ping tauchen nur die ersten beiden Zeilen im log auf.
Ich verstehe da nicht, wieso übrhaupt das 192.168.178er netz aufgelistet wird.
Und da in jedem interface die Regel any to any gilt sollte an für sich auch jedes netz mit jedem kommunizieren können, was es ja nicht tut. Deswegen ging ich auch davon aus, das es ein Routingproblem sein müsste..
Das Posting der Regeln ist sinnlos so, denn man kann nicht sehen ob blocked oder passed da das Symbol davor fehlt
So wie es aussieht ist aber die FW nicht dein Problem sondern irgendwas anderes was in deinem Netzwerk Amok läuft.
Deine Adressierung scheint totaler Murks zu sein, denn es tummeln sich ja vollkommen falsche IP Adressen in deinen Segmenten rum die mit deinen IP Netzen am FW Port nicht das geringste zu tun haben !!
Vermutlich haben diese IPs und auch die anderen auch noch vollkommen falsche Gateway IP Adressen !?
Es ist klar das Endgeräte die über die FW arbeiten sollen auch immer die IP Adressen der Firewall Ports als Gateways eingetragen haben MÜSSEN !!
Oder eben deren Router eine statische Route auf die FW IPs haben müssen sollten diese Endgeräte andere Gateway IPs benutzen.
Du solltest also erstmal strategisch vorgehen und das Choas in der Adressierung lösen.
Am besten dazu Interface für Interface aktiv schalten, von den Endgeräten anpingen usw.
Dann klappt das auch !!
So wie es aussieht ist aber die FW nicht dein Problem sondern irgendwas anderes was in deinem Netzwerk Amok läuft.
Deine Adressierung scheint totaler Murks zu sein, denn es tummeln sich ja vollkommen falsche IP Adressen in deinen Segmenten rum die mit deinen IP Netzen am FW Port nicht das geringste zu tun haben !!
Vermutlich haben diese IPs und auch die anderen auch noch vollkommen falsche Gateway IP Adressen !?
Es ist klar das Endgeräte die über die FW arbeiten sollen auch immer die IP Adressen der Firewall Ports als Gateways eingetragen haben MÜSSEN !!
Oder eben deren Router eine statische Route auf die FW IPs haben müssen sollten diese Endgeräte andere Gateway IPs benutzen.
Du solltest also erstmal strategisch vorgehen und das Choas in der Adressierung lösen.
Am besten dazu Interface für Interface aktiv schalten, von den Endgeräten anpingen usw.
Dann klappt das auch !!
