Routing über 3 Netze mit Monowall
Hallo zusammen,
ich möchte 3 Netze über die Monowall miteinander verbiden.
Erstmal die Problemstellung:
Meine Monowall hat 3 Netze angeschlossen..
1. WAN: Bezieht DHCP von der Fritzbox, welche weiter mit dem Internet verbunden ist und WLAN verteilt. IP:172.17.88.1
2. LAN: Stellt DHCP Server zur Verfügung. IP:190.68.0.1
3. OPT1: Sollte DHCP vom Wohnheimverteiler(10.6.12.1) beziehen, was ich leider nicht auswählen kann. Es wird der Mac automatisch dieselbe IP zugeordnet, deswegen steht die IP fest auf 10.6.14.48/16
zum 4. läuft über ein PPTP VPN, der fürs OPT1 interface läuft, damit man vom wohnheim über mich ins internet kommen kann.
Alle Verbindungen zur Fritzbox laufen einwandfrei und werden richtig geroutet.
Mein Problem ist, dass ich nun vom LAN interface nicht ins OPT1 interface routen kann und somit nicht vom 190er privaten netz ins 10.6er Netz des Wohnheimnetes komme und umgekehrt.
Zum aufbau mal die Routingtabelle der Monowall:
Internet:
kann jemand vielleicht helfen die richtigen Routen zu finden um mir zu ermöglichen zwischen allen Netzen gleichermaßen zu routen?
Vielen Dank im Vorraus,
Eisel
ich möchte 3 Netze über die Monowall miteinander verbiden.
Erstmal die Problemstellung:
Meine Monowall hat 3 Netze angeschlossen..
1. WAN: Bezieht DHCP von der Fritzbox, welche weiter mit dem Internet verbunden ist und WLAN verteilt. IP:172.17.88.1
2. LAN: Stellt DHCP Server zur Verfügung. IP:190.68.0.1
3. OPT1: Sollte DHCP vom Wohnheimverteiler(10.6.12.1) beziehen, was ich leider nicht auswählen kann. Es wird der Mac automatisch dieselbe IP zugeordnet, deswegen steht die IP fest auf 10.6.14.48/16
zum 4. läuft über ein PPTP VPN, der fürs OPT1 interface läuft, damit man vom wohnheim über mich ins internet kommen kann.
Alle Verbindungen zur Fritzbox laufen einwandfrei und werden richtig geroutet.
Mein Problem ist, dass ich nun vom LAN interface nicht ins OPT1 interface routen kann und somit nicht vom 190er privaten netz ins 10.6er Netz des Wohnheimnetes komme und umgekehrt.
Zum aufbau mal die Routingtabelle der Monowall:
Internet:
Destination | Gateway | Flags | Refs | Use | Netif | Expire |
---|---|---|---|---|---|---|
default | fritz.fonwlan.box | UGS | 1 | 51109 | rl0 | |
10.6/16 | 10.6.12.1 | UGS | 0 | 0 | rl1 | |
localhost | localhost | UH | 1 | 0 | lo0 | |
172.17.88/24 | link#1 | UC | 0 | 0 | rl0 | |
fritz.fonwlan.box | 00:1f:3f:d1:37:d9 | UHLW | 2 | 13 | rl0 | 1169 |
m0n0wall | localhost | UGHS | 0 | 0 | lo0 | |
192.168.0 | link#3 | UC | 0 | 0 | rl2 | |
wg-mini | 00:40:f4:b8:33:95 | UHLW | 1 | 0 | lo0 | |
192.168.0.199 | 00:50:fc:70:68:9b | UHLW | 1 | 91431 | rl2 | 440 |
kann jemand vielleicht helfen die richtigen Routen zu finden um mir zu ermöglichen zwischen allen Netzen gleichermaßen zu routen?
Vielen Dank im Vorraus,
Eisel
Please also mark the comments that contributed to the solution of the article
Content-Key: 194325
Url: https://administrator.de/contentid/194325
Printed on: April 19, 2024 at 07:04 o'clock
3 Comments
Latest comment
Mit Routen hat dein Problem rein gar nix zu tun...vergiss das also !
Etwas verwirrend ist das ja schon was du da schreibst, speziell der Punkt 4 mit dem VPN ! Aber egal für die Funktion die du erreichen willst ist das erstmal egal.
Vermutlich scheiterst du, wie immer bei diesen Fragen, an den Firewall Regeln weil du eine falsche Logik in der Regelreihenfolge verwendest.
Die beiden Tutorials:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
gehen in mehreren Hinweisen explizit darauf ein aber wir wiederholen das gerne nochmal für dich.
Die 2 eisernen Firewall Regel Grundlagen sind:
Spezielle Routing einträge brauchst du keine ! Logisch, denn alle IP Netze sind ja direkt an der FW angeschlossen und diese "weiss" somit wie sie alle Netze erreichen kann.
Oben schreibst du "IP:190.68.0.1" Dieses Netzwerk taucht aber nirgendwo auf bei dir und ist auch kein RFC1918 Netz.
Vermutlich ein Tippfehler, oder ??
Also der Reihe nach:
Du hast nun 2 Optionen am OPT 1 Port:
1.) Entweder trägst du hier auch eine Scheunentor FW Regel ein wie am LAN Port also any zu any jeder darf überall hin. Oder...
2.) Wenn du nur vom OPT1 Netz ins LAN willst und sonst nix dann eben nur eine Regel:
ALLOW Source: OPT1 network, Port any, Destination: LAN network, Port any
Fertisch
Dann können OPT1 Rechner auf LAN Rechner zugreifen aber nix anderes also auch nix Internet.
Falls du Regeln schon hast. dann beachte die Reihenfolge dieser am OPT Port !
Den Rest mit dem Punkt 4. und dem VPN Kauderwelsch versteht kein normaler ITler aber nundenn das ist ja auch nicht dein Problem dieses Threads.
Nochwas: Es macht Sinn schlauerweise immer mal bei solcher Art Problemen ins Firewall Log zu sehen !!
Dort steht meistens sehr genau WAS und WARUM es geblockt wurde so das man den Fehler schnell selbst fixen kann !!
Und nochwas zur Adressierung. Du solltest nie einer FW oder Router per DHCP IP Adressen vergeben. Besser ist immer statisch. Wenn du irgendwann mal mit z.B. VPNs arbeiten musst oder willst musst du Port Forwarding auf der davorliegenden FritzBox machen. Zeigt der PFW Eintrag auf eine dynmaisch vergeben IP die sich irgendwann mal ändert muss man dir hier nicht mehr groß beschreiben was passiert.... Router, FWs, Server, NAS usw. haben immer feste statische IPs !!
Etwas verwirrend ist das ja schon was du da schreibst, speziell der Punkt 4 mit dem VPN ! Aber egal für die Funktion die du erreichen willst ist das erstmal egal.
Vermutlich scheiterst du, wie immer bei diesen Fragen, an den Firewall Regeln weil du eine falsche Logik in der Regelreihenfolge verwendest.
Die beiden Tutorials:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
gehen in mehreren Hinweisen explizit darauf ein aber wir wiederholen das gerne nochmal für dich.
Die 2 eisernen Firewall Regel Grundlagen sind:
- Regeln gelten immer nur eingehend ! Also für Pakete die ins FW Interface reinkommen !
- Die Regeln funktionieren nach dem sog. "First match wins" Prizip. Also beim ersten Regelsatz der zutrifft werden darauf folgende Regelsätze nicht mehr abgearbeitet. Du kannst also nicht erst was erlauben und dann verbieten. Die Reihenfolge ist also immens wichtig für die korrekte Funktion.
Spezielle Routing einträge brauchst du keine ! Logisch, denn alle IP Netze sind ja direkt an der FW angeschlossen und diese "weiss" somit wie sie alle Netze erreichen kann.
Oben schreibst du "IP:190.68.0.1" Dieses Netzwerk taucht aber nirgendwo auf bei dir und ist auch kein RFC1918 Netz.
Vermutlich ein Tippfehler, oder ??
Also der Reihe nach:
- WAN Port sollte soweit OK sein. Funtioniert ja alles. Wichtig ist nur hier das die am WAN Interface unten den haken beim Blocking der RFC1918 IP Netze entfernst weil du ja so eins zur FB hast. Vermutlich aber hast du das gemacht da es ja klappt ?!
- Der LAN Port hat per Default eine any zu any Firewall Regel. Leider hast du hier keine Port Regeln gepostet so das eine zielführende Hilfe nicht möglich ist und wir mal wieder raten müssen Raten wir aber mal das du diese Regel nicht verändert hast ?! Also so lassen...
- Kommen wir zum Wohnheim Interface OPT1, 10.16er Netz. Per Default ist hier in den Port FW Regeln alles verboten (keine Regel) Nehmen wir mal an du hast das nicht verändert dann kommen Pakete noch (da outgoing) vom LAN ins OPT1 zu einem Endgerät dort. Das Endgerät will das Paket zurücksenden mit einer Ziel IP aus Port LAN bleibt nun aber logischerweise in den FW Regeln am OPT1 Port hängen denn die blocken das logischerweise !
Du hast nun 2 Optionen am OPT 1 Port:
1.) Entweder trägst du hier auch eine Scheunentor FW Regel ein wie am LAN Port also any zu any jeder darf überall hin. Oder...
2.) Wenn du nur vom OPT1 Netz ins LAN willst und sonst nix dann eben nur eine Regel:
ALLOW Source: OPT1 network, Port any, Destination: LAN network, Port any
Fertisch
Dann können OPT1 Rechner auf LAN Rechner zugreifen aber nix anderes also auch nix Internet.
Falls du Regeln schon hast. dann beachte die Reihenfolge dieser am OPT Port !
Den Rest mit dem Punkt 4. und dem VPN Kauderwelsch versteht kein normaler ITler aber nundenn das ist ja auch nicht dein Problem dieses Threads.
Nochwas: Es macht Sinn schlauerweise immer mal bei solcher Art Problemen ins Firewall Log zu sehen !!
Dort steht meistens sehr genau WAS und WARUM es geblockt wurde so das man den Fehler schnell selbst fixen kann !!
Und nochwas zur Adressierung. Du solltest nie einer FW oder Router per DHCP IP Adressen vergeben. Besser ist immer statisch. Wenn du irgendwann mal mit z.B. VPNs arbeiten musst oder willst musst du Port Forwarding auf der davorliegenden FritzBox machen. Zeigt der PFW Eintrag auf eine dynmaisch vergeben IP die sich irgendwann mal ändert muss man dir hier nicht mehr groß beschreiben was passiert.... Router, FWs, Server, NAS usw. haben immer feste statische IPs !!
Das Posting der Regeln ist sinnlos so, denn man kann nicht sehen ob blocked oder passed da das Symbol davor fehlt
So wie es aussieht ist aber die FW nicht dein Problem sondern irgendwas anderes was in deinem Netzwerk Amok läuft.
Deine Adressierung scheint totaler Murks zu sein, denn es tummeln sich ja vollkommen falsche IP Adressen in deinen Segmenten rum die mit deinen IP Netzen am FW Port nicht das geringste zu tun haben !!
Vermutlich haben diese IPs und auch die anderen auch noch vollkommen falsche Gateway IP Adressen !?
Es ist klar das Endgeräte die über die FW arbeiten sollen auch immer die IP Adressen der Firewall Ports als Gateways eingetragen haben MÜSSEN !!
Oder eben deren Router eine statische Route auf die FW IPs haben müssen sollten diese Endgeräte andere Gateway IPs benutzen.
Du solltest also erstmal strategisch vorgehen und das Choas in der Adressierung lösen.
Am besten dazu Interface für Interface aktiv schalten, von den Endgeräten anpingen usw.
Dann klappt das auch !!
So wie es aussieht ist aber die FW nicht dein Problem sondern irgendwas anderes was in deinem Netzwerk Amok läuft.
Deine Adressierung scheint totaler Murks zu sein, denn es tummeln sich ja vollkommen falsche IP Adressen in deinen Segmenten rum die mit deinen IP Netzen am FW Port nicht das geringste zu tun haben !!
Vermutlich haben diese IPs und auch die anderen auch noch vollkommen falsche Gateway IP Adressen !?
Es ist klar das Endgeräte die über die FW arbeiten sollen auch immer die IP Adressen der Firewall Ports als Gateways eingetragen haben MÜSSEN !!
Oder eben deren Router eine statische Route auf die FW IPs haben müssen sollten diese Endgeräte andere Gateway IPs benutzen.
Du solltest also erstmal strategisch vorgehen und das Choas in der Adressierung lösen.
Am besten dazu Interface für Interface aktiv schalten, von den Endgeräten anpingen usw.
Dann klappt das auch !!