Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Palo Alto Routing

Frage Netzwerke Router & Routing

Mitglied: Maik20

Maik20 (Level 1) - Jetzt verbinden

09.01.2018 um 21:45 Uhr, 276 Aufrufe, 6 Kommentare

Hallo,

ich habe folgendes Problem mit einer Firewall. Die Clients im Netz 10.3.10.x haben keine Verbindung zum Internet. Als Gateway ist auf den Clients die 10.3.10.1 eingetragen. Vom Client kann ich die 10.3.10.1 auch per PING erreichen. Hierbei handelt es sich um eine Palo Alto. Die Routing Tabelle zeigt folgende routen:

01.
VIRTUAL ROUTER: default (id 1) 
02.
  ========== 
03.
destination                                 nexthop                                 metric flags      age   interface          next-AS 
04.
0.0.0.0/0                                   62.156.244.77                           10     A S              ethernet1/3 
05.
10.1.0.0/16                                 0.0.0.0                                 10     A S              tunnel.1 
06.
10.2.2.0/24                                 10.2.2.1                                0      A C              vlan.2 
07.
10.2.2.1/32                                 0.0.0.0                                 0      A H 
08.
10.2.5.0/24                                 10.2.2.2                                10     A S              vlan.2 
09.
10.2.10.0/24                                10.2.2.2                                10     A S              vlan.2 
10.
10.2.11.0/24                                10.2.11.1                               0      A C              vlan.11 
11.
10.2.11.1/32                                0.0.0.0                                 0      A H 
12.
10.2.12.0/24                                10.2.12.1                               0      A C              vlan.12 
13.
10.2.12.1/32                                0.0.0.0                                 0      A H 
14.
10.2.20.0/24                                10.2.2.2                                10     A S              vlan.2 
15.
10.2.21.0/24                                10.2.2.2                                10     A S              vlan.2 
16.
10.2.70.0/24                                10.2.70.1                               0      A C              vlan.70 
17.
10.2.70.1/32                                0.0.0.0                                 0      A H 
18.
10.2.80.0/24                                10.2.2.2                                10     A S              vlan.2 
19.
10.3.10.0/24                                10.3.10.1                               0      A C              vlan.310 
20.
10.3.10.1/32                                0.0.0.0                                 0      A H 
21.
10.3.90.0/24                                10.3.90.1                               0      A C              vlan.390 
22.
10.3.90.1/32                                0.0.0.0                                 0      A H 
23.
62.156.244.77/32                            81.151.124.252                          10     A S              ethernet1/3 
24.
81.151.124.252/32                           0.0.0.0                                 0      A H 
25.
192.168.1.0/24                              192.168.1.254                           0      A C              ethernet1/4 
26.
192.168.1.254/32                            0.0.0.0                                 0      A H 
27.
total routes shown: 23
Das Interface 1/3 ist in der Zone "untrust" das vlan 310 ist in der Zone "trust2". Es gibt eine Policy, die besagt trust2 to untrust allow any. Irgendwie sehe ich gerade den Wald vor lauter Bäume nicht. Wenn ich es richtig lese verweißt die 10.3.10.1 auf die default route und diese landet auf dem interface 1/3. Damit müsste die Firewallregel passen.

Gibt es eine Möglichkeit das ich den Weg des Paketes mir anzeigen lassen kann?
Mitglied: certifiedit.net
10.01.2018 um 00:25 Uhr
Du hast doch die Routingtabelle, wobei ich befürchte (Adaption aus anderen FW), dass du für die Routings entsprechende Zuweisungen in der PA machen musst. Erst damit funktioniert dies dann problemlos. Ferner: Wessen RT ist das oben?

Darfst dich gerne auch direkt melden, ne PA wäre vllt zu Impressionszwecken ganz interessant.

VG
Bitte warten ..
Mitglied: MartinStrasser
10.01.2018 um 07:15 Uhr
Hallo,

die Routing-Tabelle sieht gut aus.

Hast Du auch die entsprechende FW-Policy bzw. NAT-Einträge erstellt?

Grüße,
Martin
Bitte warten ..
Mitglied: aqui
10.01.2018, aktualisiert um 09:56 Uhr
An der Routing Table liegt es sicher nicht, denn die ist in der Tat fehlerfrei.
Default Route auf die 62.156.244.77 (Telekom, "Maschinenraum Schönbrunn", http://www.utrace.de/whois/62.156.244.77) und die 10.3.10.1 ist die lokale IP des VLANs 310 auf der Firewall.

Ein Fehler in der VLAN Implementation scheidet aus denn wäre dem so könnten Clients aus dem VLAN 310 die Gateway IP auf der FW nicht pingen.
Bleibt also nur die Firewall selber. Mit an Sicherheit grenzender Wahrscheinlichkeit fehlt hier eine entsprechende FW Regel das 10.3.10er Traffic ins Internet passieren darf oder es fehlt die NAT Regel das dieser Traffic auf dem WAN Interface geNATet werden muss.
Bitte warten ..
Mitglied: Maik20
10.01.2018 um 12:29 Uhr
Eine FW-Policy habe ich konfiguriert. Aber wozu brauche ich in dem Zusammenhang NAT? Ich bringe NAT gerade nur in Verbindung mit einem Server auf den von außen zugegriffen werden soll. Oder? Wie müsste die NAT-Regel denn aussehen?

Danke!
Bitte warten ..
Mitglied: MartinStrasser
10.01.2018 um 14:38 Uhr
Hallo,

die PaloAlto ist eine "richtige" Firewall, welche nichts automatisch macht.

NAT ausgehend wird benötigt, um im Internet nicht routebare Adressen (RFC1918) hinter einer routebaren Adresse zu verstecken.
Damit hat das ausgehende Paket eine öffentliche Source-IP.

Grüße,
Martin
Bitte warten ..
Mitglied: aqui
10.01.2018, aktualisiert um 15:17 Uhr
Aber wozu brauche ich in dem Zusammenhang NAT?
Wie du ja selber sehen kannst ist dein VLAN 310 eine private RFC 1918 IP Adresse die im Internet nicht geroutet wird: https://de.wikipedia.org/wiki/Private_IP-Adresse
Folglich musst du diese IP also zwangsweise mit NAT (Adress Translation) auf eine öffentliche IPv4 Adresse umsetzen mit deiner Firewall. Sonst ist nix mit Internet...
Solche banalen Grundlagen sollte man aber wissen als Netzwerker...
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Hat jemand Palo Alto TRAPS im Einsatz ?
Frage von SaftnaseViren und Trojaner2 Kommentare

Moin moin, ich evaluiere gerade Palo Alto Traps, als Ersatz für die bestehende AV Lösung. Den Ansatz von Palo ...

Firewall
Layer 7 Firewall - Palo Alto oder SonicWall
gelöst Frage von Der-PhilFirewall18 Kommentare

Hallo! Ich suche eine neue Firewall für ca. 200 User an einer 155 Mbit/s Internetleitung + Backupleitung. Wichtig ist ...

Router & Routing
Palo Alto PA 220 an Telekom Deutschland LAN
gelöst Frage von Maik20Router & Routing1 Kommentar

Hallo, ich habe hier eine PA220 und eine Digibox Smart. Die Digibox ist im Bridge-Mode und fungiert als Modem. ...

Firewall
Problem Webinterface Palo Alto PA-200
Frage von YannoschFirewall

Guten Tag zusammen, wir haben hier bei uns eine kleine PA-200 im Einsatz. Mir ist neuerdings aufgefallen, dass das ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 StundeTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 StundeSicherheit4 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 StundenSicherheit2 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 2 StundenSicherheit9 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1027 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen19 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...