6
Palo Alto Routing
Hallo,
ich habe folgendes Problem mit einer Firewall. Die Clients im Netz 10.3.10.x haben keine Verbindung zum Internet. Als Gateway ist auf den Clients die 10.3.10.1 eingetragen. Vom Client kann ich die 10.3.10.1 auch per PING erreichen. Hierbei handelt es sich um eine Palo Alto. Die Routing Tabelle zeigt folgende routen:
Das Interface 1/3 ist in der Zone "untrust" das vlan 310 ist in der Zone "trust2". Es gibt eine Policy, die besagt trust2 to untrust allow any. Irgendwie sehe ich gerade den Wald vor lauter Bäume nicht. Wenn ich es richtig lese verweißt die 10.3.10.1 auf die default route und diese landet auf dem interface 1/3. Damit müsste die Firewallregel passen.
Gibt es eine Möglichkeit das ich den Weg des Paketes mir anzeigen lassen kann?
ich habe folgendes Problem mit einer Firewall. Die Clients im Netz 10.3.10.x haben keine Verbindung zum Internet. Als Gateway ist auf den Clients die 10.3.10.1 eingetragen. Vom Client kann ich die 10.3.10.1 auch per PING erreichen. Hierbei handelt es sich um eine Palo Alto. Die Routing Tabelle zeigt folgende routen:
VIRTUAL ROUTER: default (id 1)
==========
destination nexthop metric flags age interface next-AS
0.0.0.0/0 62.156.244.77 10 A S ethernet1/3
10.1.0.0/16 0.0.0.0 10 A S tunnel.1
10.2.2.0/24 10.2.2.1 0 A C vlan.2
10.2.2.1/32 0.0.0.0 0 A H
10.2.5.0/24 10.2.2.2 10 A S vlan.2
10.2.10.0/24 10.2.2.2 10 A S vlan.2
10.2.11.0/24 10.2.11.1 0 A C vlan.11
10.2.11.1/32 0.0.0.0 0 A H
10.2.12.0/24 10.2.12.1 0 A C vlan.12
10.2.12.1/32 0.0.0.0 0 A H
10.2.20.0/24 10.2.2.2 10 A S vlan.2
10.2.21.0/24 10.2.2.2 10 A S vlan.2
10.2.70.0/24 10.2.70.1 0 A C vlan.70
10.2.70.1/32 0.0.0.0 0 A H
10.2.80.0/24 10.2.2.2 10 A S vlan.2
10.3.10.0/24 10.3.10.1 0 A C vlan.310
10.3.10.1/32 0.0.0.0 0 A H
10.3.90.0/24 10.3.90.1 0 A C vlan.390
10.3.90.1/32 0.0.0.0 0 A H
62.156.244.77/32 81.151.124.252 10 A S ethernet1/3
81.151.124.252/32 0.0.0.0 0 A H
192.168.1.0/24 192.168.1.254 0 A C ethernet1/4
192.168.1.254/32 0.0.0.0 0 A H
total routes shown: 23Das Interface 1/3 ist in der Zone "untrust" das vlan 310 ist in der Zone "trust2". Es gibt eine Policy, die besagt trust2 to untrust allow any. Irgendwie sehe ich gerade den Wald vor lauter Bäume nicht. Wenn ich es richtig lese verweißt die 10.3.10.1 auf die default route und diese landet auf dem interface 1/3. Damit müsste die Firewallregel passen.
Gibt es eine Möglichkeit das ich den Weg des Paketes mir anzeigen lassen kann?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 360471
Url: https://administrator.de/contentid/360471
Printed on: April 18, 2024 at 20:04 o'clock
6 Comments
Latest comment
Du hast doch die Routingtabelle, wobei ich befürchte (Adaption aus anderen FW), dass du für die Routings entsprechende Zuweisungen in der PA machen musst. Erst damit funktioniert dies dann problemlos. Ferner: Wessen RT ist das oben?
Darfst dich gerne auch direkt melden, ne PA wäre vllt zu Impressionszwecken ganz interessant.
VG
Darfst dich gerne auch direkt melden, ne PA wäre vllt zu Impressionszwecken ganz interessant.
VG
Hallo,
die Routing-Tabelle sieht gut aus.
Hast Du auch die entsprechende FW-Policy bzw. NAT-Einträge erstellt?
Grüße,
Martin
die Routing-Tabelle sieht gut aus.
Hast Du auch die entsprechende FW-Policy bzw. NAT-Einträge erstellt?
Grüße,
Martin
An der Routing Table liegt es sicher nicht, denn die ist in der Tat fehlerfrei.
Default Route auf die 62.156.244.77 (Telekom, "Maschinenraum Schönbrunn", http://www.utrace.de/whois/62.156.244.77) und die 10.3.10.1 ist die lokale IP des VLANs 310 auf der Firewall.
Ein Fehler in der VLAN Implementation scheidet aus denn wäre dem so könnten Clients aus dem VLAN 310 die Gateway IP auf der FW nicht pingen.
Bleibt also nur die Firewall selber. Mit an Sicherheit grenzender Wahrscheinlichkeit fehlt hier eine entsprechende FW Regel das 10.3.10er Traffic ins Internet passieren darf oder es fehlt die NAT Regel das dieser Traffic auf dem WAN Interface geNATet werden muss.
Default Route auf die 62.156.244.77 (Telekom, "Maschinenraum Schönbrunn", http://www.utrace.de/whois/62.156.244.77) und die 10.3.10.1 ist die lokale IP des VLANs 310 auf der Firewall.
Ein Fehler in der VLAN Implementation scheidet aus denn wäre dem so könnten Clients aus dem VLAN 310 die Gateway IP auf der FW nicht pingen.
Bleibt also nur die Firewall selber. Mit an Sicherheit grenzender Wahrscheinlichkeit fehlt hier eine entsprechende FW Regel das 10.3.10er Traffic ins Internet passieren darf oder es fehlt die NAT Regel das dieser Traffic auf dem WAN Interface geNATet werden muss.
Eine FW-Policy habe ich konfiguriert. Aber wozu brauche ich in dem Zusammenhang NAT? Ich bringe NAT gerade nur in Verbindung mit einem Server auf den von außen zugegriffen werden soll. Oder? Wie müsste die NAT-Regel denn aussehen?
Danke!
Danke!
Hallo,
die PaloAlto ist eine "richtige" Firewall, welche nichts automatisch macht.
NAT ausgehend wird benötigt, um im Internet nicht routebare Adressen (RFC1918) hinter einer routebaren Adresse zu verstecken.
Damit hat das ausgehende Paket eine öffentliche Source-IP.
Grüße,
Martin
die PaloAlto ist eine "richtige" Firewall, welche nichts automatisch macht.
NAT ausgehend wird benötigt, um im Internet nicht routebare Adressen (RFC1918) hinter einer routebaren Adresse zu verstecken.
Damit hat das ausgehende Paket eine öffentliche Source-IP.
Grüße,
Martin
Aber wozu brauche ich in dem Zusammenhang NAT?
Wie du ja selber sehen kannst ist dein VLAN 310 eine private RFC 1918 IP Adresse die im Internet nicht geroutet wird: https://de.wikipedia.org/wiki/Private_IP-AdresseFolglich musst du diese IP also zwangsweise mit NAT (Adress Translation) auf eine öffentliche IPv4 Adresse umsetzen mit deiner Firewall. Sonst ist nix mit Internet...
Solche banalen Grundlagen sollte man aber wissen als Netzwerker...
