Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PfSense blockiert Traffic, vermutlich Routing Problem

Frage Netzwerke Router & Routing

Mitglied: tonabnehmer

tonabnehmer (Level 2) - Jetzt verbinden

25.08.2011 um 21:51 Uhr, 6610 Aufrufe, 2 Kommentare, 1 Danke

Hi,

ich habe hier folgende Netzwerkstruktur:

8959349ea311062f75567541bdee67d3 - Klicke auf das Bild, um es zu vergrößern

In der pfSense ist eine statische Route in die DMZ gesetzt über das Gateway 10.2.0.8. Windows Clients im LAN erkennen diese und tracert in die DMZ geht auch direkt über 10.2.0.8 als 1. Hop. Nun habe ich einen Ubuntu Client im LAN, der auf einem Oracle Server in der DMZ zugreifen möchte. Traceroute geht im Unterschied zu Windows über 10.2.0.1 -> 10.2.0.8 -> Ziel IP. Der Ubuntu Client kann die Ziel IP in der DMZ anpingen und auch Telnet auf Port 1521 (Oracle) funktioniert. Was nicht funktioniert ist die Verbindung mit Oracle. Die pfSense blockiert den Zugriff:

pf: 10.2.0.27.60487 > 10.1.0.123.1521: Flags [P.], cksum 0xfc71 (correct), ack 1, win 349, options [nop,nop,TS val 2219607185 ecr 2827857], length 87

Ich vermute hier ein Routing Problem, da die Antwort aus der DMZ ja über 10.2.0.8 direkt ins LAN zurück kommt und nicht über die 10.2.0.1. Auf pfSense habe ich Firewall/NAT auf conservative gestellt und Srub deaktiviert, was aber nichts geholfen hat. Die Default Rule lehnt weiter ab.

Hat jemand eine Idee außer auf der Ubuntu Maschine eine statische Route zu setzen?

Danke und Grüße,
tonabnehmer
Mitglied: aqui
26.08.2011 um 08:18 Uhr
Wir gehen mal davon aus das du sowohl bei Ubuntu als auch bei den Winblows Clients die 10.0.2.1 als default Gateway eingestellt hast.
Es sie so aus als ob du ICMP deaktiviert hast oder blockierst auf den FW Interfaces. Der Ubuntu Traceroute zeigt das eindeutig.
Normalerweise sollte pfSense ein ICMP Redirect schicken an alle Clients im LAN das der next Hop für das DMZ Segment direkt die 10.0.2.8 ist. Daraufhin nutzen alle Clients sofort direkt die .8 als Gateway. Es ist ja ein sinnloser Umweg alle Pakete weiter zur .1 zu senden und kostet obendrein Performance, da man im selben Segment den Traffic verdoppelt.
Sinnvollerweise gibt es dafür das ICMP Redirect wenn das 2te Gateway im selben Segment ist. Finde also heraus warum der Ubuntu Client diese Redirects nicht verarbeitet. In deiner Konstellation solltest du in jedem Fall diese Messages auf dem LAN Segment erlauben.
Bei Winblows ist das übrigens der Haken in den erweiterten FW Einstellungen "Umleitungen zulassen".
Zusätzlich solltest du natürlich deine FW Regeln überprüfen nicht das du Oracle Ports blockst...?!
Oft hilft es auch IPv6 im Dual Stack zu deaktivieren auf FW und Clients wenn du es nicht benötigst.
Ein Routing Problem ist es de facto in diesem sehr simplen Szenario sicher nicht, zumal dir Ping und Traceroute ja dies auch eindeutig bestätigen !!
Bitte warten ..
Mitglied: tonabnehmer
26.08.2011 um 13:12 Uhr
Hallo aqui,

vielen Dank für die zielführende Erklärung! Es scheint so, als ob Ubuntu Server und auch RedHat Enterprise in den aktuellen Versionen ICMP Redirects per Default nicht akzeptieren bzw. je nach Edition und Version sich auch unterschiedlich verhalten. Konfiguriert wird das in der /etc/sysctl.conf über die Parameter [...]accept_redirects und kann hier nachgelesen werden: http://www.itsyourip.com/Security/how-to-disable-icmp-redirects-in-linu ....

Als Lösung habe ich aber nicht die /etc/sysctl.conf editiert sondern persistente statische Routen in die DMZ eingerichtet. Der Nachteil ist dabei, dass bei Änderung der IP dies auf allen Rechnern angepasst werden muss. Bei der /etc/sysctl.conf bin ich mir aber nicht sicher, ob die bei einem Update/Upgrade nicht überschrieben wird. Die statische Route erschien mir die zuverlässigste Lösung.

Besten Dank und Grüße,
tonabnehmer
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Switch Cisco SG550XG und 2960X L3 und L2 VLAN Routing Problem (6)

Frage von Jimmysozinho zum Thema Netzwerke ...

Router & Routing
Routing Problem (Windows Server Routing und RAS) (5)

Frage von filou204 zum Thema Router & Routing ...

Router & Routing
Routing Problem VLANS Internet (67)

Frage von Cyberurmel zum Thema Router & Routing ...

Router & Routing
gelöst Mikrotik Switching und Routing Problem (11)

Frage von aqui zum Thema Router & Routing ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Gruppenzugehörigkeit von AD Usern ermitteln - die Perfektion fehlt (11)

Frage von Stefan007 zum Thema Batch & Shell ...

LAN, WAN, Wireless
gelöst Netzwerk in 2 Teile trennen (11)

Frage von pattex zum Thema LAN, WAN, Wireless ...

Windows Server
Benutzer lässt sich nur an einem Clientcomputer anmelden (11)

Frage von Ammann zum Thema Windows Server ...

Netzwerke
SFP Modul (miniGibic) (10)

Frage von apranet zum Thema Netzwerke ...