Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PfSense blockiert Traffic, vermutlich Routing Problem

Frage Netzwerke Router & Routing

Mitglied: tonabnehmer

tonabnehmer (Level 2) - Jetzt verbinden

25.08.2011 um 21:51 Uhr, 6697 Aufrufe, 2 Kommentare, 1 Danke

Hi,

ich habe hier folgende Netzwerkstruktur:

8959349ea311062f75567541bdee67d3 - Klicke auf das Bild, um es zu vergrößern

In der pfSense ist eine statische Route in die DMZ gesetzt über das Gateway 10.2.0.8. Windows Clients im LAN erkennen diese und tracert in die DMZ geht auch direkt über 10.2.0.8 als 1. Hop. Nun habe ich einen Ubuntu Client im LAN, der auf einem Oracle Server in der DMZ zugreifen möchte. Traceroute geht im Unterschied zu Windows über 10.2.0.1 -> 10.2.0.8 -> Ziel IP. Der Ubuntu Client kann die Ziel IP in der DMZ anpingen und auch Telnet auf Port 1521 (Oracle) funktioniert. Was nicht funktioniert ist die Verbindung mit Oracle. Die pfSense blockiert den Zugriff:

pf: 10.2.0.27.60487 > 10.1.0.123.1521: Flags [P.], cksum 0xfc71 (correct), ack 1, win 349, options [nop,nop,TS val 2219607185 ecr 2827857], length 87

Ich vermute hier ein Routing Problem, da die Antwort aus der DMZ ja über 10.2.0.8 direkt ins LAN zurück kommt und nicht über die 10.2.0.1. Auf pfSense habe ich Firewall/NAT auf conservative gestellt und Srub deaktiviert, was aber nichts geholfen hat. Die Default Rule lehnt weiter ab.

Hat jemand eine Idee außer auf der Ubuntu Maschine eine statische Route zu setzen?

Danke und Grüße,
tonabnehmer
Mitglied: aqui
26.08.2011 um 08:18 Uhr
Wir gehen mal davon aus das du sowohl bei Ubuntu als auch bei den Winblows Clients die 10.0.2.1 als default Gateway eingestellt hast.
Es sie so aus als ob du ICMP deaktiviert hast oder blockierst auf den FW Interfaces. Der Ubuntu Traceroute zeigt das eindeutig.
Normalerweise sollte pfSense ein ICMP Redirect schicken an alle Clients im LAN das der next Hop für das DMZ Segment direkt die 10.0.2.8 ist. Daraufhin nutzen alle Clients sofort direkt die .8 als Gateway. Es ist ja ein sinnloser Umweg alle Pakete weiter zur .1 zu senden und kostet obendrein Performance, da man im selben Segment den Traffic verdoppelt.
Sinnvollerweise gibt es dafür das ICMP Redirect wenn das 2te Gateway im selben Segment ist. Finde also heraus warum der Ubuntu Client diese Redirects nicht verarbeitet. In deiner Konstellation solltest du in jedem Fall diese Messages auf dem LAN Segment erlauben.
Bei Winblows ist das übrigens der Haken in den erweiterten FW Einstellungen "Umleitungen zulassen".
Zusätzlich solltest du natürlich deine FW Regeln überprüfen nicht das du Oracle Ports blockst...?!
Oft hilft es auch IPv6 im Dual Stack zu deaktivieren auf FW und Clients wenn du es nicht benötigst.
Ein Routing Problem ist es de facto in diesem sehr simplen Szenario sicher nicht, zumal dir Ping und Traceroute ja dies auch eindeutig bestätigen !!
Bitte warten ..
Mitglied: tonabnehmer
26.08.2011 um 13:12 Uhr
Hallo aqui,

vielen Dank für die zielführende Erklärung! Es scheint so, als ob Ubuntu Server und auch RedHat Enterprise in den aktuellen Versionen ICMP Redirects per Default nicht akzeptieren bzw. je nach Edition und Version sich auch unterschiedlich verhalten. Konfiguriert wird das in der /etc/sysctl.conf über die Parameter [...]accept_redirects und kann hier nachgelesen werden: http://www.itsyourip.com/Security/how-to-disable-icmp-redirects-in-linu ....

Als Lösung habe ich aber nicht die /etc/sysctl.conf editiert sondern persistente statische Routen in die DMZ eingerichtet. Der Nachteil ist dabei, dass bei Änderung der IP dies auf allen Rechnern angepasst werden muss. Bei der /etc/sysctl.conf bin ich mir aber nicht sicher, ob die bei einem Update/Upgrade nicht überschrieben wird. Die statische Route erschien mir die zuverlässigste Lösung.

Besten Dank und Grüße,
tonabnehmer
Bitte warten ..
Ähnliche Inhalte
Router & Routing
PFsense Routing Problem
Frage von daMopsiRouter & Routing

Hallo Zusammen, vorab ein paar Informationen. Als Firewall haben wir eine PFSense (aktuelle Firmware) im Einsatz. Diese reicht soweit ...

Router & Routing
PfSense routing?
Frage von TheOnlyOneRouter & Routing4 Kommentare

Hallo zusammen, ich verstehe so langsam nichts mehr habe eine pfsense int0 WAN int1 LAN VLAn10 (Client) int1 LAN ...

Firewall
Pfsense traffic überwachen
Frage von thomasreischerFirewall5 Kommentare

Hallo zusammen, Ich suche momentan noch nach einer guten Lösung um mit pfsense den Traffic zu überwachen. Ntopng wäre ...

Router & Routing
Pfsense Traffic proiorisieren
Frage von theoberlinRouter & Routing7 Kommentare

Hallo zusammen, heute wollte ich mit dem traffic shaper der PfSense dem Exchange Server ein Minumum an Bandbreite zusichern. ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 8 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 11 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...