Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Pfsense firewall Rule für zweiten Gateway auf einer Monowall

Mitglied: Schrauber77

Schrauber77 (Level 1) - Jetzt verbinden

19.12.2012 um 17:09 Uhr, 3460 Aufrufe, 8 Kommentare

Hallo zusammen,


habe folgende Situation:

Standort1:

-Pfsense mit Kabel-Anschluss als Standardgateway für mein Lan
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort2 alles im gleichen Netz 10.0.1.0/24

Standort 2:
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort 1 und Standardgateway im Netz 10.0.2.0/24

Es befinden sich keine weiteren Router in den Netzten lediglich DSL und Kabel Modems.

Der Tunnel steht und die Kommunikation von Standort 1 nach Standort 2 funktioniert seitdem ich in der pfsense unter System -> Routing -> Gateways die Monowall als Gateway eingetragen habe und unter Routes das 10.0.2.0/24er Netz auf das Monowall-Gateway umgeleitet hab.

Seitdem funktioniert pingen und vnc-Viewer in beide Richtungen.
Lediglich der Zugriff auf Netzfreigaben und die Lotus Notes Kommunikation funktioniert nur, wenn ich am Standort 1 die Monowall als Standardgateway angegeben habe.

Ein Blick in die Firwall Logs der pfsense zeigt, dass diese die Komunikation vom Lan ins 10.0.2.0er Netz block.

Also habe ich eine FW Rule unter Lan mit TCP/UDP Source LAN net und Destination Network 10.0.2.0/24 Ports any eingetragen.

Leider wird die Kommunikation immer noch geblockt.

Welche FW Rule muss ich setzten damit die Kommunikation über die eingetragene Route erlaubt wird.

Schon mal vielen Dank im Voraus.


Mit bestem Gruß

Dominique Gruhn


Mitglied: sk
19.12.2012, aktualisiert um 20:14 Uhr
Hört sich nach einem Triangle-Route-Problem an (wäre per Ping nicht diagnostizierbar). Jedoch sollte dann auch VNC-Viewer nicht gehen.
Was spricht denn dagegen, die Monowall an ein separates Interface der pfsense zu koppeln (quasi ein Transfernetz)? Und wozu überhaupt die Monowall am Standort 1? Warum macht das nicht die pfsense mit?

Gruß
sk
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 02:46 Uhr
Die Monowall habe ich aus Gründen der Redundanz noch laufen.

Eigenartigerweise funktioniert die Kommunikation nachdem ich einen Ping abgesetzt habe für einige Minuten.

Gruß. Dominique
Bitte warten ..
Mitglied: 108012
20.12.2012, aktualisiert um 07:13 Uhr
Hallo Schrauber77,

es wäre ja auch einmal ziemlich cremig wenn Du schreiben könntest welche Hardware Du benutzt,
heute noch wäre ja schön, denn morgen geht ja Welt unter ;)

Netzwerk alternativ

Um die Geschwindigkeit des VPN Tunnels "etwas" anzuheben, kann man ja auch ein HSM (Hardware Security Module) einsetzen!
Bei pfSense kann man unter gewissen Umständen und je nach Verbindungstyp, den Durchsatz von ~14 MBit/s auf ~42 MBit/s steigern.
Ich meine das ist fast das dreifache und reicht in der Regel, nur falls es daran liegt, das Du kleinere "Kisten" am laufen hast!

Für Alix, IEI, LanTec, Soekris als mini PCI Karte Soekris vpn1411
Für Soekris net5501, IEI, Linatec als PCI Karte Soekris vpn1401
Für x86 Hardware oder Soekris net6501 als PCIe Karte Exar DX 1710 oder DX 1720

Falls es nur darum gehen sollte einen höheren Durchsatz zu erhalten!



Gruß
Dobby
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 10:22 Uhr
Hallo,

die pfsense läuft auf einem Alix Bord und die beiden Monowalls auf leer geräumten x86 Maschinen.

Das Tunnel-Tuning ist natürlich sehr interessant. Bringt mich so direkt aber leider nicht weiter.

Ich versteh nicht warum die pfsense den Verkehr Richtung Standort 2 blockt, eigentlich sollte diese doch nur Richtung Monowall routen.


Gruß Dominique
Bitte warten ..
Mitglied: sk
20.12.2012 um 10:54 Uhr
Hier ist die Triangleroute-Problematik bei stateful Firewalls erklärt (Punkt 14): http://www.zyxeltech.de/snotep202hplus/faq/fw_faq.htm

Gruß
sk
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 13:42 Uhr
Wenn man die obige Erklärung liest, könnte es das sein, aber genau daher möchte ich ja eben eine FW Regel erstellen, die diesen Verkehr zulässt.

Evtl. muss ich an Standort 1 den Telekomanschluss wirklich über die pfsense laufen lassen und die Monowall nur als Backup stehen lassen bzw. mir ein zweites Alix Bord auf Reserve besorgen.

Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......

@ D.o.b.b.y

Danke noch für die schöne Darstellung

Gruß Dominique
Bitte warten ..
Mitglied: sk
20.12.2012 um 14:14 Uhr
Zitat von Schrauber77:
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......

Dazu müsste die Monowall in ein Transfernetz oder der Traffic, der auf das selbe Interface wieder rausgeroutet wird, darf das Firewallregelwerk nicht durchlaufen. Ob man das bei pfsense einstellen kann, weiss ich nicht.
Besser wäre freilich, das 2. WAN und der Tunnel terminieren an der pfsense. Zwecks Gatewayredundanz setzt Du halt einen Cluster aus 2x pfsense auf.

Gruß
sk
Bitte warten ..
Mitglied: 108012
21.12.2012 um 06:50 Uhr
Hallo Schrauber77,

Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
so wie ich das von ..sk.. gelesen habe oder besser das gelesene deute, bist Du da eben noch nicht draußen!

Und die Zeichnung war ja nur dafür gemacht, dass Du dir nicht vielleicht überlegst die alten x86 Maschinen in "Rente" zuschicken, hinsichtlich der zukünftigen Stromkosten!

Mann kann auch, wenn man denn Willens ist die ganze Angelegenheit über zwei MikroTik RouterBoards
laufen zu lassen ist man seitens des Stromverbrauchs auch gut aufgestellt und das müssen ja nicht gleich die 500 € "Granaten" sein.

Hier im Forum ist das auch schon einmal so besprochen worden wie Du das aufzeichnest, kann ich mich noch gut daran erinnern und dort hat ein anderer Benutzer die Sache dann auch ganz elegant gelöst, in dem
er vorgeschlagen hat, den einen Router in der DMZ stehen zulassen und das ganze war erledigt!
Ich glaube das war der Benutzer @aqui, kannst unter seinem Namen ja mal nachschauen wo er alles
zu geantwortet hat, das muss meines Erachtens so im Juni, Juli August herum gewesen sein.

Vielleicht reicht Dir dieser Beitrag ja schon das ganze zu Deinem wohlwollen zu erledigen.

.....bzw. mir ein zweites Alix Bord auf Reserve besorgen.
Erst einmal abwarten bis nächstes Jahr die neuen Boards mit GB LAN raus kommen sonst ärgerst Du Dich nur
grün und blau! Wobei das auch nur ein wager Hinweis sein soll und kein Versprechen darstellt!
Denn wenn diese Leute etwas auf den Markt bringen dann ist es in der Regel ausgereift und deshalb dauert es dann eben auch meist länger.

Das mit der VPN Hardware Unterstützung würde ich mir grundsätzlich immer überlegen, denn
pfSense, mOnOwall, und OpenWRT unterstützen die von mir genannten Soekris Karten alle.
Und wenn man den Stromverbrauch klein halten kann und auf der anderen Seite den VPN Durchsatz
erhöhen kann ist das natürlich eine schicke Angelegenheit, meiner Meinung nach zumindest.

Netzwerk neu - mOnOwall in DMZ


Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense Monitoring Firewall Rules
Frage von JudgeDreddFirewall3 Kommentare

Hallo Zusammen, im Einsatz ist eine pfSense (Version 2.4.0), auf der diverse FW-Regeln angelegt sind. Es kommt ja immer ...

Firewall
PFSense Firewall WAN Rule, stehe auf dem Schlauch
gelöst Frage von theoberlinFirewall11 Kommentare

Aloha, ich stehe gerade mit den FireWall Rules der PFSense auf dem Schlauch. Normalerweise hat man ja Zonen…DMZ> WAN ...

Netzwerke
PfSense: Probleme mit Wirksamkeit von Rules
gelöst Frage von Fenris14Netzwerke12 Kommentare

Hallo, ich habe gerade ein Problem mit einem Setup für LAN-Rules. Dieses hatte ich vor einiger Zeit schon eingerichtet ...

Router & Routing
Firewall Rules Outbound Cisco RV130W
Frage von SergeantRaufboldRouter & Routing3 Kommentare

Hallo Zusammen, ich habe hier ein Problem mit den Firewall Regeln eines Cisco RV130 RV. Ich möchte jeden ausgehenden ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...