Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing über 3 Netze mit Monowall

Frage Netzwerke Router & Routing

Mitglied: Eisel89

Eisel89 (Level 1) - Jetzt verbinden

15.11.2012, aktualisiert 18:57 Uhr, 3160 Aufrufe, 3 Kommentare

Hallo zusammen,

ich möchte 3 Netze über die Monowall miteinander verbiden.

Erstmal die Problemstellung:

Meine Monowall hat 3 Netze angeschlossen..
1. WAN: Bezieht DHCP von der Fritzbox, welche weiter mit dem Internet verbunden ist und WLAN verteilt. IP:172.17.88.1
2. LAN: Stellt DHCP Server zur Verfügung. IP:190.68.0.1
3. OPT1: Sollte DHCP vom Wohnheimverteiler(10.6.12.1) beziehen, was ich leider nicht auswählen kann. Es wird der Mac automatisch dieselbe IP zugeordnet, deswegen steht die IP fest auf 10.6.14.48/16

zum 4. läuft über ein PPTP VPN, der fürs OPT1 interface läuft, damit man vom wohnheim über mich ins internet kommen kann.

Alle Verbindungen zur Fritzbox laufen einwandfrei und werden richtig geroutet.

Mein Problem ist, dass ich nun vom LAN interface nicht ins OPT1 interface routen kann und somit nicht vom 190er privaten netz ins 10.6er Netz des Wohnheimnetes komme und umgekehrt.

Zum aufbau mal die Routingtabelle der Monowall:

Internet:
Destination Gateway Flags Refs Use Netif Expire
default fritz.fonwlan.box UGS 1 51109 rl0
10.6/16 10.6.12.1 UGS 0 0 rl1
localhost localhost UH 1 0 lo0
172.17.88/24 link#1 UC 0 0 rl0
fritz.fonwlan.box 00:1f:3f:d1:37:d9 UHLW 2 13 rl0 1169
m0n0wall localhost UGHS 0 0 lo0
192.168.0 link#3 UC 0 0 rl2
wg-mini 00:40:f4:b8:33:95 UHLW 1 0 lo0
192.168.0.199 00:50:fc:70:68:9b UHLW 1 91431 rl2 440

kann jemand vielleicht helfen die richtigen Routen zu finden um mir zu ermöglichen zwischen allen Netzen gleichermaßen zu routen?

Vielen Dank im Vorraus,

Eisel
Mitglied: aqui
16.11.2012, aktualisiert um 11:47 Uhr
Mit Routen hat dein Problem rein gar nix zu tun...vergiss das also !
Etwas verwirrend ist das ja schon was du da schreibst, speziell der Punkt 4 mit dem VPN ! Aber egal für die Funktion die du erreichen willst ist das erstmal egal.
Vermutlich scheiterst du, wie immer bei diesen Fragen, an den Firewall Regeln weil du eine falsche Logik in der Regelreihenfolge verwendest.
Die beiden Tutorials:
http://www.administrator.de/contentid/149915
und
http://www.administrator.de/contentid/91413
gehen in mehreren Hinweisen explizit darauf ein aber wir wiederholen das gerne nochmal für dich.
Die 2 eisernen Firewall Regel Grundlagen sind:
  • Regeln gelten immer nur eingehend ! Also für Pakete die ins FW Interface reinkommen !
  • Die Regeln funktionieren nach dem sog. "First match wins" Prizip. Also beim ersten Regelsatz der zutrifft werden darauf folgende Regelsätze nicht mehr abgearbeitet. Du kannst also nicht erst was erlauben und dann verbieten. Die Reihenfolge ist also immens wichtig für die korrekte Funktion.
Desweiteren solltest du beachten das eine Firewall generell alles verbietet an den Ports sollten keine Regel in den jeweiligen Portregeln definiert sein (Default bei den OPT Interfaces !)
Spezielle Routing einträge brauchst du keine ! Logisch, denn alle IP Netze sind ja direkt an der FW angeschlossen und diese "weiss" somit wie sie alle Netze erreichen kann.
Oben schreibst du "IP:190.68.0.1" Dieses Netzwerk taucht aber nirgendwo auf bei dir und ist auch kein RFC1918 Netz.
Vermutlich ein Tippfehler, oder ??
Also der Reihe nach:
  • WAN Port sollte soweit OK sein. Funtioniert ja alles. Wichtig ist nur hier das die am WAN Interface unten den haken beim Blocking der RFC1918 IP Netze entfernst weil du ja so eins zur FB hast. Vermutlich aber hast du das gemacht da es ja klappt ?!
  • Der LAN Port hat per Default eine any zu any Firewall Regel. Leider hast du hier keine Port Regeln gepostet so das eine zielführende Hilfe nicht möglich ist und wir mal wieder raten müssen Raten wir aber mal das du diese Regel nicht verändert hast ?! Also so lassen...
  • Kommen wir zum Wohnheim Interface OPT1, 10.16er Netz. Per Default ist hier in den Port FW Regeln alles verboten (keine Regel) Nehmen wir mal an du hast das nicht verändert dann kommen Pakete noch (da outgoing) vom LAN ins OPT1 zu einem Endgerät dort. Das Endgerät will das Paket zurücksenden mit einer Ziel IP aus Port LAN bleibt nun aber logischerweise in den FW Regeln am OPT1 Port hängen denn die blocken das logischerweise !
Kommt man eigentlich auch ganz leicht von selbst drauf wenn man schon eine FW betreibt, oder ??!
Du hast nun 2 Optionen am OPT 1 Port:
1.) Entweder trägst du hier auch eine Scheunentor FW Regel ein wie am LAN Port also any zu any jeder darf überall hin. Oder...
2.) Wenn du nur vom OPT1 Netz ins LAN willst und sonst nix dann eben nur eine Regel:
ALLOW Source: OPT1 network, Port any, Destination: LAN network, Port any
Fertisch
Dann können OPT1 Rechner auf LAN Rechner zugreifen aber nix anderes also auch nix Internet.
Falls du Regeln schon hast. dann beachte die Reihenfolge dieser am OPT Port !

Den Rest mit dem Punkt 4. und dem VPN Kauderwelsch versteht kein normaler ITler aber nundenn das ist ja auch nicht dein Problem dieses Threads.
Nochwas: Es macht Sinn schlauerweise immer mal bei solcher Art Problemen ins Firewall Log zu sehen !!
Dort steht meistens sehr genau WAS und WARUM es geblockt wurde so das man den Fehler schnell selbst fixen kann !!
Und nochwas zur Adressierung. Du solltest nie einer FW oder Router per DHCP IP Adressen vergeben. Besser ist immer statisch. Wenn du irgendwann mal mit z.B. VPNs arbeiten musst oder willst musst du Port Forwarding auf der davorliegenden FritzBox machen. Zeigt der PFW Eintrag auf eine dynmaisch vergeben IP die sich irgendwann mal ändert muss man dir hier nicht mehr groß beschreiben was passiert.... Router, FWs, Server, NAS usw. haben immer feste statische IPs !!
Bitte warten ..
Mitglied: Eisel89
18.11.2012 um 22:38 Uhr
Danke schonmal für die ausführliche Antwort..

192.68.0.1 war wie du sagtest ein tippfehler.
Die FW kriegt immer die selbe IP, sprich ihr wird immer die selbe zugewiesen.
Es sind grade für jedes interface die Regeln any zu any definiert, da die FW auch mein erster Anhaltspunkt der Problembehebung war.

Time If Source Destination
22:11:51.193565 OPT1 192.168.178.160, port 17500 192.168.178.255, port 17500
22:11:51.188240 OPT1 192.168.178.160, port 17500 255.255.255.255, port 17500
22:11:50.693953 OPT1 192.168.178.160, port 52928 224.0.0.252, port 5355
22:11:34.788298 OPT1 192.168.178.1, port 67 255.255.255.255, port 68
22:11:33.777562 OPT1 0.0.0.0, port 68 255.255.255.255, port 67
22:11:33.635820 OPT1 169.254.235.73, port 53339 224.0.0.252, port 5355
22:11:21.003020 OPT1 192.168.178.160, port 17500 192.168.178.255, port 17500
22:11:20.998913 OPT1 192.168.178.160, port 17500 255.255.255.255, port 17500
22:11:07.459536 OPT1 192.168.178.56, port 138 192.168.178.255, port 138

Das hier ist der Firewall log nach einem Traceroute zu 10.6.12.1 von Rechner mit der ip 192.168.0.199 .
Bei einem Ping tauchen nur die ersten beiden Zeilen im log auf.

Ich verstehe da nicht, wieso übrhaupt das 192.168.178er netz aufgelistet wird.
Und da in jedem interface die Regel any to any gilt sollte an für sich auch jedes netz mit jedem kommunizieren können, was es ja nicht tut. Deswegen ging ich auch davon aus, das es ein Routingproblem sein müsste..
Bitte warten ..
Mitglied: aqui
19.11.2012 um 11:19 Uhr
Das Posting der Regeln ist sinnlos so, denn man kann nicht sehen ob blocked oder passed da das Symbol davor fehlt

So wie es aussieht ist aber die FW nicht dein Problem sondern irgendwas anderes was in deinem Netzwerk Amok läuft.
Deine Adressierung scheint totaler Murks zu sein, denn es tummeln sich ja vollkommen falsche IP Adressen in deinen Segmenten rum die mit deinen IP Netzen am FW Port nicht das geringste zu tun haben !!
Vermutlich haben diese IPs und auch die anderen auch noch vollkommen falsche Gateway IP Adressen !?

Es ist klar das Endgeräte die über die FW arbeiten sollen auch immer die IP Adressen der Firewall Ports als Gateways eingetragen haben MÜSSEN !!
Oder eben deren Router eine statische Route auf die FW IPs haben müssen sollten diese Endgeräte andere Gateway IPs benutzen.
Du solltest also erstmal strategisch vorgehen und das Choas in der Adressierung lösen.
Am besten dazu Interface für Interface aktiv schalten, von den Endgeräten anpingen usw.
Dann klappt das auch !!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (7)

Frage von stpb10 zum Thema Router & Routing ...

Netzwerke
gelöst FritzboxLAN2LAN mit dahinterliegendem Router: Nur One-Way-Routing möglich (13)

Frage von SnowCrush zum Thema Netzwerke ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...