Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing über 3 Netze mit Monowall

Frage Netzwerke Router & Routing

Mitglied: Eisel89

Eisel89 (Level 1) - Jetzt verbinden

15.11.2012, aktualisiert 18:57 Uhr, 3191 Aufrufe, 3 Kommentare

Hallo zusammen,

ich möchte 3 Netze über die Monowall miteinander verbiden.

Erstmal die Problemstellung:

Meine Monowall hat 3 Netze angeschlossen..
1. WAN: Bezieht DHCP von der Fritzbox, welche weiter mit dem Internet verbunden ist und WLAN verteilt. IP:172.17.88.1
2. LAN: Stellt DHCP Server zur Verfügung. IP:190.68.0.1
3. OPT1: Sollte DHCP vom Wohnheimverteiler(10.6.12.1) beziehen, was ich leider nicht auswählen kann. Es wird der Mac automatisch dieselbe IP zugeordnet, deswegen steht die IP fest auf 10.6.14.48/16

zum 4. läuft über ein PPTP VPN, der fürs OPT1 interface läuft, damit man vom wohnheim über mich ins internet kommen kann.

Alle Verbindungen zur Fritzbox laufen einwandfrei und werden richtig geroutet.

Mein Problem ist, dass ich nun vom LAN interface nicht ins OPT1 interface routen kann und somit nicht vom 190er privaten netz ins 10.6er Netz des Wohnheimnetes komme und umgekehrt.

Zum aufbau mal die Routingtabelle der Monowall:

Internet:
Destination Gateway Flags Refs Use Netif Expire
default fritz.fonwlan.box UGS 1 51109 rl0
10.6/16 10.6.12.1 UGS 0 0 rl1
localhost localhost UH 1 0 lo0
172.17.88/24 link#1 UC 0 0 rl0
fritz.fonwlan.box 00:1f:3f:d1:37:d9 UHLW 2 13 rl0 1169
m0n0wall localhost UGHS 0 0 lo0
192.168.0 link#3 UC 0 0 rl2
wg-mini 00:40:f4:b8:33:95 UHLW 1 0 lo0
192.168.0.199 00:50:fc:70:68:9b UHLW 1 91431 rl2 440

kann jemand vielleicht helfen die richtigen Routen zu finden um mir zu ermöglichen zwischen allen Netzen gleichermaßen zu routen?

Vielen Dank im Vorraus,

Eisel
Mitglied: aqui
16.11.2012, aktualisiert um 11:47 Uhr
Mit Routen hat dein Problem rein gar nix zu tun...vergiss das also !
Etwas verwirrend ist das ja schon was du da schreibst, speziell der Punkt 4 mit dem VPN ! Aber egal für die Funktion die du erreichen willst ist das erstmal egal.
Vermutlich scheiterst du, wie immer bei diesen Fragen, an den Firewall Regeln weil du eine falsche Logik in der Regelreihenfolge verwendest.
Die beiden Tutorials:
http://www.administrator.de/contentid/149915
und
http://www.administrator.de/contentid/91413
gehen in mehreren Hinweisen explizit darauf ein aber wir wiederholen das gerne nochmal für dich.
Die 2 eisernen Firewall Regel Grundlagen sind:
  • Regeln gelten immer nur eingehend ! Also für Pakete die ins FW Interface reinkommen !
  • Die Regeln funktionieren nach dem sog. "First match wins" Prizip. Also beim ersten Regelsatz der zutrifft werden darauf folgende Regelsätze nicht mehr abgearbeitet. Du kannst also nicht erst was erlauben und dann verbieten. Die Reihenfolge ist also immens wichtig für die korrekte Funktion.
Desweiteren solltest du beachten das eine Firewall generell alles verbietet an den Ports sollten keine Regel in den jeweiligen Portregeln definiert sein (Default bei den OPT Interfaces !)
Spezielle Routing einträge brauchst du keine ! Logisch, denn alle IP Netze sind ja direkt an der FW angeschlossen und diese "weiss" somit wie sie alle Netze erreichen kann.
Oben schreibst du "IP:190.68.0.1" Dieses Netzwerk taucht aber nirgendwo auf bei dir und ist auch kein RFC1918 Netz.
Vermutlich ein Tippfehler, oder ??
Also der Reihe nach:
  • WAN Port sollte soweit OK sein. Funtioniert ja alles. Wichtig ist nur hier das die am WAN Interface unten den haken beim Blocking der RFC1918 IP Netze entfernst weil du ja so eins zur FB hast. Vermutlich aber hast du das gemacht da es ja klappt ?!
  • Der LAN Port hat per Default eine any zu any Firewall Regel. Leider hast du hier keine Port Regeln gepostet so das eine zielführende Hilfe nicht möglich ist und wir mal wieder raten müssen Raten wir aber mal das du diese Regel nicht verändert hast ?! Also so lassen...
  • Kommen wir zum Wohnheim Interface OPT1, 10.16er Netz. Per Default ist hier in den Port FW Regeln alles verboten (keine Regel) Nehmen wir mal an du hast das nicht verändert dann kommen Pakete noch (da outgoing) vom LAN ins OPT1 zu einem Endgerät dort. Das Endgerät will das Paket zurücksenden mit einer Ziel IP aus Port LAN bleibt nun aber logischerweise in den FW Regeln am OPT1 Port hängen denn die blocken das logischerweise !
Kommt man eigentlich auch ganz leicht von selbst drauf wenn man schon eine FW betreibt, oder ??!
Du hast nun 2 Optionen am OPT 1 Port:
1.) Entweder trägst du hier auch eine Scheunentor FW Regel ein wie am LAN Port also any zu any jeder darf überall hin. Oder...
2.) Wenn du nur vom OPT1 Netz ins LAN willst und sonst nix dann eben nur eine Regel:
ALLOW Source: OPT1 network, Port any, Destination: LAN network, Port any
Fertisch
Dann können OPT1 Rechner auf LAN Rechner zugreifen aber nix anderes also auch nix Internet.
Falls du Regeln schon hast. dann beachte die Reihenfolge dieser am OPT Port !

Den Rest mit dem Punkt 4. und dem VPN Kauderwelsch versteht kein normaler ITler aber nundenn das ist ja auch nicht dein Problem dieses Threads.
Nochwas: Es macht Sinn schlauerweise immer mal bei solcher Art Problemen ins Firewall Log zu sehen !!
Dort steht meistens sehr genau WAS und WARUM es geblockt wurde so das man den Fehler schnell selbst fixen kann !!
Und nochwas zur Adressierung. Du solltest nie einer FW oder Router per DHCP IP Adressen vergeben. Besser ist immer statisch. Wenn du irgendwann mal mit z.B. VPNs arbeiten musst oder willst musst du Port Forwarding auf der davorliegenden FritzBox machen. Zeigt der PFW Eintrag auf eine dynmaisch vergeben IP die sich irgendwann mal ändert muss man dir hier nicht mehr groß beschreiben was passiert.... Router, FWs, Server, NAS usw. haben immer feste statische IPs !!
Bitte warten ..
Mitglied: Eisel89
18.11.2012 um 22:38 Uhr
Danke schonmal für die ausführliche Antwort..

192.68.0.1 war wie du sagtest ein tippfehler.
Die FW kriegt immer die selbe IP, sprich ihr wird immer die selbe zugewiesen.
Es sind grade für jedes interface die Regeln any zu any definiert, da die FW auch mein erster Anhaltspunkt der Problembehebung war.

Time If Source Destination
22:11:51.193565 OPT1 192.168.178.160, port 17500 192.168.178.255, port 17500
22:11:51.188240 OPT1 192.168.178.160, port 17500 255.255.255.255, port 17500
22:11:50.693953 OPT1 192.168.178.160, port 52928 224.0.0.252, port 5355
22:11:34.788298 OPT1 192.168.178.1, port 67 255.255.255.255, port 68
22:11:33.777562 OPT1 0.0.0.0, port 68 255.255.255.255, port 67
22:11:33.635820 OPT1 169.254.235.73, port 53339 224.0.0.252, port 5355
22:11:21.003020 OPT1 192.168.178.160, port 17500 192.168.178.255, port 17500
22:11:20.998913 OPT1 192.168.178.160, port 17500 255.255.255.255, port 17500
22:11:07.459536 OPT1 192.168.178.56, port 138 192.168.178.255, port 138

Das hier ist der Firewall log nach einem Traceroute zu 10.6.12.1 von Rechner mit der ip 192.168.0.199 .
Bei einem Ping tauchen nur die ersten beiden Zeilen im log auf.

Ich verstehe da nicht, wieso übrhaupt das 192.168.178er netz aufgelistet wird.
Und da in jedem interface die Regel any to any gilt sollte an für sich auch jedes netz mit jedem kommunizieren können, was es ja nicht tut. Deswegen ging ich auch davon aus, das es ein Routingproblem sein müsste..
Bitte warten ..
Mitglied: aqui
19.11.2012 um 11:19 Uhr
Das Posting der Regeln ist sinnlos so, denn man kann nicht sehen ob blocked oder passed da das Symbol davor fehlt

So wie es aussieht ist aber die FW nicht dein Problem sondern irgendwas anderes was in deinem Netzwerk Amok läuft.
Deine Adressierung scheint totaler Murks zu sein, denn es tummeln sich ja vollkommen falsche IP Adressen in deinen Segmenten rum die mit deinen IP Netzen am FW Port nicht das geringste zu tun haben !!
Vermutlich haben diese IPs und auch die anderen auch noch vollkommen falsche Gateway IP Adressen !?

Es ist klar das Endgeräte die über die FW arbeiten sollen auch immer die IP Adressen der Firewall Ports als Gateways eingetragen haben MÜSSEN !!
Oder eben deren Router eine statische Route auf die FW IPs haben müssen sollten diese Endgeräte andere Gateway IPs benutzen.
Du solltest also erstmal strategisch vorgehen und das Choas in der Adressierung lösen.
Am besten dazu Interface für Interface aktiv schalten, von den Endgeräten anpingen usw.
Dann klappt das auch !!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing über 3 Netze (mit VPN Gateway)
gelöst Frage von HScomputerRouter & Routing15 Kommentare

Ich hoffe, keine bereíts gegebene Lösung für mein Problem übersehen zu haben. Hier mein Problem: Ich habe 2 Standorte ...

Firewall
Monowall mit 3 NIC konfigurieren ...
gelöst Frage von letstryandfindoutFirewall3 Kommentare

Hallo zusammen, ich habe hier eine Monowall mit einem Alix Board mit 3 Netzwerkanschlüssen. Ich bin per Seriellem Kabel ...

Windows Netzwerk
Routing zwischen verschiedenen Netzen
gelöst Frage von datadexxWindows Netzwerk23 Kommentare

Hallo und guten Morgen zusammen, ich bräuchte mal Hilfe von einem Routing Spezialisten! Leider hat mir meine Recherche und ...

Router & Routing
Routing zwischen zwei Netzen
gelöst Frage von Xaero1982Router & Routing31 Kommentare

Hallo Zusammen, simples Szenario, was mich aber gerade verzweifeln lässt Fritzbox: 192.168.178.1 Dann habe ich einen Microtik 750gl rangehangen. ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 StundeBatch & Shell1 Kommentar

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 3 StundenHumor (lol)5 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 18 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 19 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...