Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Statische Route Fortigate - m0n0wall

Frage Netzwerke Router & Routing

Mitglied: swissmorpheus

swissmorpheus (Level 1) - Jetzt verbinden

20.02.2009, aktualisiert 21.02.2009, 9567 Aufrufe, 13 Kommentare

Hallo zusammen

Ich habe ein kleines Problem bei einem Routing. Bei mir sieht es folgendermassen aus:

Ich habe ein Router im Bridged Mode mit meiner Fortigate.
Die Interne Schnittstelle der Fortigate hat die IP#: 172.30.10.1/24. An diesem Netz sind auch meine internen Clients angehängt.
An der WAN1 Schnittstelle hängt der Router im Bridged Mode.
Dann habe ich noch einen DMZ Port mit der IP#: 192.168.10.1/24

An diesem DMZ Port ist eine m0n0wall Firewall, mit 2 Netzwerkkarten angehängt.
Die WAN Schnittstelle hat die IP#: 192.168.10.4/24 und die LAN Schnittstelle die IP#: 192.168.1.5/24.
An der LAN Schnittstelle sind Wireless Accesspoints angehängt.

Nun möchte ich vom Internen Netz (172.30.10.0/24) auf die LAN Seite der m0n0wall (192.168.1.0/24) pingen können.

Auf der Fortigate habe ich eine statische Route definiert: | Destination Net: 192.168.1.0/24 | Gateway: 192.168.10.4 | Schnittstelle: DMZ

Wenn ich nun ein Traceroute von einem Client im internen Netz (172.30.10.0/24) auf einen Client im m0n0wall LAN (192.168.1.0/24) mache, bleibt er immer beim 192.168.10.4 eintrag stecken.

Tracing route to 192.168.1.199 over a maximum of 30 hops

1 17 ms 2 ms 2 ms 172.30.10.1
2 2 ms 2 ms 2 ms 192.168.10.4
3 192.168.10.4 reports: Destination host unreachable.



Muss ich auf der m0n0wall auch noch irgendwelche statische Routings machen?

Auf der Firewall ist alles nötige geöffnet

Vielen Dank für Eure Hilfe

MFG
swissmorpheus
Mitglied: Dani
20.02.2009 um 20:22 Uhr
Hi,
wenn ich dich richtig verstanden habe, braucht die Monowall auch noch eine Route - woher soll er das 172.30.10x Netz denn kennen?!


Grüße,
Dani
Bitte warten ..
Mitglied: swissmorpheus
20.02.2009 um 20:46 Uhr
Hmm... Komischerweise komme ich vom M0n0 LAN ins interne Netz ohne zusätzliche Route..

Aber eben nicht umgekehrt...

Hat sonst noch wer eine Idee? Vielen Dank
Bitte warten ..
Mitglied: aqui
20.02.2009 um 22:40 Uhr
Ordnet man deine kryptische Beschreibung einmal müsste dein Netzwerk so aussehen:

853e74d1a05fa2722b0f3c1c4d96812f-mono3 - Klicke auf das Bild, um es zu vergrößern

Ist das richtig ??

Was du vermutlich nicht beachtet hast:
  • Die M0n0wall macht auf ihrem WAN Interface NAT !!!

D.h. sie übersetzt das gesamte lokale LAN 192.168.1.0 an der M0n0wall auf die 192.168.10.4er IP Adresse.
Dein internes Netz kann also so das AP Netz nicht sehen und natürlich durch die NAT Firewall auch nicht pingen...logisch !
Deshalb musst du auch nichts routen und es klappt so !

Durch diese Konstellation blockt die M0n0wall auch noch alles was an Verbindungen über ihr 192.168.10.4er reinkommt, denn sie ist ja eine Firewall !

Um ins AP Netz pingen zu können musst du alles mit einer Regel freischalten.
Für Ping z.B. das ICMP Protokol !
Also an der M0n0wall eine ACL einstellen:
Quellnetz: 172.16.30.0 Maske 255.255.255.0
Port: ICMP
Zielnetz: 192.168.1.0

durchlassen.
Diese ACL dann aktivieren.
Ferner solltest du darauf achten in der M0nowall im Basic Setup das Blocken von RFC 1918 Adressen im Default abzuschalten, denn du nutzt diese IP Adressen.

Wenn du das alles richtig eingestellt hast wird ein Ping auch sauber funktionieren.
Ggf. kannst du dir noch weitere Anregungen aus diesem Turorial holen:

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...
Bitte warten ..
Mitglied: swissmorpheus
20.02.2009 um 23:19 Uhr
Herzlichen Dank für die super Beschreibung. Stimmt das mit dem NAT habe ich nicht beachtet.

Habe nun 2 Firewall Rules erstellt:

Protocol: ICMP Source: 172.30.10.0/24 Destination: 192.168.1.0/24 Interface: WAN
Protocol: ICMP Source: 192.168.1.0/24 Destination: 172.30.10.0/24 Interface: LAN

Muss das mit den Rules genau definiert sein, oder reicht es mit der * * * Regel?

Habe auch das blocken von RFC raus genommen.

Doch leider zieht das immer noch nicht... Habe bis jetzt sowieso * * * Rules bei der Firewall gehabt, also hätte das doch funktionieren sollen nicht?
Auf der M0n0wall kann ich sehen, dass Das ICMP Packet angekommen ist mit der richtigen Destination IP# und dem WAN Interface, aber weiter geht es von da nicht.

Aber die route auf der Fortigate ist richtig?

Vielen Dank nochmal für die Hilfe....
Bitte warten ..
Mitglied: aqui
20.02.2009 um 23:53 Uhr
Diese Rule ist überflüssig:

"Protocol: ICMP Source: 192.168.1.0/24 Destination: 172.30.10.0/24 Interface: LAN"

denn vom LAN Interface der M0n0wall geht soweso immer alles nach draussen. Die kannst du wieder löschen !
Wichtig ist der Rückweg vom WAN Interface ins LAN der M0n0wall, der ist immer durch die NAT Firewall verschlossen !!

Deshalb solltest du noch einen Regel:
Protocol: ICMP Source: 172.30.10.0/24 Destination: 192.168.10.0/24 Interface: WAN

einrichten.
Beachte das du die Regeln auch AKTIVIEREN musst !!! Nur Anlegen allein reicht nicht !!!
Sieh dir mal das Firewall Log der M0n0wall an, das sagt dir genau wo der Fehler ist und das geblockt wird !

Die Route auf der Fortigate ist richtig !!
Achte aber auch hier auf der Fortigate darauf das das Netzwerk 192.168.1.0 dort nicht geblockt wird. Normalerweise macht die Fortigate das wenn du ihr das Netz nicht freigibst !!!
Bitte warten ..
Mitglied: swissmorpheus
21.02.2009 um 10:47 Uhr
Okey die hab ich mal gelöscht danke für die Info..

Nun habe ich auch noch die zweite Regel erstellt.
Protocol: ICMP Source: 172.30.10.0/24 Destination: 192.168.10.0/24 Interface: WAN

Beim Log auf der M0n0 kann ich sehen, dass die Anfrage kommt, diese wird auch durchgelassen, aber der ping kommt nicht. Also kein Deny in den Logs.

Leider funktioniert es immer noch nicht. Muss ich bei den Firewall Rules auf der Fortigate das NAT einschalten? Bin echt am Ende mit meinem Latein..

Hier noch ein paar Bilder:
43199b085d6ca9cde89e56f79024b9b9-6c57c566 - Klicke auf das Bild, um es zu vergrößern
Logs

f5db505a832ee2e21d6334412af18486-8da165e7 - Klicke auf das Bild, um es zu vergrößern
Fortigate

d1fa48863b7a60e1ebfa50ba1c91716f-cac678ed - Klicke auf das Bild, um es zu vergrößern
Monowall

72a8a459f8720efd00570a64970fb26c-8dd9fba8 - Klicke auf das Bild, um es zu vergrößern
Tracert

Vielen Dank für Eure Hilfe
Dani - 21.02.2009, 11:26 Uhr
Bilder bei administrator.de hochgeladen.
Bitte warten ..
Mitglied: swissmorpheus
22.02.2009 um 15:30 Uhr
Habe jetzt noch ein paar Stunden vertrödelt.. Habe aber leider nicht herausgefunden..

Hat sonst noch jemand eine Idee?
Bitte warten ..
Mitglied: aqui
22.02.2009 um 17:20 Uhr
Ist dein WLAN Interface ein OPT Interface auf der M0n0wall ?? Auch das ist ausgehender Traffic ber default geblockt !
Da musst du dann dnoch eine outgiung Rule anlegen !
Bitte warten ..
Mitglied: swissmorpheus
22.02.2009 um 17:22 Uhr
Was meinst du mit OPT Interface?

Weiss nicht genau, was das ist... :S
Bitte warten ..
Mitglied: aqui
22.02.2009 um 17:30 Uhr
Die M0n0wall hat 2 default Interfaces LAN und WAN, das 3te wird (sofern man es nicht umbenennt) als "opt" bezeichnet !!
Bitte warten ..
Mitglied: swissmorpheus
22.02.2009 um 18:01 Uhr
Ah okey.. Nein habe nur WAN und LAN...

Was vielleich noch interessant ist... Um aufs WEB Interface der M0n0wall über das private LAN zuzugreifen, habe ich ein Inbound NAT eingerichtet und das funktioniert...

Aber leider funktioniert der Ping immer noch nicht.... Obwohl ich auf der M0n0wall sehe, dass eine ICMP anfrage kommt...
Bitte warten ..
Mitglied: swissmorpheus
23.02.2009 um 19:08 Uhr
Ich hab jetzt mal mit WireShark noch ein bisschen gesnifft. Jetzt ist es so, dass wenn ich einen ping von 172.30.10.100 an 192.168.1.191 sende, kommt das Packet laut Sniffer auf 192.168.1.191 an und es wird auch geantwortet. Echo reply.. Doch auf meinem Client 172.30.10.100 kommt immer Request timed out..

Hat da jemand eine Idee?
Bitte warten ..
Mitglied: swissmorpheus
23.02.2009 um 21:00 Uhr
Habe es jetzt gelöst.. Habe ein Advanced Outbound NAT definiert, dann hatts geklappt. Vielen Dank für Eure Hilfe...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Fritz.Box statische Route zu anderem Subnetz (16)

Frage von Frankenstein zum Thema Router & Routing ...

Netzwerke
Fortigate vs Sophos vs Stormshield (18)

Frage von eglipeter zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...