Hallo,
ich habe auf meinem 1900EF mehrere IP-Netze, die mit Routing-Tags voneinander getrennt sind. Per Firewall erlaube ich dann explizit, welcher Traffic zwischen den Netzten erlaubt ist. Auch habe ich mehrere Client-VPN-Verbindungen, die per Routing-Tabelle eine Routing-Tag erhalten und ich so per Firewall explizit steuere.Jetzt mach ich das erste mal ein Site-to-Site VPN. Das 192.168.140.0 in der Routing-Tabelle.
Folgendes Problem:
Gebe ich in der Routing-Tabelle dem entfernten VPN-Netz 192.168.140.0 ein Routing-Tag (ungleich null), ist es das Netz nicht mehr erreichbar. Egal welche Allow-Regel in der Firewall steht.
Lass ich den Tag auf null, ist es aus dem Netz 172.23.23.0/24 mit Routing-Tag 1 erreichbar. (Und wie es gerade aussieht nur aus dem. Update: Was Sinn macht, da die Gegenseite nur 172.23.23.0/24 kennt.) Egal welche Deny-Regel in der Firewall gesetzt wird, der Verkehr fließt ungestört.
(Der Routing-Tag unter /Setup/VPN/IKEv2/Peers scheint überhaupt keine Auswirkung zu haben.)
Ich kann gerne meine Firewall-Regeln posten, aber ich glaube eher das es sich bei mir um ein grundlegenderes Verständnisproblem handelt.
Hat jemand Tipps?
Firewall-Regeln:
ich habe auf meinem 1900EF mehrere IP-Netze, die mit Routing-Tags voneinander getrennt sind. Per Firewall erlaube ich dann explizit, welcher Traffic zwischen den Netzten erlaubt ist. Auch habe ich mehrere Client-VPN-Verbindungen, die per Routing-Tabelle eine Routing-Tag erhalten und ich so per Firewall explizit steuere.
Code:
/Setup/IP-Router/IP-Routing-Table> lsIP-Address IP-Netmask Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active Comment===========================================================----------------------------------------------------------------------------------------------------------------------172.17.2.6 255.255.255.255 172 0 TBHY 0 No Yes VPN strongSwan Android172.23.23.50 255.255.255.255 1 0 TBAPC 0 No Yes VPN nativ Win10172.23.23.220 255.255.255.255 1 0 O2 0 No Yes VPN iked OpenBSD172.23.23.222 255.255.255.255 1 0 Z8 0 No Yes VPN iked OpenBSD172.31.34.2 255.255.255.255 3134 0 XXXXXXXX 0 No Yes VPN nativ Win10172.31.35.2 255.255.255.255 3135 0 MUV 0 No Yes VPN nativ Win10192.168.140.0 255.255.255.0 0 0 TRB140 0 No Yes VPN strongSwan TRB140192.168.0.0 255.255.0.0 0 0 0.0.0.0 0 No No template: block private networks: 192.168.x.y172.16.0.0 255.240.0.0 0 0 0.0.0.0 0 No No template: block private networks: 172.16-31.x.y10.0.0.0 255.0.0.0 0 0 0.0.0.0 0 No No template: block private network: 10.x.y.z255.255.255.255 0.0.0.0 0 0 INTERNET 0 on Yes Diese Route wurde durch den Internet-Assistenten erzeugtFolgendes Problem:
Gebe ich in der Routing-Tabelle dem entfernten VPN-Netz 192.168.140.0 ein Routing-Tag (ungleich null), ist es das Netz nicht mehr erreichbar. Egal welche Allow-Regel in der Firewall steht.
Lass ich den Tag auf null, ist es aus dem Netz 172.23.23.0/24 mit Routing-Tag 1 erreichbar. (Und wie es gerade aussieht nur aus dem. Update: Was Sinn macht, da die Gegenseite nur 172.23.23.0/24 kennt.) Egal welche Deny-Regel in der Firewall gesetzt wird, der Verkehr fließt ungestört.
(Der Routing-Tag unter /Setup/VPN/IKEv2/Peers scheint überhaupt keine Auswirkung zu haben.)
Ich kann gerne meine Firewall-Regeln posten, aber ich glaube eher das es sich bei mir um ein grundlegenderes Verständnisproblem handelt.
Hat jemand Tipps?
Firewall-Regeln:
Code:
/Setup/IP-Router/Firewall/Rules> lsName Prot. Source Destination Action LB-Policy LB-Switchover Linked Prio Firewall-Rule Stateful Src-Tag Rtg-tag Comment==================================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------TB->XXXXXXXX ICMP M75S RDP %HXXXXXXXX ACCEPT No No 83 Yes Yes 172 3134 ping, rdpTB->MUV ICMP M75S VNC %HMUV ACCEPT No No 83 Yes Yes 172 3135 ping, vncCAM<-ADMIN ICMP ADMIN-PC HTTP RTSP CAM2305V2 ACCEPT No No 82 Yes Yes 1 190 ping, http, rtspSM<-ADMIN ICMP ADMIN-PC HTTP HTTPS %LSMARTHOME_WLAN ACCEPT No No 82 Yes Yes 1 1729 ping, httpZ8<-ADMIN ICMP ADMIN-PC SSH Z8 ACCEPT No No 82 Yes Yes 0 1 ping, sshL1<-SCANNER ANY SCANNER FTP L1 ACCEPT No No 81 Yes Yes 184 172 ftpBENUTZER->DRUCKER ICMP %LBENUTZER HTTP HTTPS DRUCKER ACCEPT No No 80 Yes Yes 172 180 ping, http, httpsBENUTZER->SCANNER ICMP %LBENUTZER HTTP SCANNER ACCEPT No No 80 Yes Yes 172 184 ping, httpBENUTZER->GAST ANY %LBENUTZER %LGAST ACCEPT No No 80 Yes Yes 172 3133 Uneingeschraenkter Zugriff aufs Gastnetz vom Benutzernetz.CCU3<-SM ANY %LSMARTHOME_WLAN MQTT CCU3 ACCEPT No No 71 Yes Yes 1729 2330 mqttCCU3->SM ICMP CCU3 %LSMARTHOME_WLAN ACCEPT No No 71 Yes Yes 2330 1729 pingCCU3<-ADMIN&TB ICMP ADMIN-PC HANDY M75S HTTP SSH MQTT CCU3 ACCEPT No No 70 Yes Yes 0 2330 ping, ssh, http, mqttCCU3->GS3510 ICMP CCU3 SNMP GS-3510XP ACCEPT No No 70 Yes Yes 2330 1 ping, snmpCCU3->CAM ICMP CCU3 CAM2305V2 ACCEPT No No 70 Yes Yes 2330 190 pingYAMAHA<-USERS&HOSTS ICMP %LBENUTZER %LINTRANET CCU3 HTTP YAMAHA ACCEPT No No 60 Yes Yes 0 188 ping, httpMEISTER2<-ADMIN ICMP ADMIN-PC SSH MEISTER2 ACCEPT No No 50 Yes Yes 1 178 ping, sshMEISTER2->Z8 ICMP MEISTER2 SSH Z8 ACCEPT No No 50 Yes Yes 178 1 ping, sshMEISTER2->MAIL2(O2) ICMP MEISTER2 SSH MAIL2(O2) ACCEPT No No 50 Yes Yes 178 1 ping, sshMEISTER2->O4 ICMP MEISTER2 SSH O4 ACCEPT No No 50 Yes Yes 178 174 ping, sshMEISTER2->MAIL1 ICMP MEISTER2 SSH MAIL1 ACCEPT No No 50 Yes Yes 178 170 ping, sshO4<-MUV ICMP %HMUV HTTPS O4 ACCEPT No No 40 Yes Yes 3135 174 ping, httpsO4<-XXXXXXXX ICMP %HXXXXXXXX HTTPS O4 ACCEPT No No 40 Yes Yes 3134 174 ping, httpsO4<-USERS ICMP %LBENUTZER HTTPS O4 ACCEPT No No 40 Yes Yes 172 174 ping, httpsO4<-ADMIN ICMP ADMIN-PC SSH O4 ACCEPT No No 40 Yes Yes 1 174 ping, sshO4->O2 ICMP O4 SSH MAIL2(O2) ACCEPT No No 40 Yes Yes 174 1 ping, sshO4<-L1 ICMP L1 SSH O4 ACCEPT No No 40 Yes Yes 172 174 ping, sshO4<-MAIL ICMP MAIL1 MAIL2(O2) O4 ACCEPT No No 40 Yes Yes 0 174 pingMAIL2(O2)<-USERS&HOSTS ICMP MAIL2(O2)<-USERS&HOSTS0 SMTPS IMAPS MAIL2(O2) ACCEPT No No 30 Yes Yes 0 1 ping, impas, smtpsMAIL2(O2)<-Z8(MX) ICMP Z8 SSH SMTPS MAIL2(O2) ACCEPT No No 30 Yes Yes 0 1 ping, ssh, smtpsMAIL2(O2)->Z8(MX) ICMP MAIL2(O2) SMTPS Z8 ACCEPT No No 30 Yes Yes 0 1 ping, smtpsMAIL2(O2)<-L1 ICMP L1 SSH SMTPS MAIL2(O2) ACCEPT No No 30 Yes Yes 172 1 ping, ssh, smtpsMAIL2(O2)<-ADMIN ICMP ADMIN-PC SSH MAIL2(O2) ACCEPT No No 30 Yes Yes 0 1 ping, sshMAIL1<-MAIL2(O2) ICMP MAIL2(O2) DOVEADM MAIL1 ACCEPT No No 20 Yes Yes 1 170 ping, doveadmMAIL1->MAIL2(O2) ICMP MAIL1 SSH DOVEADM MAIL2(O2) ACCEPT No No 20 Yes Yes 170 1 ping, doveadm, ssh(borg)MAIL1<-USERS&HOSTS ICMP MAIL1<-USERS&HOSTS0 SMTPS IMAPS MAIL1 ACCEPT No No 20 Yes Yes 0 170 ping, impas, smtpsMAIL1<-Z8(MX) ICMP %HZ8 SMTPS MAIL1 ACCEPT No No 20 Yes Yes 1 170 ping, smtpsMAIL1->Z8(MX) ICMP MAIL1 SMTPS Z8 ACCEPT No No 20 Yes Yes 170 1 ping, smtpsMAIL1<-ADMIN ICMP ADMIN-PC SSH MAIL1 ACCEPT No No 20 Yes Yes 1 170 ping, sshMAIL1->ADMIN ICMP MAIL1 ADMIN-PC ACCEPT No No 20 Yes Yes 170 1 pingALLOW_VERWALTUNG->BENUTZER ICMP ADMIN-PC RDP %A172.17.2.189 ACCEPT No No 10 Yes Yes 1 172 ping, rdpWINS TCP UDP NETBIOS ANYHOST ANYHOST INTERNET-FILTER No No 0 Yes Yes 0 0 block NetBIOS/WINS name resolution via DNSCONTENT-FILTER TCP LOCALNET WEB ANYHOST CONTENT-FILTER-BASIC No No 9999 No Yes 0 0 pass web traffic to Content-FilterBPJM-ALLOW-LIST ANY ANYHOST ALLOW-LIST-BPJM ACCEPT No No 9998 No Yes 0 0 Default rule for BPJM allow list (resolves domain overblocking)BPJM ANY ANYHOST BPJM REJECT No No 9997 No Yes 0 0 Default rule for BPJM (youth protection filter)Statistik: Verfasst von OnkelThomas — Gestern, 14:45
