Hallo zusammen,
ich habe eine Lösung gefunden. Sie ist zwar nicht so wie ich sie mir vogrstellt habe, aber es funktioniert.
Ich habe folgendes gemacht:
- Standartgateway von allen Clients im Netz 10.0.0.0/24 auf die 10.0.0.2 gesetzt
- Im gateway 10.0.0.2 zwei routen angelegt.
1) Destination: 10.0.4.0/24, gateway: 10.0.4.254
2) Destination: 0.0.0.0, gateway: 10.0.0.1
Dann funktioniert alles!
Vielen dank für die Unterstützung!
Hmm, danke schonmal für die Antwort. Ich werde das morgen mal ausprobieren und antworten. Bin mir noch nicht sicher ob sich das realisieren lässt.
Gruß
krstn
Müsste die nicht erkennen, dass die Anfrage nicht für sie bestimmt ist, sondern für PC1 und dann weiterleiten?
Könnte ich das mit irgendeiner Firewallregel (Source NAT, Statischen Route) realisieren?
Es handelt sich absichtlich um zwei Subnetze, da es sich um zwei Standorte handelt. Es soll aber dennoch auf zumindest ausgewählte PC's zugegriffen werden können.
Richtig, bei der 10.0.0.2 ist als Gateway die 10.0.0.1 eingetragen, also die Anfragen gehen auf die Firewall.
Aber sollte Endian die ping-Anfrage nicht weiterleiten ?! Oder habe ich was vergessen?
Hallo,
ich gebe zu es wirkt ein bisschen unübersichtlich, aber ich habe das ganze mal fix aufgezeichnet (siehe Bild im Anhang).
Den Gateway kannst du dir als einen Router vorstellen mit einer internen IP 10.0.0.2 (im Grünen Bereich) und einer externen IP 10.0.4.254 (Bereich ???).
Hier noch mal zusammengefasst, welche Verbindugen funktionieren und welche nicht:
- Ping von 10.0.0.1 nach 10.0.4.3 funktioniert
- Ping von 10.0.0.3 nach 10.0.4.3 funktioniert
- Ping von 10.0.4.3 nach 10.0.0.1 funktioniert
- Ping von 10.0.4.3 nach 10.0.0.3 funktioniert NICHT
- Ping von 10.0.0.3 nach google.de funktioniert
- Ping von 10.0.4.3 nach google.de funktioniert
Ich vermute folgendes:
- die Firewall lässt die Anfragen von 10.0.4.0/24 ins Internet durch, weil das Internet ja nicht von der Firewall "geschützt" werden muss.
- Vom 10.0.4.0/24 Netz ins 10.0.0.0/22 Netz blockiert die Firewall den traffic.
- Vom 10.0.0.0/22 Netz ins 10.0.4.0/24 gibts auch wieder keine Probleme mit der Firewall, weil die "outgoing-firewall" ausgeschaltet ist.
Meiner Meinung nach sollte eine Firewallregel (Incomming routed traffic) mit:
Source 10.0.4.0/24
Destination: 10.0.0.0/22
Policy: Allow
das Problem lösen, macht es aber nicht.
Gruß
krstn
Hallo Sabine, danke für deine Antwort.
Also das rote Netz ist quasi das Internet mit eine IP, die mir vom Provider zugewiesen wird.
Das 10.0.4.0/24 Netz ist physisch mit der Green-Zone verbunden. Also ich habe einen Gateway der die IP 10.0.0.2 hat und dahinter hängt das Netz 10.0.4.0/24. Der Gateway leitet alle Anfrage vom 10.0.4.0'er Netz auf die IP 10.0.0.2 und alle Anfragen aus dem 10.0.0.0'er Netz an die 10.0.4.254 im 10.0.4.0/24'er Netz.
Da die Firewall nur zwei Schnittstellen hat, gibts nur eine green- und red-zone, keine orange-zone.
Bei der Firewalleinstellung "Incomming routed traffic" habe ich keine Schnittstelle ausgewählt, wie macht ich das? Ich habe als Source-Typ "Network/IP" ausgewählt und dann in dem Textfeld "10.0.4.0/24" eingetragen. Ebenso bei der Destination, da nur im Textfeld "10.0.0.0/22".
Gruß
Hallo zusammen,
ich bin seit letzter Woche dabei die Endian Firewall zu testen und zu schauen, ob sie für mich das richtige ist. Nun bin ich sehr zufrieden und begeistert, allerdings bin ich auch ein Problem gestoßen. Ich hoffe es kann mir jemand helfen.
Folgender Einstellungen liegen vor (Green-Zone):
Firewallip: 10.0.0.1
Firewall Subnetz: 255.255.252.0
Ein zweites privates Subnetz (10.0.4.0/24) soll mit dem 10.0.0.0/24 Netz verbunden werden, um zwei Standorte miteinander zu vernetzen.
Ich habe einen Gateway der die beiden Netze miteinander verbinden soll. Er hat die IPs 10.0.0.2 und 10.0.4.254.
Nun habe ich eine statische Route in der Endian-Firewall festgelegt:
Source: 10.0.0.0/22
Destination: 10.0.4.0/24
Gateway: 10.0.0.2
Zunächst habe ich gedacht, alles würde funktionierten: Ich kann vom Netz 10.0.0.0 ins 10.0.4.0 Netz, ich komme von beiden Netzen ins Internet, aber ich komme nicht vom 10.0.4.0'er Netz in das 10.0.0.0'er Netz.
Ich vermute, dass die Firewall denkt, das 10.0.4.0'er Netz wäre in der "Red-Zone", und blockiert daher alle Anfrage die ins 10.0.0.0'er Netz gestellt werden. Daher habe ich unter "Firewall->Incomming routed traffic" eine Regel angelegt die wie folgt aussieht:
Source 10.0.4.0/24
Destination: 10.0.0.0/22
Policy: Allow
Leider hat das Ganze nicht geholfen.
Sieht evtl. jemand auf anhieb meinen Gedankenfehler? Oder kann mir jemand ein paar Tipps geben wie ich bei der Fehlersuche vorgehen kann?
Gibt es die Möglichkeit ein zweites Subnetz in die Green-Zone mit aufzunehmen?
Vielen Dank schonmal im voraus!
