yamaha0815
Goto Top

PfSense , OpenSense und VLAN, LAN, DSL - Da wird der Hund in der Pfanne verrückt

Hallo zusammen,
ich hätte da mal ein (mittlerweile) gelöstes Problem. Allerdings versteh ich das eine oder andere dabei nicht.

Folgendes Szenario ist vorgegeben:
IT Infrastruktur mit 5 Netzen: Management (1), Produktiv (5), Heim (10), Gast (20) und VoIP (30).
Alle 5 Netze sollen zunächst unabhängig sein, also autark und getrennt voneinander mit Zugriff auf das WAN.
Alle Geräte aus LAN 1 dürfen in LAN 5 und 30 rein.
Bestimmte Geräte aus LAN 5 dürfen auch in LAN 1 und LAN 30.

Das ganze wird zunächst über VLANs segmentiert und auf Layer 2 Swtiche an die jeweiligen Ports verteilt. Die VLANs werden über eine pfSense / OpenSense erzeugt und gemanagett.
Die Einwahl erfolgt über die pfSense / OpenSense mittels eines am WAN Port angehängten Modems (Bridgemode).

Generell funktioniert das mittlerweile (orgendwie). Ich habe nun folgende Fragen dazu:

1. Routing innerhalb der Firewall über die Rules derselbigen.
Hinweis: Ich weiß, dass dies so nicht schön ist und dass man so etwas klassisch über einen dedizierten Router oder über einen Layer 3 Swtich löst. Ich muss halt mit der gestellten Hardware arbeiten.
Ich habe auf der Firewall (pfSense / OpenSense) 5 Interface entsprechend angelegt und diese Interface hart oder gleich als VLANs auf einem gemeinsamen Interface angelegt. In diesem Zustand sorgt die Firewall augenscheinlich dafür, dass alle Netze miteinander kommunizieren, ohne Einschränkungen. Wieso ist das so?
Wenn ich auf einem Layer 3 Switch Netze definiere oder auch auf einem Router, dann muss ich diese zunächste per Routing zusammen führen. Die Firewall macht das umgekehrt. Na wegen mir. Irgendwie Panne. Anyway....
Also ein kleines Regelwerk gestrickt, welches die einzelnen Interface mit ihren angeschlossenen Netzen per Regel ausschließt, z.B.
Interface igb0, LAN 5, Source LAN 5 any, Destination WAN-DHCP any.
Analog bei allen anderen. Damit trenne ich die Netze, was Ping auch bestätigt. Nachtrag: in diesem Falle zieht sich der WAN Port eine WAN IP per DHCP von einer für die Einwahl zuständigen FritzBox.

Diese Konfiguration lief ohne Probleme ud macht das was erwartet wurde. Per Regel sind die Netze getrennt und bestimmte Geräte dürfen in andere Netze greifen.

Nun wurde das Bridgemodem angeschlossen, ein Zyxel irgendwas und am WAN Port der Firewall die Zugangsdaten eingetragen: PPPoE.
Internet war da, alles fein. Denkste.
Folgende Phänomene treten auf:
Alle Netze sind wieder untereinander erreichbar.
Nur eine bestimmte, jedoch essentielle Seite (https) geht nicht auf. Alle anderen (auch https) Seiten sind ohne Probleme erreichbar.

Mir ist mittlerweile klar, dass die Netze wegen dem veränderten WAN Interface wieder untereinander erreichbar waren. Ich habe an der Konfiguration der Regeln und an den Interfaces nichts geändert, ausser dass das WAN Interface nicht mehr auf DHCP steht, sondern auf PPPoE mit den notwendigen und korrekten Zugangsdaten.
Ist es richtig, dass die Firewall nun, da das WAN Interface umgestellt wurde, dieses speziell vermisst und nun deswegen wieder jedes Netz auf jedes geroutet wird bzw. Zugriff hat? Die Regel wurde wohl deswegen ausser Kraft gesetzt.

Der wichtigere Punkt für mich ist, dass diese eine bestimmte Seite nicht erreichbar ist. Sobald die WAN Verbindung per Fritze etabliert wird, geht alles ohne Probleme. Dies ist mehr als seltsam. Dabei macht die Fritze auch die Einwahl und der WAN Port wird letztendlich 2 mal genattet, einmal von der Fritze und dann von der Firewall, bis die Daten letztendlich in den daran angeschlossenen Netzen landen.

Warum zum Kuckuck ist diese verflixte Seite nur erreichbar, wenn da eine Fritze dran hängt bzw. warum funktioniert diese eine Seite eben dann nicht, wenn die Einwahl von der Firewall über ein externes Modem etabliert wird. Alles ist ansonsten gleich.

Content-Key: 468853

Url: https://administrator.de/contentid/468853

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: ChriBo
ChriBo 03.07.2019 um 13:38:36 Uhr
Goto Top
Hallo,
leider ist deine Beschreibung etwas unverständlich, eine Zeichnung wäre hilfreich.
Ebenso wäre wichtig ob du mit tagged oder untagged (portbased) VLANS auf den Switchen bzw. auf den pfSense Interfaces arbeitest.
Einige deiner Annahmen sind auch nicht unbedingt richtig:
... Ich weiß, dass dies so nicht schön ist und dass man so etwas klassisch über einen dedizierten Router oder über einen Layer 3 Swtich löst. Ich muss halt mit der gestellten Hardware arbeiten.
Why ? Deine Netzwerke haben unterschiedliche Sicherheitslevel (z.B. Management - Produktiv -Gast)-> dann wird das Routen über die Firewall erledigt.

Ich habe auf der Firewall (pfSense / OpenSense) 5 Interface entsprechend angelegt und diese Interface hart oder gleich als VLANs auf einem gemeinsamen Interface angelegt. In diesem Zustand sorgt die Firewall augenscheinlich dafür, dass alle Netze miteinander kommunizieren, ohne Einschränkungen. Wieso ist das so?
Dem ist nicht so. Nur LAN -> WAN hat bei default ein Allow any Regel; alle anderen Interfaces haben eine Deny any Regel.

Mir ist mittlerweile klar, dass die Netze wegen dem veränderten WAN Interface wieder untereinander erreichbar waren.
Nö, warum sollte dem so sein ?

Der wichtigere Punkt für mich ist, dass diese eine bestimmte Seite nicht erreichbar ist. Sobald die WAN Verbindung per Fritze etabliert wird, geht alles ohne Probleme. Dies ist mehr als seltsam.
klingt nach einem DNS Problem, was ergibt ein nslookup "bestimmte Seite" ?

Für mich sieht das Ganze nach einigen "Fehlern" in dem Setup der VLANS auf de Switchen und der pfSense und dem entsprechendem Routing aus.

CH
Mitglied: aqui
aqui 03.07.2019 um 14:34:05 Uhr
Goto Top
Wenn man das hiesige VLAN Tutorial dazu "wirklich" mal liest müsste man diese Frage gar nicht erst stellen... face-wink
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: yamaha0815
yamaha0815 03.07.2019 aktualisiert um 15:14:35 Uhr
Goto Top
Ich weiß schon ein bisschen was über VLANs, Routing und den ganzen Zirkus drum rum, dennoch danke für den Hinweis auf das Tutorial. Ich mach das wirklich nicht zum ersten Mal.

@ChriBo
Deine Hinweise in Ehren, jedoch sind diese nicht wirklich hilfrreich.
Dennoch danke.

Die Gretchenfrage ist und bleibt:
Warum ist eine bestimmte Seite in einer bestimmten Konstellation nicht erreichbar, nachweisslich!
Warum ist diese Seite bei einem Austausch des Modems durch eine FritzBox erreichbar?
Mehr interessiert mich eigentlich nicht, denn für das andere habe ich eine Erklärung (auch so weit abgeprüft).

Also darf weiter geknobelt werden:
Modem (Zyxel) als Bridge <-> Firewall mit WAN auf PPPoE <-> interne Netze - Seite xxx nicht erreichbar und nur diese.
FritzBox als Einwahlknoten <NAT> Firewall mit WAN auf DHCP <-> interne Netze - Seite xxx ohne probleme erreichbar.
Egal welcher Browser oder Betriebssystem.
Auch kann es nicht an der Leitung per se liegen, denn sonst wäre die Seite ja generell nicht erreichbar.
Nur in der oben genannten Konstellation mit allen anderen Parametern gleich und unverändert tritt dieses Phänomen auf.

Achso... DNS ist auf der Firewall hart eingetragen mit 8.8.8.8 als Quelle und das für alle Devices in allen Netzen.

Jemand eine Idee?
Mitglied: bugx
bugx 03.07.2019 um 16:32:32 Uhr
Goto Top
Hallo.

So einen ähnlichen Fall habe ich auch. Allerdings betrifft es bei uns einen Lancom-Router in Verbindung mit pfsense.

Nach einer Verbindungsunterbrechung ist eine bestimmte https-Seite nicht mehr erreichbar. Die Seite kann aber angepingt werden.
Erst am nächsten Tag kann die Seite wieder ganz normal aufgemacht werden.

Ist hingegen eine Fritzbox als Router angeschlossen kann die Seite jederzeit geöffnet werden.
Schließe ich einen PC vor der pfsense direkt am Lancom an kann ich die Seite aber auch jederzeit öffnen.

Unsere pfsense wurde von einem Fachmann eingerichtet und auch auf die Problematik hin nochmal überprüft. Er fand aber auch keinen Fehler in der Konfig.

Bei uns betrifft es eine Seite zur Fahrzeugortung. Vielleicht ist es die gleiche Seite?
Mitglied: aqui
aqui 03.07.2019 aktualisiert um 16:54:09 Uhr
Goto Top
Ich weiß schon ein bisschen was über VLANs, Routing und den ganzen Zirkus drum rum
Nein ! Nicht wirklich sonst würdest du nicht so einen Unsinn schreiben wie...
  • "so etwas klassisch über einen dedizierten Router oder über einen Layer 3 Switch löst.." Unsinn, denn einen FW ist genauso ein Router !
  • "In diesem Zustand sorgt die Firewall augenscheinlich dafür, dass alle Netze miteinander kommunizieren" Unsinn, denn jeder weiss das im Default auf einer FW alles verboten ist was nicht explizit erlaubt ist. Ebenso bei der pfSense. Auf neuen Interfaces ist ohne entspr. Regel ALLES verboten.
  • "dann muss ich diese zunächste per Routing zusammen führen. " Der größte Unsinn überhaupt. Sorry, aber ein Router routet IMMER automatisch alle an ihm direkt angeschlossenen IP Netze OHNE ein Routing. Logisch, denn er "kennt" diese Netze ja alle !
  • "Die Firewall macht das umgekehrt. Na wegen mir. Irgendwie Panne." Muss man sicher nicht weiter kommentieren in einem Admin Forum... ! face-sad
  • "Interface igb0, LAN 5, Source LAN 5 any, Destination WAN-DHCP any." Blödsinn denn für inbound DHCP benötigt es KEINE Regel. Du kennst scheinbar die 2 grundsätzlichen FW Regelwerke nicht, oder ? 1.) Filterregeln wirken NUR inbound ! 2.) First match wins ! (Nach dem ersten Hit werden folgende Regeln NICHT mehr abgearbeitet)
  • "Alle Netze sind wieder untereinander erreichbar..." Fehler liegt wie immer "zwischen den Kopfhörern" ! Zu 99.9% hast du hier falsche bzw. fehlerhafte Regeln definert an den Interfaces. Da du sie hier intzelligenterweise nicht postest nehmen wir das mal an, denn bei Millionen pfSense Firewalls in der Welt klappt es , einzig bei dir nicht wo alles anderes ist ! Schon komisch, oder ?
  • "dass die Netze wegen dem veränderten WAN Interface" Autsch ! Der Dativ ist dem Genitiv sein Tod !
  • "dem veränderten WAN Interface wieder untereinander erreichbar waren. " Quatsch ! Das hat mit den Firewall Regeln nicht das Geringste zu tun !
  • Ist es richtig, dass die Firewall nun, da das WAN Interface umgestellt wurde, dieses speziell vermisst und nun deswegen wieder jedes Netz auf jedes geroutet wird = Nein ! Ist wie oben schon gesagt völliger Quatsch !
  • Warum zum Kuckuck ist diese verflixte Seite nur erreichbar, ... = MTU Problematik, falsche oder fehlerhafte DNS
  • "DNS ist auf der Firewall hart eingetragen mit 8.8.8.8 als Quelle und das für alle Devices in allen Netzen." Auch das ist mehr als dumm. Jeder Hansel weiss mitlerweile das Google damit das Surf- und Internet verhalten ausschnüffelt und diese Profile mit 3ten vermarktet. Wem seine Privatsphäre eh so wenig wert ist der braucht eigentlich sinnvollerweise keine Firewall und dem reicht die FritzBox. Es ist Quatsch da einen DNS einzutragen, denn den bekommt die FW ja automatisch vom Provider per PPPoE. Sinnfrei...aber egal.
Einstellung...usw. Da gibt es viele mögliche Fehler. Leider machst du keinerlei zielführende Angaben so das ein Troubleshooting mit den Angaben unmöglich ist.

Sorry für die mehr als harten Worte aber für einen der sich nach eigener Einschätzung (Zitat: "Ich weiß schon ein bisschen was über VLANs, Routing") scheinbar auskennt sind das ein paar Punkte zuviel oben. Dann muss man auch ein etwas härteres Echo mal aushalten können in einem Administrator Forum.
Es hapert ja schon an grundsätzlichen Sachen wie dem Regelwerk einer FW, deren Logik, Funktionen am WAN Port, NAT usw. Deshalb ist deine Beschreibung auch wenig hilfreich für eine zielführende Hilfe und man kann es eigentlich nur unter dem Punkt "Frustbewältigung" abhaken. Zu mehr reicht es leider nicht.
Sonst wärst du etwas strategischer und mit sinnvollen Schritten an eine saubere Lösung gegangen. Millionen pfSense und OpenSense Installationen weltweit belegen es.
Wie gesagt....das o.a. FW VLAN Tutorial beschreibt alles was man dazu wissen muss. Zusätzlich auch noch:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mehr muss man nicht sagen....
Mitglied: ChriBo
ChriBo 03.07.2019 um 17:52:59 Uhr
Goto Top
Hi,
Nach einer Verbindungsunterbrechung ist eine bestimmte https-Seite nicht mehr erreichbar. Die Seite kann aber angepingt werden.
Erst am nächsten Tag kann die Seite wieder ganz normal aufgemacht werden

wenn möglich, nenne doch die Seite, vielleicht kann dir geholfen werden.

Habt ihr bei der Regelerstellung auch schon erweiterte Einstellungen bei den advanced Options ausprobiert ?
Ist leider nicht besonders gut dokumentiert.

CH