UF-360 lokales Routing

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

UF-360 lokales Routing

Beitrag von UKernchen »

Hallo,
ich habe eine UF-360 als Standardgateway neu im Einsatz.
Eth0 ist der Internetanschluß, Eth1 ist bisher das einzige LAN.

Der Kunde nutzt weitere VPN-Router zu seinen Außenstellen (die UF-360 macht bisher kein VPN).
Bisher war mein Standardgateway ein Lancom Router, der bekam einfach eine passende Routing-Tabelle für diese Netze.
Bsp:
* UF-360 (Standardgateway+Internet): 192.168.27.254
* VPN-Router: 192.168.27.244

Routingtabelle im Standardgateway zu den Außenstellen:
* 192.168.30.0/24 -> 192.168.27.244
* 192.168.31.0/24 -> 192.168.27.244
* 192.168.32.0/24 -> 192.168.27.244

Genau so habe ich das in der UF-360 unter Routingtabellen in der vorhandenen Tabelle 254 nachgebaut (Bild).
Offenbar reicht das hier nicht.
Nun habe ich interne Netzwerkobjekte an Eth1 für jedes LAN angelegt und probiere mich durch die Regelsätze (Desktop-Verbindung LAN zu entferntes Netzwerk).
Bin ich hier überhaupt auf dem richtigen Weg?
Aktionen bidirektional, richtig?
NAT aus, richtig?
Ich bekomme ganz kurz eine RDP-Verbindung von außen über VPN aufgebaut, die sofort nach der Anmeldung einfriert.
Was fehlt noch?

Danke für eure Hilfe
Uwe
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: UF-360 lokales Routing

Beitrag von PappaBaer »

Moin,

auf diese Weise baust Du Dir auf jeden Fall ein asymmetrisches Routing.
Pakete in Richtung VPN-Gegenstelle laufen über die UF, die Antwortpakete aber nicht. Ich denke mal, da macht die Firewall der UF bei TCP dann zu.
Ich kenne die UF nicht weiter, aber kannst Du da ICMP-Redirects aktivieren?

Grüße,
Torsten
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-360 lokales Routing

Beitrag von UKernchen »

Guten Morgen,
danke für den Denkanstoß!
Klingt logisch und ich recherchiere mal.

Auf die Server könnte ich ja Routingtabellen ausrollen, aber spätestens bei Druckern, SPS usw komme ich mit der Methode nicht weit.
Die kennen ja nur ein Standardgateway.

Erstaunlicherweise haben 2 physische Server und eine VM auf einem entfernten Host (aber im selben LAN) diese Probleme nicht.
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-360 lokales Routing

Beitrag von UKernchen »

Mit einer Routing-Tabelle auf dem jeweiligen Server geht es.
Natürlich,- dann ist die UF-360 ja außenvor.

Leider finde ich bis jetzt keine vergleichbare Funktion (ICMP-Redirect) in der UF-360.
Kennt sich hier jemand mit den Firewalls aus?

Komischerweise funktionieren (ohne Routing-Tabelle):
- 2x ESXi-Server WEB-GUI (vCenter NICHT!)
- 2x physische Windows-Server (alle virtuellen NICHT)
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: UF-360 lokales Routing

Beitrag von PappaBaer »

Moin,

um das asymmetrische Routing zu vermeiden, kannst Du auch mit einem Transfernetz zwischen UF und VPN-Router arbeiten.

LAN (192.168.27.0/24) --- (192.168.27.254/24) UF-360 (10.10.10.1/30) --- (10.10.10.2/30) VPN-Router

Routing-Tabelle UF-360:
192.168.30.0/24 -> 10.10.10.2
192.168.31.0/24 -> 10.10.10.2
192.168.32.0/24 -> 10.10.10.2
Default-Route -> Internet

Routing-Tabelle VPN-Router (IP 10.10.10.2/24, der VPN-Router hat KEINE IP im 192.168.27.0/24 Netz mehr):
192.168.30.0/24 -> VPN-Tunnel
192.168.31.0/24 -> VPN-Tunnel
192.168.32.0/24 -> VPN-Tunnel
192.168.27.0/24 -> 10.10.10.1 (nur zur Sicherheit, wegen Default-Route eigentlich nicht nötig)
Default-Route -> 10.10.10.1

Damit gehen Pakete hin und zurück zum/vom VPN-Tunnel immer den selben Weg.

Grüße,
Torsten
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: UF-360 lokales Routing

Beitrag von UKernchen »

Das war es, vielen Dank!
Gute Idee, so geht es.

Viele Grüße!
Antworten