Gelöst:Zeitplan für 2 versch. Internetverb. am gleichen Port

[Bernie137]

Hallo Jirka,

ich habe das Problem gefunden.

- FW Rule (LOCALNET+10.10.0.0/16) ANY zu (LOCALNET+10.10.0.0/16) ANY mit TAG 1 markieren, höchste Priorität, weitere Rules beachten

Diese Tagging Regel war so nicht 100%ig korrekt. Das Problem ist, dass hier auch die Paktete der Rückroute mit getaggt werden. Jetzt Habe ich die Regel so angelegt:
von LOCALNET ANY zu {Gegenstelle Zentrale} ANY mit TAG 1 markieren, höchste Priorität, weitere Regeln beachten

Leider habe ich gestern Abend sinnlose 3h zugebracht, bis ich festgestellt habe, dass ich von der CLI aus mit PING nicht testen sollte. Da interessiert es die Tagging Regel bzw. weitere Firewall Regeln einen feuchten Kehrricht. Mit tr + ip-router war immer Routing Tag 0 zu sehen. Dann nach 3h mal zufällig einen Ping von einem Client gemacht und siehe da - Routing Tag 1! Ist das so gewollt im LCOS?

Den Zeitplan habe ich jetzt stehen über die cron Tabelle mit:

Code: Alles auswählen

set /setup/ip-router/firewall/rules/TAGGING * * * * * * yes
set /setup/vpn/VPN-Peers/VPN-ZENTRALE * * * 1

vg Bernie

[Jirka]

Hallo Bernie,

ob's definitiv so gewollt ist, ist fraglich. Aber es ist so und "works as designed".

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

ja richtig, man muss es eben nur wissen (...oder mühseelig herausfinden)

vg Bernie

[backslash]

Hi Jirka

ob's definitiv so gewollt ist, ist fraglich. Aber es ist so und "works as designed".

nun ja, das ergibt sich automatisch dadurch, daß es in der Firewall nur Forwarding-Regeln gibt... Dadurch können interne Dienste nicht über eine Firewallregel umgetaggt werden, denn dazu bräuchte man Outbound-Regeln - aber die gibt es selbst in der IPv6-Firewall nicht...

Und selbst, wenn es die gäbe ist fraglich, ob ein User auf die Idee kommt, auch die Outbound-Regeln umzutaggen...

Gruß
Backslash