VRRP - Ping auf Virtuelle und Master IP

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VRRP - Ping auf Virtuelle und Master IP

Beitrag von backslash »

Hi manni4,

ich glaube ich sehe so langsam dein Problem...

der PC hat als Gateway die VRRP-IP 192.168.20.1 und die ist auf Router 1 Master
der RDP-Server hat als Gateway die VRRP-IP 192.168.40.1 und die ist auf Router 2 Master

wenn der PC nun ein Paket zum RDP-Server schickt, dann schickt der es zum Router 1 und Router 1 schickt es direkt zum RDP-Server
wenn der RDP-Server nun ein Paket zum PC schickt, dann schickt der es zum Router 2 und Router 2 schickt es direkt zum RDP-Server

Damit titscht "natürlich" die Firewall auf beiden Routern aus (SYN PC -> R1 -> RDP, SYN/ACK -> R2 -> Firewall sagt "bad state")... Hier wirst du wohl die Firewall zu einem Paketfilter degradieren müssen, d.h. du mußt die Zustandsüberwachung in den Regeln abschalten, also

Code: Alles auswählen

A_LAN-DMZ_TO_NETZ2   {Stateful}  No   
A_NETZ2_TO_LAN-DMZ   {Stateful}  No
Gruß
Backslash
manni4
Beiträge: 21
Registriert: 30 Aug 2018, 10:29

Re: VRRP - Ping auf Virtuelle und Master IP

Beitrag von manni4 »

Hi Backslash,

vielen Dank für die Erklärung!

Ich habe gerade mal kurz getestet und mit deaktivierte Zustandsüberwachung funktioniert es.
Wenn ich die Zustandsüberwachung für bestimmte Firewall-Regel von LAN->DMZ und DMZ->LAN deaktiviere, habe ich da nicht ein Sicherheitsproblem?

Vielen Dank nochmal und ein schönes WE

Viele Grüße
Manni
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VRRP - Ping auf Virtuelle und Master IP

Beitrag von backslash »

Hi manni4
Wenn ich die Zustandsüberwachung für bestimmte Firewall-Regel von LAN->DMZ und DMZ->LAN deaktiviere, habe ich da nicht ein Sicherheitsproblem?
das ist eine Frage der eigenen Paranoia, denn du verlierst natürlich einen Teil der Funktionalität - wie die "Richtungsabhägigkeit" der Regeln...

Das größere Problem sind aber deine Regeln selbst, da sie ja *allen* Traffic durchlassen... Eigentlich müßtest du die Regeln auf die Dienste beschränken, die du nutzen willst (z.B. RDP). Dabei mußt du darauf achten, daß du die Dienste in den Regeln spiegelst, d.h. wenn A_LAN-DMZ_TO_NETZ2 als Ziel-Dienst RDP bekommt, dann muß die Rückregel (A_NETZ2_TO_LAN-DMZ) den Dienst als Quell-Dienst haben!

Gruß
Backslash
manni4
Beiträge: 21
Registriert: 30 Aug 2018, 10:29

Re: VRRP - Ping auf Virtuelle und Master IP

Beitrag von manni4 »

Hi Backslash,
das ist eine Frage der eigenen Paranoia, denn du verlierst natürlich einen Teil der Funktionalität - wie die "Richtungsabhägigkeit" der Regeln...
und genau das wird das Problem sein :)
Das größere Problem sind aber deine Regeln selbst, da sie ja *allen* Traffic durchlassen... Eigentlich müßtest du die Regeln auf die Dienste beschränken, die du nutzen willst (z.B. RDP). Dabei mußt du darauf achten, daß du die Dienste in den Regeln spiegelst, d.h. wenn A_LAN-DMZ_TO_NETZ2 als Ziel-Dienst RDP bekommt, dann muß die Rückregel (A_NETZ2_TO_LAN-DMZ) den Dienst als Quell-Dienst haben!
Das ist nur die Testumgebung und deshalb alles erlaubt, sonst habe ich alles haarklein definiert und festgelegt. Durch die Rückregeln werde ich noch mehr Regeln haben und das ganze wird noch mehr unübersichtlicher.

Das Größte Problem was ich habe ist, wenn z.B. die UM-Leitung wegfliegt, wird diese und die Lokalen Netze die an UM hängen auf den Standby-Router umgeswitcht und die Benutzer können nicht mehr Surfen, da die CC-Leitung auf den Master-Router geblieben ist, habe ich überhaupt keine Möglichkeit das Internet Traffic für die Benutzer auf die CC-Leitung umzuswitchen (wie z.B. hier über die Aktionstabelle - lancom-systems-router-aeltere-modelle-z ... tml#p75861) – Danke GrandDixence!

In meinem Scenario wird es nicht anders gehen als - sobald eine Leitung umgeswitcht wird (ob die Leitung komplett ausgefallen ist oder nur das Netzwerkkabel zum Switch auf der WAN-Seite gezogen wird oder Defekt ist), soll die andere Leitung zwangsweise mitumziehen, dann habe ich die Möglichkeit das Surfen über die Aktionstabelle auf die CC-Leitung umzuswitchen. Also sowas wie – bei Ausfall eine Leitung soll sich das ganze so verhalten als ein Gerät ausgefallen wäre, sind alle Leitung auf den Standby-Router wieder aktiv und auf den Master-Router alle WAN Links UP, geht’s wieder zurück auf den Master-Router.

Das wäre doch ein cooles Feature was man im LCOS einbauen könnte :)

Ja, ich weiß, es hört sich einfach an - einfach ein bool mit True/False als Option z.B. „Bei Ausfall eine WAN-Leitung werden alle anderen Leitungen ebenfalls auf den Standby-Router geswitcht“ fertig :) Aber in Wirklichkeit ist das ein haufen Programmierarbeit/Testen und es könnte viel Komplizierter werden als man im ersten Moment denkt.

Vielen Dank und viele Grüße
Manni
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VRRP - Ping auf Virtuelle und Master IP

Beitrag von backslash »

Hi manni4,
Das Größte Problem was ich habe ist, wenn z.B. die UM-Leitung wegfliegt, wird diese und die Lokalen Netze die an UM hängen auf den Standby-Router umgeswitcht und die Benutzer können nicht mehr Surfen, da die CC-Leitung auf den Master-Router geblieben ist
wie jetzt... ich dachte du hättest das getrennt, also Surfen über UM aus dem Intranet mit eigener VRRP-IP und Mail über CC in der DMZ mit eigener VRRP-IP. Dann hast du doch nur ein Problem, wenn du vom Intranet auf die DMZ zugreifen willst - und auch nur dann, wenn UM und CC nicht am selben Router aktiv sind.

Und das Problem mit den Firewallregeln ohne Zustandsüberwachung hast du ja auch nur zwischen Intranet und DMZ - also werden es nicht sooo viele neue (Rück-)Regeln werden (um genau zu sein: je eine pro Dienst, den du in der DMZ anbieten willst)

Gruß
Backslash
manni4
Beiträge: 21
Registriert: 30 Aug 2018, 10:29

Re: VRRP - Ping auf Virtuelle und Master IP

Beitrag von manni4 »

Hi Backslash,
wie jetzt... ich dachte du hättest das getrennt, also Surfen über UM aus dem Intranet mit eigener VRRP-IP und Mail über CC in der DMZ mit eigener VRRP-IP. Dann hast du doch nur ein Problem, wenn du vom Intranet auf die DMZ zugreifen willst - und auch nur dann, wenn UM und CC nicht am selben Router aktiv sind.
Das ist Korrekt aber wenn die UM-Leitung wegfliegt, möchte ich das die Benutzer weiter im Internet surfen können (auch wenn es kurz Unterbrochen wird) und das Surfen auf die CC-Leitung umswitchen (wie als Backup-Leitung), es ist dann Langsam aber es geht.
Und das Problem mit den Firewallregeln ohne Zustandsüberwachung hast du ja auch nur zwischen Intranet und DMZ - also werden es nicht sooo viele neue (Rück-)Regeln werden (um genau zu sein: je eine pro Dienst, den du in der DMZ anbieten willst)
Naja 10 bis 15 Regel sind es, aber es bleibt immer noch - die eigene Paranoia. Selbst wenn ich die Paranoia abstelle, habe ich weiterhin die Problematik das im falle von UM-Leitungsausfall, kein Benutzer mehr surfen kann, da die CC-Leitung auf den Master-Router Aktiv ist und das Intranet ist dann auf dem Standby-Router.

Sorry, falls ich mich irgendwo missverständlich ausgedrückt habe.

Viele Grüße
Manni
Antworten