Policy Based Routing greift nicht, aufgrund Zielangabe in Regel

[Bernie137]

Hallo liebes Forum,

ich verwende einen 1781EF+ mit LCOS 10.50RU2. Wir befinden uns in einer Filiale. Alle Internet Traffic wird durch den VPN-Tunnel an die Zentrale geschickt = Routing Tag 5 für das Intranet 10.11.0.0/16. Als Ausnahme soll eine bestimmte Anwendung über den lokalen VDSL Zugang = Routing Tag 1 ausgekoppelt werden ins Internet. Leider funktioniert das seit einiger Zeit nicht mehr, hat aber Anfang des Jahres noch funktioniert mit einer älteren LCOS Version, irgendwas mit 10.40... Damals war aber auch die "Internet_Lokale_PC" Firewall Regel nur für bestimmte lokale IPs aktiv, nicht für das ganze Netz. Die 10.11.2.71 war damals nicht Teilmenge in dieser Firewall Regel.

Die Routing Tabelle:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             Distance  Masquerade  Active   Comment
===========================================================----------------------------------------------------------------------------------------------------------------------
10.50.0.0        255.255.254.0    50       0               ZENTRALE               0         No          Yes      VoIP
10.50.4.0        255.255.254.0    50       0               ZENTRALE               0         No          Yes      VoIP
10.10.0.0        255.255.0.0      0        0               ZENTRALE               0         No          Yes
255.255.255.255  0.0.0.0          181      0               INTERNET               0         on          Yes      Internet GAST
255.255.255.255  0.0.0.0          25       0               ZENTRALE               0         No          Yes      Internet Traffic nach BU
255.255.255.255  0.0.0.0          5        0               ZENTRALE               0         No          Yes      Internet Traffic nach BU
255.255.255.255  0.0.0.0          1        0               INTERNET               0         on          Yes      lokales VDSL
255.255.255.255  0.0.0.0          0        0               RIFU711                0         on          Yes      RiFu-Verbindung

Die involvierten Firewall Regeln:

Code: Alles auswählen

Regel			Aktion		Priorität		Routing-Tag	Quelle		Quell-Dienst	Ziel			Ziel-Dienst
Internet_Fahrschule	Accept		251			1		10.11.2.71	alle		193.30.38.233		ICMP, HTTP, DNS, HTTPS
Internet_Lokale_PC	Accept		0			5		10.11.0.0/16	alle		beliebig		TCP 21,80,443,5001
Deny_all		Zurückweisen	0			0		beliebig	alle		beliebig		alle

Der Trace für diese Konfiguration sieht folgender Maßen aus:

Code: Alles auswählen

[IP-Router] 2021/12/07 08:16:58,494  Devicetime: 2021/12/07 08:16:57,748
IP-Router Rx (LAN-1, INTRANET, RtgTag: 5):
DstIP: 193.30.38.233, SrcIP: 10.11.2.71, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 50052, Flags: S
Seq: 2311481800, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (ZENTRALE)

In der Connection-List steht:

Code: Alles auswählen

> ls /Status/IP-Router/Connection-List/10.11.2.71

Src-Address      Dst-Address      Prot.  Src-Port    Dst-Port   Rtg-tag  Timeout  Flags     Filter-Rule                       Src-Route         Dest-Route
================================================================------------------------------------------------------------------------------------------------
10.11.2.71       10.10.10.3       6      49813       445        0        240      00068008  HD_EXTERN                                           ZENTRALE
10.11.2.71       10.10.10.13      6      49819       445        0        223      00068008  HD_EXTERN                                           ZENTRALE
10.11.2.71       13.107.42.16     6      50131       443        5        18       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       34.104.35.123    6      50142       80         5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       52.222.237.181   6      50149       443        5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.174  6      50135       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.174  6      50136       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.174  6      50151       443        5        29       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.227  6      50143       443        5        30       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.227  6      50145       443        5        26       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.238  6      50124       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.238  6      50125       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.238  6      50132       443        5        20       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.186.174  6      50120       443        5        0        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50133       443        5        24       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50134       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50138       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50139       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50140       443        5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50141       443        5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       193.30.38.233    6      50146       80         5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       193.30.38.233    6      50147       80         5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       193.30.38.233    6      50148       443        5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       193.30.38.233    6      50150       80         5        28       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50130       443        5        17       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50137       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50121       443        5        3        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50123       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.38.117   6      50126       443        5        12       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.38.117   6      50127       443        5        12       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.38.117   6      50128       443        5        12       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.38.117   6      50129       443        5        15       00068001  INTERNET_LOKALE_PC                                  ZENTRALE

Und nun wird es ganz verrückt!
Gehe ich auf die CLI des Routers und setzte dort einen Ping maps.adac.de@1 ab, funktioniert plötzlich das Ganze für eine Weile. Der Trace sieht dann so aus:

Code: Alles auswählen

[IP-Router] 2021/12/07 08:20:28,233  Devicetime: 2021/12/07 08:20:27,517
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1):
DstIP: 193.30.38.233, SrcIP: 10.11.2.71, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 50202, Flags: S
Seq: 3087676186, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (INTERNET)

Die Connection-List so:

Code: Alles auswählen

> ls /Status/IP-Router/Connection-List/10.11.2.71

Src-Address      Dst-Address      Prot.  Src-Port    Dst-Port   Rtg-tag  Timeout  Flags     Filter-Rule                       Src-Route         Dest-Route
================================================================------------------------------------------------------------------------------------------------
10.11.2.71       10.10.10.3       6      49813       445        0        253      00068008  HD_EXTERN                                           ZENTRALE
10.11.2.71       10.10.10.13      6      49819       445        0        253      00068008  HD_EXTERN                                           ZENTRALE
10.11.2.71       20.42.73.25      6      50315       443        5        6        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       20.42.73.25      6      50316       443        5        6        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       20.42.73.25      6      50335       443        5        27       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       20.42.73.25      6      50336       443        5        27       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.184.206  6      50327       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.184.206  6      50334       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.106  6      50318       443        5        14       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.106  6      50319       443        5        15       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.227  6      50328       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.227  6      50329       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       142.250.185.227  6      50333       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50305       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50307       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50312       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50314       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50337       443        5        22       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       172.217.18.99    6      50338       443        5        22       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       193.30.38.233    6      50238       443        1        0        80020048  INTERNET_FAHRSCHULE                                 INTERNET
10.11.2.71       193.30.38.233    6      50241       443        1        0        80020048  INTERNET_FAHRSCHULE                                 INTERNET
10.11.2.71       193.30.38.233    6      50243       443        1        0        80020048  INTERNET_FAHRSCHULE                                 INTERNET
10.11.2.71       193.30.38.233    6      50244       443        1        0        80020048  INTERNET_FAHRSCHULE                                 INTERNET
10.11.2.71       216.58.201.67    6      50310       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50311       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50313       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50322       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50323       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50324       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50326       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.58.201.67    6      50331       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50304       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50306       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50308       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50309       443        5        4        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50317       443        5        9        00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50321       443        5        19       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50325       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50330       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE
10.11.2.71       216.239.32.116   6      50332       443        5        25       00068001  INTERNET_LOKALE_PC                                  ZENTRALE

Wie kann ich dennoch bestimmte Zieladresse als Ausnahme lokal über den VDSL auskoppeln?

Viele Grüße,
Bernie

[Dr.Einstein]

Hey Bernie,

oh man, sieht nach einer neuen tollen Funktion der 10.50 oder sogar der 10.42 aus. Kannst du mal ein "show filter" machen. Irgendwie klingt es so, dass die Prioritätenabfolge zufällig gewählt wird.

Gruß Dr.Einstein

[Bernie137]

Hallo Dr. Einstein,

da kommt eine verdammt lange Liste beginnend mit 00000001 bis 000000a1, da sind 161 Einträge. Aber das scheint nicht das Problem zu sein, die Reihenfolge passt. Ich habe gleich noch etwas ausgemistet, was "zu viel" war in den Firewall Rules.

@all
Mein Regelwerk funktioniert sofort, wenn ich die folgende Regel abändere:

Code: Alles auswählen

Regel			Aktion		Priorität		Routing-Tag	Quelle		Quell-Dienst	Ziel			Ziel-Dienst
Internet_Fahrschule	Accept		251			1		10.11.2.71	alle		193.30.38.233		ICMP, HTTP, DNS, HTTPS

in die VDSL Gegenstelle, welche das Routing Tag 1 hat. Jedoch ist dann der Zugriff auf das komplette Internet möglich, was nicht erwünscht ist.
Es liegt jedenfalls nicht, wie anfangs vermutet an der VPN(Firewall) Regel.

Code: Alles auswählen

Regel			Aktion		Priorität		Routing-Tag	Quelle		Quell-Dienst	Ziel			Ziel-Dienst
Internet_Fahrschule	Accept		251			1		10.11.2.71	alle		<Gegenstelle Internet>	ICMP, HTTP, HTTPS

Viele Grüße,
Bernie

[Ganzfix]

Anscheinend ist 10.11.2.71 die IP von deinem Router, oder?
Soll denn wirklich nur der Router direkt auf das Ziel 193.30.38.233 zugreifen oder gegebenenfalls die Clients des Routers 10.11.2.71? Denn müsstest Du nämlich die Clients als Quelle der Firewallregel festlegen.

[Bernie137]

Anscheinend ist 10.11.2.71 die IP von deinem Router, oder?

Nein, die IP ist von einem Client Computer.
Der Router hat die IP 10.11.0.1.

[Bernie137]

Inzwischen bin ich etwas weiter gekommen. In der entscheidenden Firewall Regel scheint es auch einen Unterschied zu machen, was man als Ziel auswählt.

Nochmal zur Erinnerung:

Code: Alles auswählen

Regel			Aktion		Priorität		Routing-Tag	Quelle		Quell-Dienst	Ziel			Ziel-Dienst
Internet_Fahrschule	Accept		251			1		10.11.2.71	alle		193.30.38.233		ICMP, HTTP, HTTPS

Ich hatte beim Erstellen des Beitrages übersehen, dass hier bei Ziel in Wahrheit eine DNS-Liste als Ziel ausgewählt ist, die auf exakt die Gleiche IP auflöst. Folgendes Verhalten ergibt sich:

1. Ziel = <Gegenstelle VDSL Internet> (hat in der Routing Tabelle das Tag 1): In dieser Konfiguration geht der Zugriff richtig geschmeidig und fix, wird richtig getaggt, aber keine Filterung auf Teile des Internets
2. Ziel = IP Adresse 193.30.38.233 und andere: In dieser Konfiguration geht der Zugriff lahm, wird aber richtig getaggt auf 1, Prüfung mit Trace
2. Ziel = DNS-Zielliste (*.adac.de): In dieser Konfiguration geht kein Zugriff, es wird falsch getaggt. Normalerweise soll Google Maps benutzt werden, da werde ich aber nicht fertig mit IPs eingeben... Bug oder Feature bzgl. Tagging?

Viele Grüße,
Bernie

[Dr.Einstein]

Hey Bernie,

2. Ziel = DNS-Zielliste (*.adac.de): In dieser Konfiguration geht kein Zugriff, es wird falsch getaggt. Normalerweise soll Google Maps benutzt werden, da werde ich aber nicht fertig mit IPs eingeben... Bug oder Feature bzgl. Tagging?

Verwendet der Client als DNS Server den Lancom Router? Siehst du die Auflösung im FW-DNS Trace? Falls nichts im FW DNS Trace zu sehen ist, siehst du die Antworten auf adac.de im reinen DNS-Trace?

Gruß Dr.Einstein

[backslash]

Hi Bernie137

1. Ziel = <Gegenstelle VDSL Internet> (hat in der Routing Tabelle das Tag 1): In dieser Konfiguration geht der Zugriff richtig geschmeidig und fix, wird richtig getaggt, aber keine Filterung auf Teile des Internets
2. Ziel = IP Adresse 193.30.38.233 und andere: In dieser Konfiguration geht der Zugriff lahm, wird aber richtig getaggt auf 1, Prüfung mit Trace

den Unterschied glaube ich ehrlich gesagt nicht, denn ob da nur eine Adresse oder quasi "anyhost" (0.0.0.0/0) als Ziel drin steht, macht keinen Unterschied

2. Ziel = DNS-Zielliste (*.adac.de): In dieser Konfiguration geht kein Zugriff, es wird falsch getaggt. Normalerweise soll Google Maps benutzt werden, da werde ich aber nicht fertig mit IPs eingeben... Bug oder Feature bzgl. Tagging?

Wie Dr.Einstein schon schrieb: DNS-Ziele funktionieren nuir, wenn das LANCOM der DNS-Server ist.
Und da du Google-Mpas erwähnst: Ist das Gereät ggf. ein Handy? Dann könntest du Gefahr laufen, daß die Google-Maps App nicht den zugewiesenen DNS-Server nutzt, sondern direkt über den Google-DNS geht und dann auch noch DOH nutzt (hier gabs in den letzten Tagen so einen Bericht: alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... ml#p108242)... Um das zu Verhindern müßtest du vermutlich die 8.8.8.8 kompeltt sperren...

Gruß
Backslash

[Bernie137]

Hi Backslash und Dr. Einstein,

vielen Dank für Eure Hinweise.

den Unterschied glaube ich ehrlich gesagt nicht, denn ob da nur eine Adresse oder quasi "anyhost" (0.0.0.0/0) als Ziel drin steht, macht keinen Unterschied

Ja, wahrscheinlich ist in diesem Fall aber nur eine IP Adresse nicht die ganze Wahrheit und es spielen da noch andere IPs mit rein.

Und da du Google-Mpas erwähnst: Ist das Gereät ggf. ein Handy?

Nein, es handelt sich um Windows 10.

Verwendet der Client als DNS Server den Lancom Router?

Ihr habt beide den Finger drauf. Nein, da es sich um ein Active Directory handelt.

Bisher war die DNS Auflösung folgendermaßen konfiguriert:
PC -> DC-Filiale -> VPN -> DC-Zentrale -> Router/Firewall

Nun habe ich zur DNS-Auflösung die Wahl zwischen zwei Varianten:

1. PC -> DC-Filiale -> LC-Filale -> domainfremdes Zeugs -> VPN -> DC-Zentrale -> Router/Firewall
-> domain intern -> VPN -> DC-Zentrale -> Router/Firewall
2. PC -> LC-Filiale -> DC-Filiale -> VPN -> DC-Zentrale -> Router/Firewall

Beide Varianten haben einen Pferdefuß. Bei 1. cached der DC-Filale DNS Auflösungen - wie lange merkt sich die LC-Firewall die DNS Auflösung? Im Moment verwende ich diese Variante. Aber keine Ahnung ob mir das irgendwann auf die Füße fällt mit dem caching. Im Moment ist es manchmal so, dass man 4 bis 5 Mal im Moment die Seiten ansurfen muss bis es klappt, obwohl ich im FW-DNS die Auflösung und Regel gesehen habe. Bei den ersten Versuchen landet der Traffic immer in der Zentrale an der Firewall, die das aber blockt (gewollt). Jetzt gerade eben habe ich nochmals getestet und es funktioniert auf Anhieb, selbst der Google Kram. Ich werde da nicht schlau.
Bei 2. funktioniert die dynamische DNS Registrierung zum AD-DNS hin nicht wirklich. Die DNS Auflösung von Clients wird im AD fürs Patchmanagement benötigt.

Zurück zu den Firewall Regeln:
Für die eine Fahrschulapp funktioniert das direkt mit der IP 94.130.0.235 am besten. Für den gewünschten Routenplaner Google Maps wird es Murks, ADAC war nur meine Idee um Google aus dem Weg zu gehen. Habt ihr noch eine elegantere Idee?

Viele Grüße,
Bernie

[backslash]

Hi Bernie137

wie lange merkt sich die LC-Firewall die DNS Auflösung?

Prinzipiell 10 Sekunden länger als die TTL des jeweiligen Records.
Da aber z.B. Browser einen eigenen Cache haben, der Adressen u.U. länger speichert, gibt es noch eine konfigurierbare minimale Cachezeit.
Im CLI kannst du /setup/firewall die DNS-Minimum-Cache-Time einstellen. Der Default liegt bei 180 Sekunden

Gruß
Backslash