Warum matcht Ziel Gegenstelle Internet bei internem Netz?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
JensK
Beiträge: 12
Registriert: 25 Okt 2019, 09:56

Warum matcht Ziel Gegenstelle Internet bei internem Netz?

Beitrag von JensK »

Hallo zusammen,

ich habe ein ähnliches Problem, wie es in diesem Thread beschrieben ist, allerdings mit gleichen Routing-Tags.

Vereinfacht dargestellt gibt es folgende interne Netze - alle mit Routing-Tag 0:

Code: Alles auswählen

> ls /Setup/TCP-IP/Network-list

Network-name   IP-Address    IP-Netmask     VLAN-ID  Interface  Src-check  Type      Rtg-tag  Comment
===============--------------------------------------------------------------------------------------
INTRANET-MGMT  192.168.65.1  255.255.255.0  65       LAN-1      loose      Intranet  0
BUERO_A        192.168.66.1  255.255.255.0  66       LAN-1      loose      Intranet  0
BUERO_B        192.168.69.1  255.255.255.0  69       LAN-1      loose      Intranet  0
Die Routing-Tabelle sieht wie folgt aus:

Code: Alles auswählen

> ls /Setup/IP-Router/IP-Routing-Table

IP-Address       IP-Netmask     Rtg-tag  Peer-or-IP    Distance  Masquerade  Active   Comment
=========================================----------------------------------------------------
192.168.20.0     255.255.255.0  0        HQ            0         No          Yes
255.255.255.255  0.0.0.0        1        VDSL_TELEKOM  0         on          Yes
255.255.255.255  0.0.0.0        0        HQ            0         No          Yes
Das 20er Netz ist an einem anderen Standort und wird auf die VPN-Gegenstelle "HQ" geroutet. Auch wird sämtlicher anderer Traffic vom Routing-Tag 0 per Default-Route zum Hauptstandort geroutet. Das Routing-Tag 1 dient dazu, Traffic direkt ins Internet zu leiten, dessen Default-Route zeigt daher auf die VDSL-Gegenstelle.

Nun soll es die Ausnahme geben, dass bestimmte Geräte aus dem BUERO_B direkt ins Internet dürfen. Für diese IPs ist eine Ausnahme-Regel mit der Gegenstelle des Internetzugangs als Ziel konfiguriert, die dann das Routing-Tag auf 1 umschreiben soll. Für den Rest mit Routing-Tag 0 gibt es eine Deny-All-Regel.

Code: Alles auswählen

> ls /Setup/IP-Router/Firewall/Rules

Name                    Prot.  Source                       Destination     Action           Linked  Prio  Firewall-Rule  VPN-Rule  Stateful  Src-Tag  Rtg-tag  Comment
========================-----------------------------------------------------------------------------------------------------------------------------------------------
ALLOW_INTERNET_DIRECT   ANY    %A192.168.66.2-192.168.66.9  %HVDSL_TELEKOM  %Lctwds0 @i %A   No      2     Yes            No        Yes       0        1
DENY_INTERNET           ANY    ANYHOST                      %HVDSL_TELEKOM  INTERNET-FILTER  No      2     Yes            No        Yes       65535    0
Soweit funktioniert das auch und die IPs 192.168.66.3 etc. kommen wie gewünscht ins Internet. Allerdings gibt es den Seiteneffekt, dass diese IPs nicht mehr das Netz 192.168.69.0 erreichen können. Hier matcht ebenfalls die Firewall-Regel ALLOW_INTERNET_DIRECT und der Router versucht diese Pakete ins Internet zu routen, statt einfach in das andere VLAN.

Code: Alles auswählen

[Firewall] 2021/10/13 19:34:11,219  Devicetime: 2021/10/13 19:34:11,857
Packet matched rule ALLOW_INTERNET_DIRECT
DstIP: 192.168.69.49, SrcIP: 192.168.66.2, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0004, seq: 0x9f8f

packet accepted

[IP-Router] 2021/10/13 19:34:11,219  Devicetime: 2021/10/13 19:34:11,856
IP-Router Rx (LAN-1, BUERO_A, RtgTag: 1): 
DstIP: 192.168.69.49, SrcIP: 192.168.66.2, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0004, seq: 0x9f8f
Route: WAN Tx (VDSL_TELEKOM)
Vermutlich liegt es am Ziel Gegenstelle VDSL_TELEKOM, da ja sonst kaum weitere Bedingungen in der Firewall-Regel vorhanden sind. Aber warum matcht das Gegenstellen-Objekt, wenn doch das Ziel ein anderes VLAN unter demselben Routing-Tag ist? Kann mir jemand bei dem Verständnisproblem auf die Sprünge helfen? Was übersehe ich? ;)

Jens
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Warum matcht Ziel Gegenstelle Internet bei internem Netz?

Beitrag von backslash »

Hi JensK,

das Problem liegt nicht an der Gegenstelle "Telekom", sodnern daran, daß du die Paket umtaggst... Und im Tag 1 hast du die Default-Route, die zur Telekom zeigt. Viel schlimmer aber ist, daß du dort keine Route zum 192.168.69.x Netz hast...
Das liegt an den ARF-Sichtbarkeiten... Das Netz 192.168.69.x hat das Tag 0, d.h. es kann zwar alle Kontexte sehen, wird aber nur aus dem Kontext 0 gesehen - also nicht aus dem Kontext 1...

Somit macht die Regel korrekterweise.

Die Routing-Tabellen der einzlnen Kontexte kannst du dir i.Ü. über "show ipv4-fib" anschauen.

Hier mußt du in die Routing-Tabelle eine Sperr-Route für das Netz aufnehmen - am Besten gleich mit Tag 0, damit sie in allen Kontexten auftaucht. Früher passierte das automatisch durch die Default-Sperr-Routen für privare Netze (10.0.0.0/8, 172.16.0.0/20, 192.168.0.0/16) - nur leider wurden die ja irgendwann im Default deaktiviert und du hast die sogar gleich ganz rausgeschmissen...

Am besten fügst du sie einfach dieder ein

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             Distance  Masquerade  Active   Comment                                                         
===========================================================----------------------------------------------------------------------------------------------------------------------
192.168.0.0      255.255.0.0      0        0               0.0.0.0                0         No          Yes      template: block private networks: 192.168.x.y                   
172.16.0.0       255.240.0.0      0        0               0.0.0.0                0         No          Yes      template: block private networks: 172.16-31.x.y                 
10.0.0.0         255.0.0.0        0        0               0.0.0.0                0         No          Yes      template: block private network: 10.x.y.z                       
Trotz der Sperr-Routen kannst deine LANs immer noch erreichen, weil für diese explizit Routen angelegt werden.

Gruß
Backslash
JensK
Beiträge: 12
Registriert: 25 Okt 2019, 09:56

Re: Warum matcht Ziel Gegenstelle Internet bei internem Netz?

Beitrag von JensK »

Hallo Backslash,
backslash hat geschrieben: 14 Okt 2021, 11:08 das Problem liegt nicht an der Gegenstelle "Telekom", sodnern daran, daß du die Paket umtaggst...
vielen Dank für Deine ausführlichen Erläuterungen. Dass ein auf Tag 1 umgetaggtes Paket nicht mehr das 192.168.69.x Netz erreichen kann, verstehe ich und kann ich so auch nachvollziehen. Das ist ja gewissermaßen auch so gewollt. Danke auch für die Hinweise zu den Sperr-Routen.

Ich muss aber nochmal einen Schritt davor ansetzen:
Warum wird denn das Paket von den bestimmten IPs aus dem 66er Netz zum 69er Netz überhaupt umgetaggt? Das ist von mir eigentlich nicht gewollt.

Die Bedingungen für die Firewall-Regel ALLOW_INTERNET_DIRECT ist ja eine Quell-Adresse im Bereich 192.168.66.2-192.168.66.9 (ist erfüllt) und als Ziel-Adresse die Gegenstelle VDSL_TELEKOM (meines Erachtens bei einer Ziel-IP 192.168.69.x nicht erfüllt). Nur wenn beide Bedingungen erfüllt sind, sollte doch die Regel greifen und das Routing-Tag auf 1 umschreiben. Ist die Regel nicht erfüllt, bleibt es beim Routing-Tag 0 und könnte dann normal zwischen den VLANs geroutet werden.

Es wäre toll, wenn Du mir noch den entscheidenden Hinweis geben könntest, warum das Paket umgetaggt wird. Warum wird die Regel ALLOW_INTERNET_DIRECT erfüllt?

Vielen Dank im Voraus!

Gruß, Jens
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Warum matcht Ziel Gegenstelle Internet bei internem Netz?

Beitrag von backslash »

Ji JensK
Ich muss aber nochmal einen Schritt davor ansetzen:
Warum wird denn das Paket von den bestimmten IPs aus dem 66er Netz zum 69er Netz überhaupt umgetaggt? Das ist von mir eigentlich nicht gewollt.
Die Fäghikeiten der Firewall imm Kaffeesatz zu lesen, was du willst, sind sehr beschränkt...

Die Firewall arbeitet ihren Filtersatz "von oben nach utnen" ab (den Filtersqtz kannst du dir auf dem CLI mit "show filter" anzeigen lassen)

Als erstes matcht das Paket auf die Adressen: 192.168.66.2 matcht auf "%A192.168.66.2-192.168.66.9" und 192.168.69.49 matht auf %A0.0.0.0 %M0.0.0.0", was durch die Vorgabe der Gegenstelle in den Filtersatz kommt.
Dann steht an dem gefundenen Filter ein Routing-Tag. Mit diesem Tag wird jetzt der Routen-Lookup gemacht - und genau da kollidiert dann dein Wille mit der Vorgehensweise der Firewalll... Denn ohne die Sperr-Routen wird genau die Telekom-Route gefunden. Und da die Gegenstelle in der gefundenen Route mit der angeforderten (VDSL-TELEKOM) übereintimmt, ist der Regel-Lookup an der Stelle beendet...

Gruß
Backslash
JensK
Beiträge: 12
Registriert: 25 Okt 2019, 09:56

Re: Warum matcht Ziel Gegenstelle Internet bei internem Netz?

Beitrag von JensK »

Hallo Backslash,

danke für die wieder detaillierten Erläuterungen!
backslash hat geschrieben: 18 Okt 2021, 17:56 Als erstes matcht das Paket auf die Adressen: 192.168.66.2 matcht auf "%A192.168.66.2-192.168.66.9" und 192.168.69.49 matht auf %A0.0.0.0 %M0.0.0.0", was durch die Vorgabe der Gegenstelle in den Filtersatz kommt.
Dass die Firewall bei der Ziel-IP an der Stelle 192.168.69.49 gegen %A0.0.0.0 %M0.0.0.0 matchen lässt, war mir nicht bewusst. Ich war davon ausgegangen, dass die Firewall vor diesem Match die Routen prüft und feststellt, dass die Ziel-IP intern geroutet werden kann und nicht zur Gegenstelle VDSL-TELEKOM geroutet werden würde.

Mit Deiner Erklärung ist das Verhalten der Firewall aber nun klar und nachvollziehbar und hilft mir weiter. Vielen Dank nochmal!

Gruß, Jens
Antworten