[Gelöst] Site2Site nicht per Firewall beinflussbar

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
OnkelThomas
Beiträge: 33
Registriert: 27 Jul 2020, 16:21

[Gelöst] Site2Site nicht per Firewall beinflussbar

Beitrag von OnkelThomas »

Hallo,

ich habe auf meinem 1900EF mehrere IP-Netze, die mit Routing-Tags voneinander getrennt sind. Per Firewall erlaube ich dann explizit, welcher Traffic zwischen den Netzten erlaubt ist. Auch habe ich mehrere Client-VPN-Verbindungen, die per Routing-Tabelle eine Routing-Tag erhalten und ich so per Firewall explizit steuere.

Code: Alles auswählen

/Setup/IP-Router/IP-Routing-Table
> ls

IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             Distance  Masquerade  Active   Comment
===========================================================----------------------------------------------------------------------------------------------------------------------
172.17.2.6       255.255.255.255  172      0               TBHY                   0         No          Yes      VPN strongSwan Android
172.23.23.50     255.255.255.255  1        0               TBAPC                  0         No          Yes      VPN nativ Win10
172.23.23.220    255.255.255.255  1        0               O2                     0         No          Yes      VPN iked OpenBSD
172.23.23.222    255.255.255.255  1        0               Z8                     0         No          Yes      VPN iked OpenBSD
172.31.34.2      255.255.255.255  3134     0               XXXXXXXX               0         No          Yes      VPN nativ Win10
172.31.35.2      255.255.255.255  3135     0               MUV                    0         No          Yes      VPN nativ Win10
192.168.140.0    255.255.255.0    0        0               TRB140                 0         No          Yes      VPN strongSwan TRB140
192.168.0.0      255.255.0.0      0        0               0.0.0.0                0         No          No       template: block private networks: 192.168.x.y
172.16.0.0       255.240.0.0      0        0               0.0.0.0                0         No          No       template: block private networks: 172.16-31.x.y
10.0.0.0         255.0.0.0        0        0               0.0.0.0                0         No          No       template: block private network: 10.x.y.z
255.255.255.255  0.0.0.0          0        0               INTERNET               0         on          Yes      Diese Route wurde durch den Internet-Assistenten erzeugt
Jetzt mach ich das erste mal ein Site-to-Site VPN. Das 192.168.140.0 in der Routing-Tabelle.

Folgendes Problem:
Gebe ich in der Routing-Tabelle dem entfernten VPN-Netz 192.168.140.0 ein Routing-Tag (ungleich null), ist es das Netz nicht mehr erreichbar. Egal welche Allow-Regel in der Firewall steht.
Lass ich den Tag auf null, ist es aus dem Netz 172.23.23.0/24 mit Routing-Tag 1 erreichbar. (Und wie es gerade aussieht nur aus dem. Update: Was Sinn macht, da die Gegenseite nur 172.23.23.0/24 kennt.) Egal welche Deny-Regel in der Firewall gesetzt wird, der Verkehr fließt ungestört.

(Der Routing-Tag unter /Setup/VPN/IKEv2/Peers scheint überhaupt keine Auswirkung zu haben.)

Ich kann gerne meine Firewall-Regeln posten, aber ich glaube eher das es sich bei mir um ein grundlegenderes Verständnisproblem handelt.
Hat jemand Tipps?

Firewall-Regeln:

Code: Alles auswählen

/Setup/IP-Router/Firewall/Rules
> ls

Name                              Prot.       Source                                    Destination                               Action                                    LB-Policy                         LB-Switchover  Linked      Prio   Firewall-Rule  Stateful  Src-Tag    Rtg-tag  Comment
==================================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TB->XXXXXXXX                      ICMP        M75S                                      RDP %HXXXXXXXX                            ACCEPT                                                                      No             No          83     Yes            Yes       172        3134     ping, rdp
TB->MUV                           ICMP        M75S                                      VNC %HMUV                                 ACCEPT                                                                      No             No          83     Yes            Yes       172        3135     ping, vnc
CAM<-ADMIN                        ICMP        ADMIN-PC                                  HTTP RTSP CAM2305V2                       ACCEPT                                                                      No             No          82     Yes            Yes       1          190      ping, http, rtsp
SM<-ADMIN                         ICMP        ADMIN-PC                                  HTTP HTTPS %LSMARTHOME_WLAN               ACCEPT                                                                      No             No          82     Yes            Yes       1          1729     ping, http
Z8<-ADMIN                         ICMP        ADMIN-PC                                  SSH Z8                                    ACCEPT                                                                      No             No          82     Yes            Yes       0          1        ping, ssh
L1<-SCANNER                       ANY         SCANNER                                   FTP L1                                    ACCEPT                                                                      No             No          81     Yes            Yes       184        172      ftp
BENUTZER->DRUCKER                 ICMP        %LBENUTZER                                HTTP HTTPS DRUCKER                        ACCEPT                                                                      No             No          80     Yes            Yes       172        180      ping, http, https
BENUTZER->SCANNER                 ICMP        %LBENUTZER                                HTTP SCANNER                              ACCEPT                                                                      No             No          80     Yes            Yes       172        184      ping, http
BENUTZER->GAST                    ANY         %LBENUTZER                                %LGAST                                    ACCEPT                                                                      No             No          80     Yes            Yes       172        3133     Uneingeschraenkter Zugriff aufs Gastnetz vom Benutzernetz.
CCU3<-SM                          ANY         %LSMARTHOME_WLAN                          MQTT CCU3                                 ACCEPT                                                                      No             No          71     Yes            Yes       1729       2330     mqtt
CCU3->SM                          ICMP        CCU3                                      %LSMARTHOME_WLAN                          ACCEPT                                                                      No             No          71     Yes            Yes       2330       1729     ping
CCU3<-ADMIN&TB                    ICMP        ADMIN-PC HANDY M75S                       HTTP SSH MQTT CCU3                        ACCEPT                                                                      No             No          70     Yes            Yes       0          2330     ping, ssh, http, mqtt
CCU3->GS3510                      ICMP        CCU3                                      SNMP GS-3510XP                            ACCEPT                                                                      No             No          70     Yes            Yes       2330       1        ping, snmp
CCU3->CAM                         ICMP        CCU3                                      CAM2305V2                                 ACCEPT                                                                      No             No          70     Yes            Yes       2330       190      ping
YAMAHA<-USERS&HOSTS               ICMP        %LBENUTZER %LINTRANET CCU3                HTTP YAMAHA                               ACCEPT                                                                      No             No          60     Yes            Yes       0          188      ping, http
MEISTER2<-ADMIN                   ICMP        ADMIN-PC                                  SSH MEISTER2                              ACCEPT                                                                      No             No          50     Yes            Yes       1          178      ping, ssh
MEISTER2->Z8                      ICMP        MEISTER2                                  SSH Z8                                    ACCEPT                                                                      No             No          50     Yes            Yes       178        1        ping, ssh
MEISTER2->MAIL2(O2)               ICMP        MEISTER2                                  SSH MAIL2(O2)                             ACCEPT                                                                      No             No          50     Yes            Yes       178        1        ping, ssh
MEISTER2->O4                      ICMP        MEISTER2                                  SSH O4                                    ACCEPT                                                                      No             No          50     Yes            Yes       178        174      ping, ssh
MEISTER2->MAIL1                   ICMP        MEISTER2                                  SSH MAIL1                                 ACCEPT                                                                      No             No          50     Yes            Yes       178        170      ping, ssh
O4<-MUV                           ICMP        %HMUV                                     HTTPS O4                                  ACCEPT                                                                      No             No          40     Yes            Yes       3135       174      ping, https
O4<-XXXXXXXX                      ICMP        %HXXXXXXXX                                HTTPS O4                                  ACCEPT                                                                      No             No          40     Yes            Yes       3134       174      ping, https
O4<-USERS                         ICMP        %LBENUTZER                                HTTPS O4                                  ACCEPT                                                                      No             No          40     Yes            Yes       172        174      ping, https
O4<-ADMIN                         ICMP        ADMIN-PC                                  SSH O4                                    ACCEPT                                                                      No             No          40     Yes            Yes       1          174      ping, ssh
O4->O2                            ICMP        O4                                        SSH MAIL2(O2)                             ACCEPT                                                                      No             No          40     Yes            Yes       174        1        ping, ssh
O4<-L1                            ICMP        L1                                        SSH O4                                    ACCEPT                                                                      No             No          40     Yes            Yes       172        174      ping, ssh
O4<-MAIL                          ICMP        MAIL1 MAIL2(O2)                           O4                                        ACCEPT                                                                      No             No          40     Yes            Yes       0          174      ping
MAIL2(O2)<-USERS&HOSTS            ICMP        MAIL2(O2)<-USERS&HOSTS0                   SMTPS IMAPS MAIL2(O2)                     ACCEPT                                                                      No             No          30     Yes            Yes       0          1        ping, impas, smtps
MAIL2(O2)<-Z8(MX)                 ICMP        Z8                                        SSH SMTPS MAIL2(O2)                       ACCEPT                                                                      No             No          30     Yes            Yes       0          1        ping, ssh, smtps
MAIL2(O2)->Z8(MX)                 ICMP        MAIL2(O2)                                 SMTPS Z8                                  ACCEPT                                                                      No             No          30     Yes            Yes       0          1        ping, smtps
MAIL2(O2)<-L1                     ICMP        L1                                        SSH SMTPS MAIL2(O2)                       ACCEPT                                                                      No             No          30     Yes            Yes       172        1        ping, ssh, smtps
MAIL2(O2)<-ADMIN                  ICMP        ADMIN-PC                                  SSH MAIL2(O2)                             ACCEPT                                                                      No             No          30     Yes            Yes       0          1        ping, ssh
MAIL1<-MAIL2(O2)                  ICMP        MAIL2(O2)                                 DOVEADM MAIL1                             ACCEPT                                                                      No             No          20     Yes            Yes       1          170      ping, doveadm
MAIL1->MAIL2(O2)                  ICMP        MAIL1                                     SSH DOVEADM MAIL2(O2)                     ACCEPT                                                                      No             No          20     Yes            Yes       170        1        ping, doveadm, ssh(borg)
MAIL1<-USERS&HOSTS                ICMP        MAIL1<-USERS&HOSTS0                       SMTPS IMAPS MAIL1                         ACCEPT                                                                      No             No          20     Yes            Yes       0          170      ping, impas, smtps
MAIL1<-Z8(MX)                     ICMP        %HZ8                                      SMTPS MAIL1                               ACCEPT                                                                      No             No          20     Yes            Yes       1          170      ping, smtps
MAIL1->Z8(MX)                     ICMP        MAIL1                                     SMTPS Z8                                  ACCEPT                                                                      No             No          20     Yes            Yes       170        1        ping, smtps
MAIL1<-ADMIN                      ICMP        ADMIN-PC                                  SSH MAIL1                                 ACCEPT                                                                      No             No          20     Yes            Yes       1          170      ping, ssh
MAIL1->ADMIN                      ICMP        MAIL1                                     ADMIN-PC                                  ACCEPT                                                                      No             No          20     Yes            Yes       170        1        ping
ALLOW_VERWALTUNG->BENUTZER        ICMP        ADMIN-PC                                  RDP %A172.17.2.189                        ACCEPT                                                                      No             No          10     Yes            Yes       1          172      ping, rdp
WINS                              TCP UDP     NETBIOS ANYHOST                           ANYHOST                                   INTERNET-FILTER                                                             No             No          0      Yes            Yes       0          0        block NetBIOS/WINS name resolution via DNS
CONTENT-FILTER                    TCP         LOCALNET                                  WEB ANYHOST                               CONTENT-FILTER-BASIC                                                        No             No          9999   No             Yes       0          0        pass web traffic to Content-Filter
BPJM-ALLOW-LIST                   ANY         ANYHOST                                   ALLOW-LIST-BPJM                           ACCEPT                                                                      No             No          9998   No             Yes       0          0        Default rule for BPJM allow list (resolves domain overblocking)
BPJM                              ANY         ANYHOST                                   BPJM                                      REJECT                                                                      No             No          9997   No             Yes       0          0        Default rule for BPJM (youth protection filter)
Zuletzt geändert von OnkelThomas am 08 Jul 2024, 20:13, insgesamt 2-mal geändert.
Dr.Einstein
Beiträge: 3035
Registriert: 12 Jan 2010, 14:10

Re: Site2Site nicht per Firewall beinflussbar

Beitrag von Dr.Einstein »

Das Routing Tag unter /Setup/VPN/IKEv2/Peers dient nur der Definition, wie der Verbindungsaufbau erfolgt, nicht die interne Zuordnung der Netze zueinander.

Prüfe in der selben Tabelle, welche IPv4 Netzbeziehungen erlaubt sind und ob der Regelerzeugungsmodus auf automatisch oder manuell steht. In deinem Szenario würde ich dir manuell empfehlen und Listen anlegen, wo explizit steht, welche Netze miteinander auf VPN Ebene kommunizieren dürfen. Zusätzlich gibst du dem Zielnetzwerk in der Routing Tabelle das passende Tag + optional einen Eintrag in der Wan-Tag-Tabelle, sollte die ankommende Zuordnung nicht korrekt gelingen.
OnkelThomas
Beiträge: 33
Registriert: 27 Jul 2020, 16:21

Re: Site2Site nicht per Firewall beinflussbar

Beitrag von OnkelThomas »

Danke für die Antwort.
Dr.Einstein hat geschrieben: 07 Jul 2024, 15:25 Prüfe in der selben Tabelle, welche IPv4 Netzbeziehungen erlaubt sind und ob der Regelerzeugungsmodus auf automatisch oder manuell steht. In deinem Szenario würde ich dir manuell empfehlen und Listen anlegen, wo explizit steht, welche Netze miteinander auf VPN Ebene kommunizieren dürfen.
Die Verbindung wurde per Setup-Assistent erstellt und erlaubt, wenn ich das richtig verstehe, das alle Netzte miteinander können.
any-to-any.png
Dr.Einstein hat geschrieben: 07 Jul 2024, 15:25 Zusätzlich gibst du dem Zielnetzwerk in der Routing Tabelle das passende Tag
So?
routing-tabelle.png

Trotz Forwarding-Regel funktioniert das nicht.

Code: Alles auswählen

/Setup/IP-Router/Firewall/Rules
> ls

Name                              Prot.       Source                                    Destination                               Action                                    LB-Policy                         LB-Switchover  Linked      Prio   Firewall-Rule  Stateful  Src-Tag    Rtg-tag  Comment
==================================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TRB140<-ADMIN                     ANY         ADMIN-PC                                  %A192.168.140.1                           ACCEPT                                                                      No             No          85     Yes            Yes       1          140      LTE-Modem via VPN
...
Dr.Einstein hat geschrieben: 07 Jul 2024, 15:25 optional einen Eintrag in der Wan-Tag-Tabelle, sollte die ankommende Zuordnung nicht korrekt gelingen.
So?
wan-tag.png

Da passiert nichts. Ich trenne sogar immer das VPN, damit es sich nach einer Regeländerung neu aufbaut.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7022
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Site2Site nicht per Firewall beinflussbar

Beitrag von backslash »

Hi OnkelThomas

Wenn du der Gegenstelle das Tag 140 gibst, dann braucht du auch ein LAN mit Tag 140, das dann mit der Gegenstelle kommunizieren kann.
Wenn dein LAN einn anderes Tag hatm, brauchst du Firewallregeln, die zwischen den Netzen umtaggen:

einmal ine für Traffic vom LAN ins VPN

Code: Alles auswählen

Name:        LAN->TRB140 
Routing-Tag: 140
Quelle:      LAN
Ziel:        Gegenstelle TRB140
Dienste:     alle Dienste
sowie eine für Traffic vom VPN ins LAN:

Code: Alles auswählen

Name:        TRB140->LAN
Routing-Tag: Routing-Tag des LAN
Quelle:      Gegenstelle TRB140
Ziel:        LAN
Dienste:     alle Dienste

Gruß
Backslash
OnkelThomas
Beiträge: 33
Registriert: 27 Jul 2020, 16:21

Re: Site2Site nicht per Firewall beinflussbar

Beitrag von OnkelThomas »

Danke für die Antwort.
backslash hat geschrieben: 08 Jul 2024, 15:07 Wenn du der Gegenstelle das Tag 140 gibst, dann braucht du auch ein LAN mit Tag 140, das dann mit der Gegenstelle kommunizieren kann.
Ok, damit würde es gehen.

Allerdings, wenn man als Quell-Tag 0 angibt, dann funktioniert es auch ohne "Hilfs"-Netz.
Filter-Regel.png

Ich hätte es wissen müssen, schließlich hatte ich das mit den VPN-Clients genau so gemacht. (Siehe bereits gepostete Firewall-Regeln.) Ich hatte es offensichtlich wieder vergessen.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
jgraef
Beiträge: 30
Registriert: 14 Feb 2011, 22:26
Wohnort: Vellmar
Kontaktdaten:

Re: [Gelöst] Site2Site nicht per Firewall beinflussbar

Beitrag von jgraef »

Warum macht ihr das eigentlich mit Tags und nicht mit der globalen Firewall?

Ich habe bei mir eine Deny-All Strategie in der Firewall und die VPN-Clients als Gegenstelle-Objekte angelegt. Daraus habe ich dann Allow-Regeln gebaut.

Viele Grüße, Jörg.
OnkelThomas
Beiträge: 33
Registriert: 27 Jul 2020, 16:21

Re: [Gelöst] Site2Site nicht per Firewall beinflussbar

Beitrag von OnkelThomas »

Einfach zum lernen. Hatte bisher noch nichts mit Tags gemacht. (Ich muss beruflich immer mal wieder Geräte übernehmen, die von Dritten eingerichtet wurden. Wenn ich dann auf was stoße, was ich nicht kenn, ist das immer blöd.)

Find aber die Idee, das die Netzte, mit unterschiedlichen Tags, von sich aus getrennt sind, schon schön.
jgraef
Beiträge: 30
Registriert: 14 Feb 2011, 22:26
Wohnort: Vellmar
Kontaktdaten:

Re: [Gelöst] Site2Site nicht per Firewall beinflussbar

Beitrag von jgraef »

Ja, praktisch ist das und ich könnte mir auch vorstellen, dass die Tags ressourcenschonender sind, da einfacher zu vergleichen.
Ich finde es nur unübersichtlich, wenn man im Fehlerfall an mehreren Stellen suchen muss.
Antworten