ich habe auf meinem 1900EF mehrere IP-Netze, die mit Routing-Tags voneinander getrennt sind. Per Firewall erlaube ich dann explizit, welcher Traffic zwischen den Netzten erlaubt ist. Auch habe ich mehrere Client-VPN-Verbindungen, die per Routing-Tabelle eine Routing-Tag erhalten und ich so per Firewall explizit steuere.
Code: Alles auswählen
/Setup/IP-Router/IP-Routing-Table
> ls
IP-Address IP-Netmask Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active Comment
===========================================================----------------------------------------------------------------------------------------------------------------------
172.17.2.6 255.255.255.255 172 0 TBHY 0 No Yes VPN strongSwan Android
172.23.23.50 255.255.255.255 1 0 TBAPC 0 No Yes VPN nativ Win10
172.23.23.220 255.255.255.255 1 0 O2 0 No Yes VPN iked OpenBSD
172.23.23.222 255.255.255.255 1 0 Z8 0 No Yes VPN iked OpenBSD
172.31.34.2 255.255.255.255 3134 0 XXXXXXXX 0 No Yes VPN nativ Win10
172.31.35.2 255.255.255.255 3135 0 MUV 0 No Yes VPN nativ Win10
192.168.140.0 255.255.255.0 0 0 TRB140 0 No Yes VPN strongSwan TRB140
192.168.0.0 255.255.0.0 0 0 0.0.0.0 0 No No template: block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 0 0.0.0.0 0 No No template: block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 0 0.0.0.0 0 No No template: block private network: 10.x.y.z
255.255.255.255 0.0.0.0 0 0 INTERNET 0 on Yes Diese Route wurde durch den Internet-Assistenten erzeugt
Folgendes Problem:
Gebe ich in der Routing-Tabelle dem entfernten VPN-Netz 192.168.140.0 ein Routing-Tag (ungleich null), ist es das Netz nicht mehr erreichbar. Egal welche Allow-Regel in der Firewall steht.
Lass ich den Tag auf null, ist es aus dem Netz 172.23.23.0/24 mit Routing-Tag 1 erreichbar. (Und wie es gerade aussieht nur aus dem. Update: Was Sinn macht, da die Gegenseite nur 172.23.23.0/24 kennt.) Egal welche Deny-Regel in der Firewall gesetzt wird, der Verkehr fließt ungestört.
(Der Routing-Tag unter /Setup/VPN/IKEv2/Peers scheint überhaupt keine Auswirkung zu haben.)
Ich kann gerne meine Firewall-Regeln posten, aber ich glaube eher das es sich bei mir um ein grundlegenderes Verständnisproblem handelt.
Hat jemand Tipps?
Firewall-Regeln:
Code: Alles auswählen
/Setup/IP-Router/Firewall/Rules
> ls
Name Prot. Source Destination Action LB-Policy LB-Switchover Linked Prio Firewall-Rule Stateful Src-Tag Rtg-tag Comment
==================================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TB->XXXXXXXX ICMP M75S RDP %HXXXXXXXX ACCEPT No No 83 Yes Yes 172 3134 ping, rdp
TB->MUV ICMP M75S VNC %HMUV ACCEPT No No 83 Yes Yes 172 3135 ping, vnc
CAM<-ADMIN ICMP ADMIN-PC HTTP RTSP CAM2305V2 ACCEPT No No 82 Yes Yes 1 190 ping, http, rtsp
SM<-ADMIN ICMP ADMIN-PC HTTP HTTPS %LSMARTHOME_WLAN ACCEPT No No 82 Yes Yes 1 1729 ping, http
Z8<-ADMIN ICMP ADMIN-PC SSH Z8 ACCEPT No No 82 Yes Yes 0 1 ping, ssh
L1<-SCANNER ANY SCANNER FTP L1 ACCEPT No No 81 Yes Yes 184 172 ftp
BENUTZER->DRUCKER ICMP %LBENUTZER HTTP HTTPS DRUCKER ACCEPT No No 80 Yes Yes 172 180 ping, http, https
BENUTZER->SCANNER ICMP %LBENUTZER HTTP SCANNER ACCEPT No No 80 Yes Yes 172 184 ping, http
BENUTZER->GAST ANY %LBENUTZER %LGAST ACCEPT No No 80 Yes Yes 172 3133 Uneingeschraenkter Zugriff aufs Gastnetz vom Benutzernetz.
CCU3<-SM ANY %LSMARTHOME_WLAN MQTT CCU3 ACCEPT No No 71 Yes Yes 1729 2330 mqtt
CCU3->SM ICMP CCU3 %LSMARTHOME_WLAN ACCEPT No No 71 Yes Yes 2330 1729 ping
CCU3<-ADMIN&TB ICMP ADMIN-PC HANDY M75S HTTP SSH MQTT CCU3 ACCEPT No No 70 Yes Yes 0 2330 ping, ssh, http, mqtt
CCU3->GS3510 ICMP CCU3 SNMP GS-3510XP ACCEPT No No 70 Yes Yes 2330 1 ping, snmp
CCU3->CAM ICMP CCU3 CAM2305V2 ACCEPT No No 70 Yes Yes 2330 190 ping
YAMAHA<-USERS&HOSTS ICMP %LBENUTZER %LINTRANET CCU3 HTTP YAMAHA ACCEPT No No 60 Yes Yes 0 188 ping, http
MEISTER2<-ADMIN ICMP ADMIN-PC SSH MEISTER2 ACCEPT No No 50 Yes Yes 1 178 ping, ssh
MEISTER2->Z8 ICMP MEISTER2 SSH Z8 ACCEPT No No 50 Yes Yes 178 1 ping, ssh
MEISTER2->MAIL2(O2) ICMP MEISTER2 SSH MAIL2(O2) ACCEPT No No 50 Yes Yes 178 1 ping, ssh
MEISTER2->O4 ICMP MEISTER2 SSH O4 ACCEPT No No 50 Yes Yes 178 174 ping, ssh
MEISTER2->MAIL1 ICMP MEISTER2 SSH MAIL1 ACCEPT No No 50 Yes Yes 178 170 ping, ssh
O4<-MUV ICMP %HMUV HTTPS O4 ACCEPT No No 40 Yes Yes 3135 174 ping, https
O4<-XXXXXXXX ICMP %HXXXXXXXX HTTPS O4 ACCEPT No No 40 Yes Yes 3134 174 ping, https
O4<-USERS ICMP %LBENUTZER HTTPS O4 ACCEPT No No 40 Yes Yes 172 174 ping, https
O4<-ADMIN ICMP ADMIN-PC SSH O4 ACCEPT No No 40 Yes Yes 1 174 ping, ssh
O4->O2 ICMP O4 SSH MAIL2(O2) ACCEPT No No 40 Yes Yes 174 1 ping, ssh
O4<-L1 ICMP L1 SSH O4 ACCEPT No No 40 Yes Yes 172 174 ping, ssh
O4<-MAIL ICMP MAIL1 MAIL2(O2) O4 ACCEPT No No 40 Yes Yes 0 174 ping
MAIL2(O2)<-USERS&HOSTS ICMP MAIL2(O2)<-USERS&HOSTS0 SMTPS IMAPS MAIL2(O2) ACCEPT No No 30 Yes Yes 0 1 ping, impas, smtps
MAIL2(O2)<-Z8(MX) ICMP Z8 SSH SMTPS MAIL2(O2) ACCEPT No No 30 Yes Yes 0 1 ping, ssh, smtps
MAIL2(O2)->Z8(MX) ICMP MAIL2(O2) SMTPS Z8 ACCEPT No No 30 Yes Yes 0 1 ping, smtps
MAIL2(O2)<-L1 ICMP L1 SSH SMTPS MAIL2(O2) ACCEPT No No 30 Yes Yes 172 1 ping, ssh, smtps
MAIL2(O2)<-ADMIN ICMP ADMIN-PC SSH MAIL2(O2) ACCEPT No No 30 Yes Yes 0 1 ping, ssh
MAIL1<-MAIL2(O2) ICMP MAIL2(O2) DOVEADM MAIL1 ACCEPT No No 20 Yes Yes 1 170 ping, doveadm
MAIL1->MAIL2(O2) ICMP MAIL1 SSH DOVEADM MAIL2(O2) ACCEPT No No 20 Yes Yes 170 1 ping, doveadm, ssh(borg)
MAIL1<-USERS&HOSTS ICMP MAIL1<-USERS&HOSTS0 SMTPS IMAPS MAIL1 ACCEPT No No 20 Yes Yes 0 170 ping, impas, smtps
MAIL1<-Z8(MX) ICMP %HZ8 SMTPS MAIL1 ACCEPT No No 20 Yes Yes 1 170 ping, smtps
MAIL1->Z8(MX) ICMP MAIL1 SMTPS Z8 ACCEPT No No 20 Yes Yes 170 1 ping, smtps
MAIL1<-ADMIN ICMP ADMIN-PC SSH MAIL1 ACCEPT No No 20 Yes Yes 1 170 ping, ssh
MAIL1->ADMIN ICMP MAIL1 ADMIN-PC ACCEPT No No 20 Yes Yes 170 1 ping
ALLOW_VERWALTUNG->BENUTZER ICMP ADMIN-PC RDP %A172.17.2.189 ACCEPT No No 10 Yes Yes 1 172 ping, rdp
WINS TCP UDP NETBIOS ANYHOST ANYHOST INTERNET-FILTER No No 0 Yes Yes 0 0 block NetBIOS/WINS name resolution via DNS
CONTENT-FILTER TCP LOCALNET WEB ANYHOST CONTENT-FILTER-BASIC No No 9999 No Yes 0 0 pass web traffic to Content-Filter
BPJM-ALLOW-LIST ANY ANYHOST ALLOW-LIST-BPJM ACCEPT No No 9998 No Yes 0 0 Default rule for BPJM allow list (resolves domain overblocking)
BPJM ANY ANYHOST BPJM REJECT No No 9997 No Yes 0 0 Default rule for BPJM (youth protection filter)