Hallo zusammen,
ich bin mir nicht ganz sicher, ob es hierhin passt, da das Ganze eventuell gar kein LANCOM-Thema ist, aber einen Versuch ist es ja wert, zumal hier immer einige kundige Leute unterwegs sind. Also, worum es geht:
In meinem LAN habe ich aktuell zu Übungszwecken eine Firewall-Appliance (FortiGate) hinzugefügt. Diese möchte ich für ein paar Testregeln nutzen, ohne meine bestehende LAN-Konfiguration dafür komplett modifizieren zu müssen. Also einfach eine kleine Baustelle, die möglichst "nebenbei" mitlaufen kann. Die Firewall befindet sich im gleichen Subnet wie mein LANCOM-Router, und dieser ist dort als Default-Gateway hinterlegt, damit die Firewall für Updates usw. den Kontakt zu Fortinet online bekommt.
Zu Testzwecken möchte ich die Funktionalitäten der FortiGate (IPS, Anti-Virus, Firewall) für ein bestimmtes Ziel nutzen, in dem Fall heise.de bzw. www.heise.de ... Die Default-Route auf dem Mac-Client zeigt auf den LANCOM-Router. Für die Ziele zu Heise habe ich auf dem Client zwei statische Routen gesetzt, die auf die Firewall zeigen, damit ich dort für diese Verbindungsanfragen mit Policies etc. testen kann.
LANCOM-Router: 192.168.0.250
Firewall: 192.168.0.245
Client: 192.168.0.69
Subnet: 255.255.255.0
Gateway: 192.168.0.250
Feste Routen auf dem Mac für heise.de (193.99.144.80) und www.heise.de (193.99.144.85) zeigen jetzt auf die 192.168.0.245 - Web-Anfrage und Ping dorthin gehen auch (weiterhin) durch. Auf dem LANCOM habe ich eine Allow-All Richtung Internet stehen, von daher passt es ja.
Hier die Ausgaben von beiden Systemen für einen Ping zu heise.de vom Client:
FortiGate
FGT-40F (root) # diagnose sniffer packet lan 'host 193.99.144.80 or 193.99.144.85'
interfaces=[lan]
filters=[host 193.99.144.80 or 193.99.144.85]
0.399684 192.168.0.63 -> 193.99.144.80: icmp: echo request
0.399733 192.168.0.63 -> 193.99.144.80: icmp: echo request
2 packets received by filter
0 packets dropped by kernel
LANCOM
> trace # firewall @ 193.99.144.80 193.99.144.85
Firewall ON @ 193.99.144.80 193.99.144.85
root@router:/
>
[Firewall] 2024/04/21 13:43:37,769
Packet matched rule QOS_ECHTZEIT
DstIP: 193.99.144.80, SrcIP: 192.168.0.63, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x4980, seq: 0x0000
test next filter (no matching condition)
[Firewall] 2024/04/21 13:43:37,770
Packet matched rule ALLOW-ALL
DstIP: 193.99.144.80, SrcIP: 192.168.0.63, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x4980, seq: 0x0000
packet accepted
root@router:/
> trace # ip-router @ 193.99.144.80 193.99.144.85
IP-Router ON @ 193.99.144.80 193.99.144.85
root@router:/
>
[IP-Router] 2024/04/21 13:43:54,840
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 193.99.144.80, SrcIP: 192.168.0.63, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x4980, seq: 0x0011
Route: WAN Tx (INTERNET)
[IP-Router] 2024/04/21 13:43:54,878
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.0.63, SrcIP: 193.99.144.80, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo reply, id: 0x4980, seq: 0x0011
Route: LAN-1 Tx (INTRANET)
Allerdings zeigt sich das Verhalten auf den beiden Geräten bzw. am Client noch nicht so wie gewünscht: Wenn ich auf der FortiGate eine Deny-Regel für heise.de / www.heise.de erstelle und aktiviere, gehen alle Anfragen in Richtung dorthin vom Client weiterhin erfolgreich durch. Das einzige Verhalten, welches sich direkt ändert, lässt sich wie folgt beobachten: Bei aktivierter Deny-Policy auf der FortiGate wird bei einem traceroute heise.de auf dem Mac die 192.168.0.245 nicht mehr als Hop angezeigt, deaktiviere ich dort die Deny-Regel, wird mir dieser Hop im traceroute direkt wieder angezeigt.
Wo liegt hier gerade bei diesm Setting mein Denkfehler, LANCOM oder FortiGate oder LAN-Thematik ganz generell?
Gruß Daniel
Frage zu Test-Konfiguration (Firewall hinter LANCOM)
Moderator: Lancom-Systems Moderatoren