Routing falsch?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
_Rene_
Beiträge: 2
Registriert: Di 02.03.2021, 08:39

Routing falsch?

Beitrag von _Rene_ »

Hallo an alle,

ich arbeite gerade an einer Gebäudeanbindung und möchte dabei auch die Netzwerksegmentierung voran treiben und mit VLANs arbeiten.

Zur Ausgangssituation:

Wir haben eine UTM v11.8 im Einsatz, die als Gateway und zentraler Dreh- und Angelpunkt dient.
IP der UTM 10.0.0.1/16, wir nutzen als Subnetmask die 255.255.0.0 für alle Clients, bisher kein VLAN.

Neu dazu kommt:

2x Aruba Switch, die via Glasfaser miteinander verbunden sind (in jedem Gebäude einer).

Ziel:

Schrittweise Umstellung auf einzelne 24er Netze, bei denen die Switches einen Teil des Routings übernehmen.

Bsp.: 10.1.100.0/24 = VoIP, bestimmte Ports sind mit dem VLAN 100 getagged


Konfiguration Switch:

Der Switch hat 2 IP-Adressen bekommen:
IP1: 10.0.0.2 damit er mit der UTM reden kann
IP2: 10.1.253.1 damit er im neuen Netz kommunizieren kann

Alles was der Switch nicht kennt, schickt er an die 10.0.0.1 (UTM).

An der UTM habe ich folgende Routen angelegt:

Quelle;Gateway;Ziel
10.0.0.0/16;10.0.0.2;10.1.0.0/16 >> (neu angelegt)
(leer);10.0.0.1;10.0.0.0/16 >> (bestehendes Routing)

Als Filterregeln habe ich folgende:

Quelle;Ziel;Dienst;NAT;Aktion
"SNET 10.1.0.0/16";Internal-Interface;Any;;Accept
"SNET 10.0.0.0/16";SNET 10.1.0.0/16";Any;HIDENAT;Accept

Jetzt zu meinem Problem:

Aus unserem Bestandsnetz (10.0.0.0/16) komme ich in das neue Netz, nur vom neuen Netz komme ich nur bis zur UTM ... dann ist Schluss.
Habe ich einen Fehler in der Konfig der UTM oder muss ich den Fehler in der Konfig vom Switch suchen?

Vielen Dank schon  im Voraus

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

(leer);10.0.0.1;10.0.0.0/16 >> (bestehendes Routing)

Diese Route wird eigentlich automatisch geschrieben, da das Netz bereits an der UTM anliegt. Diese ?manuell gesetzte? Route bitte entfernen und das Geraet neu starten... Dann wird sie wieder sauber neu angelegt.

Die Erste Route braucht theoretisch keine Quelle.

Das 10.1.0.0/16 wird ueber das Gateway 10.0.0.2 erreicht. Das reicht im Normalfall.

Filterregeln:

Auf was wird in der zweiten Regel genattet? Warum wird hier ein NAT durchgefuehrt? Speziell mit VOIP wird das wahrscheinlich Probleme bereiten.

Die erste Portfilterregel erlaubt nur den Zugriff auf die Firewall selbst. Um ins Internet zu kommen braucht es z.B. die Regel Zweitnetz > Internet > ANY | HN External Interface
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

_Rene_
Beiträge: 2
Registriert: Di 02.03.2021, 08:39

Beitrag von _Rene_ »

Hallo Mario,

vielen Dank für die Antworten.

Das NAT hatte ich angelegt, weil ich sonst die Geräte im neuen Netz nicht erreiche (habe ich so dunkel in Erinnerung). Das NAT geht auf's internal-interface.
Für den Zugriff auf unser bestehendes Netz würde ich zusätzlich noch folgende Portfilterregel anlegen: Zweitnetz > Erstnetz > ANY

Da ich erst morgen wieder im Büro bin, würde ich mich nochmal melden wenn ich es ausprobieren konnte.

René

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Die Geraete im alten Netz sollten jeweils eine Route gesetzt bekommen, da es sonst zum Asynchronen Routing kommt. Das NAT lindert nur die Symptome, ist aber keine brauchbare Loesung.

Besser ist zudem, das neue Netz ueber ein anderes Interface der Firewall erreichbar zu machen. 2 Gateways in einem Netzwerk sollte man besser lassen, wenn sich Clients in dem Netz befinden.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten