Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1390 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing Frage

sd12
Hallo

Routing ist nicht so meine Baustelle...

Ausgangslage:
Wie sind zwei Unternehmen unter einem Dach und teilen uns teilweise die IT Infrastruktur. z.B. Drucker.

Wir setzen eine ASG ein, das andere Unternehmen eine Checkpoint. Die ASG (192.168.104.0/24) und Checkpoint (192.106.202.0/24) sind miteinander verbunden.

Die Checkpoint bekommt von uns eine IP Adresse 192.168.104.2.

Auf der Checkpoint ist Any/Any von 192.168.104.0/24 aktiv.
Bei der ASG ist eine Any/Any von und nach 192.168.202.0/24 aktiv.

Aus dem 192.168.202.0/24 kann man auf das 192.168.104.0/24 zugreifen.
Aus dem 192.168.104.0/24 auf das 192.168.202.0/24  geht gar nix.

Wer kann mir einen Tip geben? Was muss ich nebst den Paketfilter Regeln noch beachten/einstellen?


This thread was automatically locked due to age.
  • 0
    Erste Frage in diesen Fällen: was steht denn im Packetfilterlog der ASG und der Checkpoint?

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Mal so ohne die fehlenden Zusatzinformationen:

    Solltest Du im Packetfilterlog nichts finden und ich deine Fehlerbeschreibung richtig interpretiere, fehlt eine statische Route (Gateway) Zielnetz 192.106.202.0/24 über Gateway 192.168.104.2, da ich zudem annehme, dass das Default-Gateway zum ISP ins Internet zeigt.

    Zudem hast Du keine Kontrolle über dein Netz 192.168.104.0/24 mehr, sofern es sich hier nicht um ein Transit-Netz handelt und alle deine Clients und Server etc. in diesem Netz stehen, da die Checkpoint bereist den Fuss in deinem Netz hat. 

    Gruss   Peter
  • 0 in reply to Hallowach2
    Mal so ohne die fehlenden Zusatzinformationen:

    Solltest Du im Packetfilterlog nichts finden und ich deine Fehlerbeschreibung richtig interpretiere, fehlt eine statische Route (Gateway) Zielnetz 192.106.202.0/24 über Gateway 192.168.104.2

    Hab ich zwischenzeitlich gemacht.

    da ich zudem annehme, dass das Default-Gateway zum ISP ins Internet zeigt.

    Korrekt, das flag Default GW ist beim ISP Zugang gesetzt.

    Zudem hast Du keine Kontrolle über dein Netz 192.168.104.0/24 mehr, sofern es sich hier nicht um ein Transit-Netz handelt und alle deine Clients und Server etc. in diesem Netz stehen, da die Checkpoint bereist den Fuss in deinem Netz hat.

    Kann Dir leider nicht folgen :-(

    Erste Frage in diesen Fällen: was steht denn im Packetfilterlog der ASG und der Checkpoint?

    Da die Checkpoint nicht von mir administriert wird, kann ich dazu nix sagen. Der Checkpoint admin allerdings sagt, er habe keine Log-aktivität.

    Bei der ASG hab ich bei einem Ping z. B.:
    In der Farbe grün. Auch sonst sehe ich nix rotes mit dem gewünschten Ziel. 
    ICMP 	

    192.168.104.3 	  	 

    	→ 	

    192.168.202.36 	  	 

    	

    len=60 	ttl=127 	tos=0x00 	srcmac=0:26:22:b6:34:fe 	dstmac=0:c:29:cb:1f:eb 
  • 0 in reply to sd12
    Die Beste Lösung wäre es, zwischen den beiden Firewalls ein Transfernetz zu definieren (z.B. 192.168.0.0/24) und den Traffic dann über dieses laufen zu lassen. Das macht die Fehlersuche dann auch einfacher.  Dafür braucht man pro Firewall nur ein freies Interface und jeweils einen gesetzten Routing-Eintrag für das Netzwerk, welches über die Firewall der Gegenseite erreicht werden kann.
  • 0 in reply to sd12
    Kann Dir leider nicht folgen :-(


    Befinden sich in dem Netz 192.168.104.0/24 nebst der ASG noch andere Host? So zum Beispiel deine Server, Clients und Printer etc.? Wen dies so ist, kann die "andere Firma" all die Host ohne jegliche Einschränkung erreichen, da diese von der ASG nicht geschützt werden können.

    Wie von mir angedeutet und auch von Aulendil noch einmal vorgeschlagen, sollte man in deinem Fall ein Transit-Netz verwenden, welches nur die beiden Firewall beinhaltet. 

    Betr. deinem Ping:
    Die dstmac=0:c:29:cb:1f:eb ist eine VMWare-MAC Läuft die CheckPoint in einem VMWARE resp. welche IP steckt dahinter? Ist dies die Checkpoint?

    Gruss   Peter
  • 0 in reply to PeterE
    Die Beste Lösung wäre es, zwischen den beiden Firewalls ein Transfernetz zu definieren (z.B. 192.168.0.0/24) und den Traffic dann über dieses laufen zu lassen. Das macht die Fehlersuche dann auch einfacher.  Dafür braucht man pro Firewall nur ein freies Interface und jeweils einen gesetzten Routing-Eintrag für das Netzwerk, welches über die Firewall der Gegenseite erreicht werden kann.

    Danke für den Input, hab mal die Gegenstation gebeten, diesen Versuch zu machen.

    Befinden sich in dem Netz 192.168.104.0/24 nebst der ASG noch andere Host? So zum Beispiel deine Server, Clients und Printer etc.? Wen dies so ist, kann die "andere Firma" all die Host ohne jegliche Einschränkung erreichen, da diese von der ASG nicht geschützt werden können.

    Danke für die erläuterungen. Ja, es sind noch andere Hosts vorhanden. Soweit hab ich nicht gedacht :-( Dann hoff ich mal, dass es mit dem Tranfernetz klappt.
    Wichtig ist einfach, dass wir auf gewisse Server und Printer der "anderen Firma" kommen, das sollte aber für mein Verständnis kein Problem sein.


    Betr. deinem Ping:
    Die dstmac=0:c:29:cb:1f:eb ist eine VMWare-MAC Läuft die CheckPoint in einem VMWARE resp. welche IP steckt dahinter? Ist dies die Checkpoint?

    Die ASG läuft auf einem ESXi. Hast mich ein wenig zum schwitzen gebracht mit dieser Frage. Denn die MAC ist mir unbekannt. Die MAC der ASG gem. vSphere ist: 00:0c:29:ce:79:71

    Wenn ich jedoch ein "arp /a" mache, dann gibt er mir zu dieser mac die 192.168.104.1 aus -> was die ASG ist.

    Für mein verständnis müsst die MAC jedoch 00:0c:29:ce:79:71 sein, oder lieg ich da falsch?
  • 0
    Haben es nun zum laufen gebracht.

    Es lag daran, dass es einen Switch gab, an welchem sowohl die ASG als auch die Checkpoint hängten. Als diese Verbindung getrennt wurde funze alles.

    Trotzdem danke für die Bemühungen und den Hinweis mit dem Transfernetz, was wir nun umgesetzt haben.