Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 3 replies
  • Subscribers 4 subscribers
  • Views 2751 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall blockt Macbook LAN->LAN

Thomas Höbermann

Hallo,

ein Macbook ist mit Kabel im lokalen Firmennetz angeschlossen. Ein Win2012 DC kümmert sich erfolgreich um den DHCP-Request. Das Macbook kommt problemlos in das Internetz.

Lokal geht aber gar nichts. Das Macbook wird behandelt, als sei es aus einem fremden Netz (trotz lokaler IP). Das gesamte Intranet (also auch der Mac) hängt hinter einem HP-Switch am UTM-Port eth0 (kein Subnetting, keine VLANs).

Wie kommt es, dass die Kiste überhaupt auf der UTM rauskommt? Eigentlich müsste doch der HP-Switch im Intranet vermitteln.
Wieso filtert die UTM Verkehr im gleichen Netz?

Über den Umweg durch einen SSL-VPN Tunnel funktioniert das LAN wieder problemlos.

Was passiert hier? Ich bitte um Erleuchtung.

Viele Grüße,
Thomas



This thread was automatically locked due to age.
Parents
  • +1

    Hallo Thomas,

     

    was du hier machen könntest wäre ein tcpdump auf der Shell der UTM, um den Traffic zu analysieren.

     

    http://www.gtkdb.de/index_7_1331.html

     

    Auf der UTM als Root kannst du dir den Traffic anschauen.

     

    Bedeutet du führst einen Dump auf eth0 aus. Wenn du hier Traffic wie folgt siehst, macht dein Switch einen Fehler:

     

    192.168.0.1 > 192.168.0.2

     

    Das würde implizieren, dass dein Switch Traffic, denn er direkt routen könnte, an die UTM weiterleitet. Diese macht kein Loop Back zurück.

     

    Bedeutet Clients müssen sich im selben Netzwerk erreichen können ohne das Default Gateway (UTM).

     

    Ggf. stimmt hier etwas mit den ARP Requests nicht. Schau dir das einfach Live einmal an.

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Danke für die Antworten,

    auf die simple Idee 'internal-any-internal' einzurichten bin ich überhaupt nicht gekommen. Mich hat wohl zu sehr verwirrt, dass die Fw überhaupt in Aktion tritt.

    Mit Win-Clients hab ich das Phänomen bisher noch nicht beobachtet. Es gibt ansonsten überhaupt keine Fw-Einträge mit internal->internal - geht doch eigentlich auch gar nicht.
    Meine Vermutung war deswegen, das Apple beim ARP-Handling irgendwas eigenwilliges betreibt.

    Auf der Shell war ich noch gar nie. Die UTM wurde zwar bereits vor 1,5 Jahren eingeführt, aber über den WebAdmin bin ich immer noch nicht hinaus gekommen. Ich werde wohl doch mal (absolut fehlende) Zeit investieren müssen und etwas mehr unter der Haube kucken. Schon mal schön zu wissen, dass Tools wie tcpdump bereits parat liegen.

    Da das Problem über den VPN-Umweg umgangen werden kann, wird es wohl etwas dauern, bis ich das Phänomen weiter untersuche. Sollte ich mal zu neuen Erkenntnissen kommen, werd ich das natürlich hier anfügen.

     

    Beste Grüß,
    Thomas

Reply
  • 0 in reply to LuCar Toni

    Danke für die Antworten,

    auf die simple Idee 'internal-any-internal' einzurichten bin ich überhaupt nicht gekommen. Mich hat wohl zu sehr verwirrt, dass die Fw überhaupt in Aktion tritt.

    Mit Win-Clients hab ich das Phänomen bisher noch nicht beobachtet. Es gibt ansonsten überhaupt keine Fw-Einträge mit internal->internal - geht doch eigentlich auch gar nicht.
    Meine Vermutung war deswegen, das Apple beim ARP-Handling irgendwas eigenwilliges betreibt.

    Auf der Shell war ich noch gar nie. Die UTM wurde zwar bereits vor 1,5 Jahren eingeführt, aber über den WebAdmin bin ich immer noch nicht hinaus gekommen. Ich werde wohl doch mal (absolut fehlende) Zeit investieren müssen und etwas mehr unter der Haube kucken. Schon mal schön zu wissen, dass Tools wie tcpdump bereits parat liegen.

    Da das Problem über den VPN-Umweg umgangen werden kann, wird es wohl etwas dauern, bis ich das Phänomen weiter untersuche. Sollte ich mal zu neuen Erkenntnissen kommen, werd ich das natürlich hier anfügen.

     

    Beste Grüß,
    Thomas

Children
No Data