Kan firewall niet benaderen

Het lijkt erop dat je alles in hetzelfde subnet hebt gezet. Als je de Firewall dan op de WAN poort van je router hebt aangesloten gaat dit nooit werken omdat je router (en je clients) niet kunnen bepalen wat aan zijn LAN kant en wat aan zijn WAN kant zit.

Als je echt deze setup wil moet je dus voor de verbinding tussen firewall en router een ander subnet gebruiken dan voor je apparatuur die achter je router zit. Alleen de vraag is waarom die router er uberhaupt tussen zit en of je daar niet beter een switch kan gebruiken?

Een router hoor je toch met een lan poort aan de firewall aan te sluiten? En je firewall hoort toch tussen je modem en router te zitten? Dan moet al het verkeer richting internet fysiek door je firewall. Omdat je al vaste ip-adressen gebruikt voor je apparatuur kun je gewoon je dhcp range in de router inschakelen, wel buiten de range van ip-adressen die je nu gebruikt.

Maar omdat je alles in het 192.168.1.x netwerk hebt zitten ziet de router geen onderscheid tussen de ene en de andere kant. Dus als je die router wil gebruiken zul je twee verschillende ip reeksen moeten gebruiken. Reeks 1 voor lan, reeks 2 voor tussen router en firewall. Anders is er niets te routeren.

Waarschijnlijk probeert ie de firewall dan op zijn lan interfaces te bereiken, wat niet gaat lukken omdat die daar niet zit.

Wat probeer je te bereiken?
Gebruik je de router voor dhcp? of gaat het puur om de (lan)poortjes?

[ Voor 20% gewijzigd door aZuL2001 op 27-09-2012 10:46 ]

Schakel DHCP eens uit dan, je mag maar 1 DHCP server in je netwerk hebben, anders krijg je ip-conflicten in je netwerk. Aangezien normaal in een netwerk met een server daar de ip-adressen worden geregeld lijkt me dat de eerste stap naar een oplossing. In de router dus DHCP forwarding inschakelen ipv DHCP server.

Delacour schreef op donderdag 27 september 2012 @ 09:25:
Firewall: 192.168.1.5 > Router 192.168.1.1 > Switch 192.168.1.15 > Server 192.168.1.10

Begrijp je nu wel dat links en rechts van de route twee verschillende subnets zijn? Het begin toevallig met dezelfde nummers, maar het zouden net zo goed andere nummers kunnen zijn (je kan het beter ook gelijk aanpassen, zoals 192.168.1.x voor je lokale netwerk kant en 192.168.2.x ofzo voor je modem/firewall kant).

Heb je wel een modem? Of is dat nog eens een modemrouter? Dat maakt het "extern bureaublad" verhaal complexer, maar niet onmogelijk. Doordat je twee DHCP servers had draaien, zou mijn advies eerder zijn om die beveiliging door iemand anders in te laten richten. Je wil niet zomaar wat poorten open gooien voor extern bureaublad: dat is vragen om ellende.

Bartjezz schreef op donderdag 27 september 2012 @ 12:37:
Schakel DHCP eens uit dan, je mag maar 1 DHCP server in je netwerk hebben, anders krijg je ip-conflicten in je netwerk.

Euh, je mag gerust 80 dhcp servers hebben draaien. Zolang ze maar niet dezelfde ipadressen uitdelen.
Het is niet handig, maar het kan en mag wel.

Met alle respect, maar ik ben bang dat TS de basics van routering niet in de gaten heeft.

Een router heeft twee kanten. Intern en extern. Met twee verschillende netwerken. Anders valt er niets te routeren.
Een switch heeft meestal geen ip (tenzij het om de management interface gaat), is gewoon een doorgeefluik.
Waarschijnlijk wil je je firewall als Default Gateway gebruiken.

Zit er geen VPN optie in die firewall? Dat is wat netter dan Remote Desktop van buiten af open zetten.
(dus eerst vpn opbouwen, en Remote Desktop via je vpn laten lopen.)

Is er niemand binnen het bedrijf aanwezig die je op weg kan helpen?

Begin nou eens met deze opstelling: Internet -> Router/Modem -> Firewall -> Server/Clients ik snap je idee niet achter het plaatsen van de firewall voor de router/modem?

[ Voor 31% gewijzigd door Verwijderd op 27-09-2012 14:26 ]

Delacour schreef op donderdag 27 september 2012 @ 14:29:
[...]


Ik lees op diverse fora dat mensen de firewall eerst plaatsen. Maar een goede verklaring staat er niet bij, vandaar dat ik hierna opzoek ben.

Dat is alleen mogelijk als je Firewall routing en modem opties heeft. Echter is een Firewall niet bedoeld om als een router/modem te functioneren, dus dien je in de meeste gevallen je router/modem op de eerste plek te zetten, zodat het internet binnen de desbetreffende netwerk aanwezig is. hierna plaats je de firewall om firewall rules toe te voegen.

Ik heb meerdere malen de firewall pfSense geïmplementeerd en dit open-source pakket bevalt me prima Wellicht om naar te kijken?

Zoals al meerdere keren gezegd in dit topic: Waarom een router achter een firewall plaatsen? De enige reden die ik hiervoor kan bedenken is dat je een DMZ wil, maar hier wordt nergens in dit topic over gesproken.

Je wil het simpel, houd het dan ook simpel:
Internetmodem/router (IP: X) --> WAN Firewall (IP: X) --> LAN Firewall (IP: 192.168.1.1) --> LAN (IP: 192.168.1.x)

Je firewall zorgt voor alle NAT routeringen naar buiten toe. Laat dat nu net een van de belangrijkste functies van een firewall zijn. Met andere woorden: gooi die rouer er gewoon uit.


Een extra woordje uitleg over de huidige data flow.
- Je probeert nu te communiceren van server (192.168.1.10) naar firewall (192.168.1.5)
- Er wordt een broacast gestuurd op het IP segment 192.168.1.x. Er zal echter niemand antwoorden want dit IP is op het LAN niet bekend.
- De router ontvangt het pakket op zijn LAN poort en zegt: "dit is voor mijn interne netwerk, ik stuur dit dus niet door naar mijn externe interface".
- Je pakket blijft rondcirculeren tot zijn TTL verlopen is.

Kan je dit oplossen? Ja dat kan. Je kan in je router een statische route aanmaken die alle verkeer bestemd voor 192.168.1.5 zonder boe of ba naar de externe interface stuurt, net zoals je in een DMZ zou doen. Het nut van de router blijft echter waardeloos hier, omdat je geen DMZ wil.

Delacour schreef op donderdag 27 september 2012 @ 14:29:
Ik lees op diverse fora dat mensen de firewall eerst plaatsen. Maar een goede verklaring staat er niet bij, vandaar dat ik hierna opzoek ben.

Omdat men verwacht dat je dat zelf beredeneert, afhankelijk van je opgestelde eisen? Bijvoorbeeld: je wil AL het verkeer via de firewall laten lopen, ongeacht apparaat/configuratie/etc. Het antwoord moet je dan toch zelf kunnen geven.

Little Bear schreef op donderdag 27 september 2012 @ 14:47:
Kan je dit oplossen? Ja dat kan. Je kan in je router een statische route aanmaken die alle verkeer bestemd voor 192.168.1.5 zonder boe of ba naar de externe interface stuurt, net zoals je in een DMZ zou doen. Het nut van de router blijft echter waardeloos hier, omdat je geen DMZ wil.

Ook daarmee gaat dit niet werken, clients gaan verkeer voor 192.168.1.5 dan namelijk nog steeds niet daar de router sturen. Dat het over de switch gaat die in de router zit wil niet zeggen dat het ook gerouteerd wordt door de router.

Als je dat wilt zul je ook op je clients static routes aan moeten maken met als next hop de router. En dan nog is het de vraag wat er gebeurt. Ik ken namelijk ook genoeg spul dat directly connected altijd prefereert boven more specific routes.

Kortom deze opstelling wil je gewoon niet hebben

Je hebt 2x gelijk.

1. Het hangt inderdaad van de router in kwestie af en
2. Deze opstelling wil je inderdaad gewoon niet hebben :-)