Toon posts:

[Cisco] kan host in ander subnet niet bereiken.

Pagina: 1
Acties:

Vraag

zondag 3 november 2019 09:09

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 07:38

Kabouterplop01

chown -R me base:all

Topicstarter
Mijn vraag
kan host in ander subnet niet bereiken, wat zie ik over het hoofd?

Relevante software en hardware die ik gebruik
ping, router console van de cisco 1801, wireshark op host x, packet capture op host y, debug ip icmp op de router console.

Wat ik al gevonden of geprobeerd heb
- er staat een advancedip image op de router.
sh ip route laat de directly connected subnets zien. (ip routing)
(192.168.0.0/24 C vlan 1)
(192.168.1.0/24 C fa0)
(internet C BVI 1)
De internet config werkt goed.

schema: ----internet--- [ip nat outside]---router---[ip nat inside]--vlan 1[L3 default vlan]------host x
|
----Fa0 [routed interface]----host y

(edit: Het schema is vernaggeld: de Fa0 interface moet natuurlijk recht onder de router hangen.)

Op de router kan ik host x en host y pingen. (geen extended ping)
Op host x kan ik host y niet pingen.
Op host x kan ik de Fa0 interface wel pingen.
host x is zichtbaar in de arp tabel.

Host y is zichtbaar in de arp tabel.
Op host y kan ik host x WEL pingen.
Op host y staat een static route naar subnet vlan 1 via de Fa0 interface.
Op host y staat in de firewall rules [pfsense] dat host x mag pingen.

(ik zie de frames vanaf host x bij y aankomen en de reply teruggaan tot op de Fa0 interface

Wat vergeet ik? 8)7 Moet er een accesslist op die dat verkeer inbound komt permit.

(nog niet gedaan: permit ip any any log op beide interfaces om te zien of het verkeer wordt gefilterd)

[ Voor 3% gewijzigd door Kabouterplop01 op 03-11-2019 09:11 ]

Beste antwoord (via Kabouterplop01 op 03-11-2019 13:12)

zondag 3 november 2019 10:12

  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 13-10 20:48

jvanhambelgium

> Op host y staat in de firewall rules [pfsense] dat host x mag pingen.

Daar zit volgens mij je probleem ergens...
Mischien ook de reden dat je VANOP die host wel degelijk X kan pingen en de "returning" traffic ook netjes door mag. Cisco-technisch zie ik geen problemen. Dit moet werken.
Maar ik lees hier plots "pfsense" en dacht dat Y een gewone PC was ... want dan zou het een heel straf verhaal zijn.

TIP : Hang aan Fa0 een een simpele host waarop je IP + MASK + GATEWAY goed zet ? Denk wel dat het vlot zal werken dan...

Wat zegt de logging op pfsense ? Daar echt niks in te zien ?

Alle reacties

zondag 3 november 2019 09:22

Acties:
  • +1 Henk 'm!
  • canonball
  • Registratie: Juli 2004
  • Laatst online: 11:10

canonball

Staat op host X de juiste default gateway (of routering voor het subnet van Y)?

zondag 3 november 2019 09:40

Acties:
  • +1 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 07:45

DiedX

Staat de netmask en default gateway wel goed bij y? Wat doet dat vlan daar?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 3 november 2019 10:12

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 13-10 20:48

jvanhambelgium

> Op host y staat in de firewall rules [pfsense] dat host x mag pingen.

Daar zit volgens mij je probleem ergens...
Mischien ook de reden dat je VANOP die host wel degelijk X kan pingen en de "returning" traffic ook netjes door mag. Cisco-technisch zie ik geen problemen. Dit moet werken.
Maar ik lees hier plots "pfsense" en dacht dat Y een gewone PC was ... want dan zou het een heel straf verhaal zijn.

TIP : Hang aan Fa0 een een simpele host waarop je IP + MASK + GATEWAY goed zet ? Denk wel dat het vlot zal werken dan...

Wat zegt de logging op pfsense ? Daar echt niks in te zien ?

zondag 3 november 2019 12:06

Acties:
  • +1 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 13-10 20:31

plizz

Post je configuratie in topic. Dan kunnen wij zien wat op router is geconfigureerd.

Wat zegt debug ip packet?

[ Voor 14% gewijzigd door plizz op 03-11-2019 12:08 ]

zondag 3 november 2019 12:40

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 07:38

Kabouterplop01

chown -R me base:all

Topicstarter
canonball schreef op zondag 3 november 2019 @ 09:22:
Staat op host X de juiste default gateway (of routering voor het subnet van Y)?
Ja, internet werkt. Dit is de default route naar buiten; gekregen dmv DHCP van de ISP.
Ik heb directly connected subnets, however voor de zekerheid ook op host x een static route gemaakt zodat het subnet van y daarachter te vinden is.
DiedX schreef op zondag 3 november 2019 @ 09:40:
Staat de netmask en default gateway wel goed bij y? Wat doet dat vlan daar?
Dat vlan is het ene subnet verbonden aan de BVI 1 interface.
jvanhambelgium schreef op zondag 3 november 2019 @ 10:12:
> Op host y staat in de firewall rules [pfsense] dat host x mag pingen.

Daar zit volgens mij je probleem ergens...
Mischien ook de reden dat je VANOP die host wel degelijk X kan pingen en de "returning" traffic ook netjes door mag. Cisco-technisch zie ik geen problemen. Dit moet werken.
Maar ik lees hier plots "pfsense" en dacht dat Y een gewone PC was ... want dan zou het een heel straf verhaal zijn.

TIP : Hang aan Fa0 een een simpele host waarop je IP + MASK + GATEWAY goed zet ? Denk wel dat het vlot zal werken dan...

Wat zegt de logging op pfsense ? Daar echt niks in te zien ?
Daar zeg je wat! Ik heb ook hosts die niet firewallen in dat netwerkje (ping komt er niet van terug)

Het zit eigenlijk zo:
ik heb 2 internetverbindingen. een met de cisco en een gebridgde pfsense doos met pfblocker
Ik heb die 2 aparte netwerkjes aan elkaar geknoopt omdat het netwerk achter die cisco een mailserver heeft. die pfsense doos is omdat die pfblocker en een resolver draait perfect om te gebruiken als DNS forwarder voor het domeintje achter de cisco. (UTP ertussen; op de L3 interface (fa0 op de cisco) een IP adres en goan...(In weze hoef ik alleen port 53 UDP op die machine te bereiken, dus eerst connectivity testen.) Nou ben ik niet geheel onbekend in deze materie daarom vind ik het zo raar dat ik het niet aan de praat krijg.
Ik ga in de log van de pfsense kijken, kom ik op terug
plizz schreef op zondag 3 november 2019 @ 12:06:
Post je configuratie in topic. Dan kunnen wij zien wat op router is geconfigureerd.

Wat zegt debug ip packet?
Debug ip packet zegt dat mn router zal crashen, vandaar debug ip icmp.
Daar zie ik de genatte interface netjes tegen de fa0 de icmp packets voeden.
maar 1 kant op.

Ik ga eerst even kijken of de pakketjes in de firewall aankomen. Daarna komt het relevante stukje config eraan.
(En allemaal alvast dank voor het meedenken.)

[ Voor 85% gewijzigd door Kabouterplop01 op 03-11-2019 12:52 ]

zondag 3 november 2019 13:06

Acties:
  • +1 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 07:38

Kabouterplop01

chown -R me base:all

Topicstarter
Ermm dit is opmerkelijk; de default Deny rule wordt gehit op de WAN kant (block rfc 1918 addresses) 8)7

Deze is raar omdat deze interface aan de LAN kant geconnect zit.

How to solve?

Edit: Easy Rule laat dit verkeer nu toe.
I think problem solved!


YES! woop pfblocker works nice. THNX

[ Voor 22% gewijzigd door Kabouterplop01 op 03-11-2019 13:30 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq