Toon posts:

Ruzie met de firewall van DrayTek

Pagina: 1
Acties:

Vraag

donderdag 13 mei 2021 13:24

Acties:
  • 0 Henk 'm!
  • MikeVanD
  • Registratie: Juli 2018
  • Laatst online: 29-09 18:55

MikeVanD

Topicstarter
Ik heb al een heel tijdje ruzie met de firewall van mijn DrayTek Vigor2927.

Volgens de router is de volgorde van afhandelen van de firewall alsvolgt:
1.Data Filter Sets and Rules
2.Block routing connections initiated from WAN
3.Default Rule

Echter merk ik, dat als ik de "default rule" aanpas (laagste in rang!) van "pass" naar "block" heb ik geen internet toegang meer, ondanks de instellingen in de filters (hoogste in rang!)
Dit zorgt er voor dat ik heel wat extra regels in de firewall moet zetten, maar dan werkt het nog niet zoals ik het wil.

De in gebruik zijnde pagina's van mijn Firewall heb ik een naamgegeven, zodat ik de rules kan groeperen per overzicht. Ik heb voor dit topic de firewall leeg gegooid en ben opnieuw begonnen voor het overzicht.
Afbeeldingslocatie: https://tweakers.net/i/yvR06YyOnK5PqcEpVfim6wGBfvM=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/9GlsXrDXlBnhLvBpywSEPIx3.jpg?f=user_large

Het verkeer met het internet wordt geregeld op de pagina LAN_2_WAN en met de default rule van de firewall op pass, werkt dit prima. Zoals gezegd met de default rule op block werkt dit niet.
Afbeeldingslocatie: https://tweakers.net/i/2TsxexUn--qGghGcCqi_3puUMH8=/800x/filters:strip_icc():strip_exif()/f/image/HJI5pJj7Iv5Ki6sbkkF3XVad.jpg?f=fotoalbum_large

Ik heb 6 VLANs geconfigureerd, die ik vervolgens elk in een eigen IP object heb gestopt:
code:
1
2
3
4
5
6
7
8

VLAN nr  Naam        Objectnaam           IP nummer        DrayTek LANnr

   1     Default     NetwerkHardware      192.168.  0.x     LAN1
 110     110         UTP PCs              192.168.110.x     LAN2
 120     120         IoT                  192.168.120.x     LAN3
 130     130         GastenWiFi           192.168.130.x     LAN4
 140     140         OpenVPN              192.168.140.x     LAN5
 150     150         Servers              192.168.150.x     LAN6


Om het onderlingen verkeer tussen de VLANs te kunnen reguleren, moet dit mogelijk worden gemaakt.
Afbeeldingslocatie: https://tweakers.net/i/RZl3IyaR53fbOeMTXC9Mcr5yHCE=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/wz8POoiru7nsrWy1sNGSg3fy.jpg?f=user_large
*plaatje gecorrigeerd

Vanuit VLAN 110 mag in principe alle andere VLANs benaderd worden, maar omgekeerd meestal niet.
Om niet te verzanden in alle verschillende VLANs en hun rechten, neem ik VLAN 120 als voorbeeld.

Dit zijn de Internet of Things apparaten, welke geen toegang tot internet hebben. Ook mogen zij geen toegang tot VLAN 150 hebben; de servers.
In de firewall heb ik op de pagina LAN_2_LAN_block de volgende settings opgenomen:
Afbeeldingslocatie: https://tweakers.net/i/CQ9-r5Ds48rQzvWFy0YZGJ2jz74=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/IdGDGYbNirW7cTDtl5JGojfv.jpg?f=user_large

Omdat mijn IoT netwerk bedraad en draadloos is, heb ik mijn laptop aangemeld op het IoT netwerk en ik kan gewoon bij mijn servers...
Afbeeldingslocatie: https://tweakers.net/i/FoT1HzGNFCGTU1EtWG4Qw4DYpKw=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/AYCifI22Bm98lgcCZxe5nQIE.jpg?f=user_large

Ik heb verder geen entries in mijn firewall mbt tot VLAN120 of 150

Waar gaat het/ik mis?

Alle reacties

donderdag 13 mei 2021 15:32

Acties:
  • 0 Henk 'm!
  • MikeVanD
  • Registratie: Juli 2018
  • Laatst online: 29-09 18:55

MikeVanD

Topicstarter
nope

[ Voor 97% gewijzigd door MikeVanD op 13-05-2021 15:41 ]

donderdag 13 mei 2021 16:01

Acties:
  • +1 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 04-10 10:18

Kabouterplop01

chown -R me base:all

De volgorde van je rules zie ik niet goed (voor nu ook niet heel belangrijk)
Volgens mij gaat er iets niet helemaal zoals het moet. eerst maak je de regels die zaken toestaan en de laatste regel is de deny any any rule (de default rule)

1 pass
2 default rule (deny any any)
Ik denk dat in dat stukje er iets mis gaat.

Als ik je filterlist bekijk staan er blocks bovenaan. Het is handiger dat je die onderaan zet.
eerst alles pass en daarna pas block.

Helpt dat?

edit: Je filtert niet statefull; RESPECT daarvoor _/-\o_

[ Voor 5% gewijzigd door Kabouterplop01 op 13-05-2021 16:03 ]

donderdag 13 mei 2021 16:14

Acties:
  • +1 Henk 'm!
  • MikeVanD
  • Registratie: Juli 2018
  • Laatst online: 29-09 18:55

MikeVanD

Topicstarter
Dank @Kabouterplop01 Maar dat maakt niet uit.

Ik had in eerste instantie ook alle blocks op de laatste pagina, maar kreeg het advies om alle volledige blocks vooraan te zetten.

Maarrrrr ik denk wel dat ik het probleem gevonden heb. In de advanced settings bij Direction bij staan bij alle uitgangen (LAN1-8, dmz ip routed subnet, vpn) soms allemaal vinkjes en soms geen. Als er vinkjes staan, werkt het wel en staan er geen vinkjes, dan werkt het niet.

Ik weet uit eerdere pogingen dat deze niet aan te klikken waren, maar nu staan ze om een onbekende reden soms aan en soms uit.
Ga vanavond even verder testen en dan bericht ik wel even terug.

vrijdag 14 mei 2021 10:53

Acties:
  • +1 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 04-10 10:18

Kabouterplop01

chown -R me base:all

Hopelijk is dat het issue!
De volgorde maakt ook niet uit (tenzij er een match is op het filter) maar het is een BCP (een best current practice) zodat je het overzicht goed kunt houden.

De enige uitzonderingen zijn: Of er is een match op het filter, of je zet de regel na de deny any any (de implicit deny die altijd achteraan staat) waardoor het in beide gevallen niet werkt zoals je wil.

vrijdag 14 mei 2021 12:30

Acties:
  • +1 Henk 'm!
  • MikeVanD
  • Registratie: Juli 2018
  • Laatst online: 29-09 18:55

MikeVanD

Topicstarter
Nadat ik een factory reset gedaan heb en alles opnieuw geconfigureerd heb, lijkt het inderdaad het probleem te zijn dat je moet aangeven op welke uitgangen het van toepassing is.
Echter! als je alleen de LANs kiest die je volgens je VLAN-schema nodig hebt, werkt het nog niet altijd. Waarom? Géén idee. Net als dat ik geen idee heb waarom de ene keer alle vinkjes gezet zijn in Direction>advanced en de andere keer niet 1.

enniewee... Firewall default rule op block, Onderling verkeer ingesteld, toegang verleend/geblokkeerd waar nodig en.... Alle vinkjes aangezet bij alle velden in het advanced deel van de Direction en het draait als een zonnetje!

Happy camper for now :-)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq