FB 7590 + TP Switch + Vlan + 2 IP Adressbereiche

[Don Bademeister]

Guten Morgen,
Ich hab jetzt versucht ein paar Firewall Regeln einzurichten, von jedem Netz in jedes andere.
Alle Nat Regeln sind aus. Ich bekomme keine Verbindung von dem 2er Netz auf den VNC im 0er Netz.
Ich bekommen keinerlei Verbindung per VPN ins Netz auch keine Logs angezeigt vom VPN
Firewall logs bekomm ich nur vom 2er Netz also alles was hinter dem mikrotek sitzt. Von der Fritzbox komm ich nicht auf den Router. Die Routen sind aber eingetragen

 

[blurrrr]

Firewall logs bekomm ich nur vom 2er Netz also alles was hinter dem mikrotek sitzt.

Du kannst bei den Firewall-Regeln unter "Action" das Logging für eine bestimmte Regel aktivieren. Ich habe jetzt hier grade nur das Interface von der Demo zur Hand, dort sieht es wie folgt aus:

 

[Don Bademeister]

Ja, das hab ich für alle regeln gemacht egal ob 1er 0er oder 2er Netz. Was mich wundert ist, sobald die nat Regel aus ist bekomm ich aus dem 2er Netzt kein Zugriff mehr auf den VNC im 0er.
Die Firewallregeln sind alle gleich nur eben mit den unterschiedlichen Netzen von 1er 2er ins 0er alle als forward und accept.
Theoretisch müsste ich dann auch von der Fritzbox die im 1er Netz ist auf den VNC kommen, bekomm aber nichts angezeigt.

 

[blurrrr]

Was mich wundert ist, sobald die nat Regel aus ist bekomm ich aus dem 2er Netzt kein Zugriff mehr auf den VNC im 0er.

Nur damit wir uns richtig verstehen: Bei NAT sprichst Du die WAN-IP vom Mikrotik an, von dort aus geht es via Portweiterleitung zum VNC-Host. Ist NAT abgeschaltet, versuchst es direkt über die IP vom VNC-Host?

 

[Don Bademeister]

Das sind die Einstellungen dwr Firewall




Das sind die Nat Regeln



Wenn die Nat Regel aus ist, komm ich aus mit einem Rechner der im 2er Netz ist und eine IP von Mikrotek bekommen hat nicht mehr auf den VNC im 0er Netz. Ist dir Nat Regel aktiv geht es.

Ich bekomm auch keine Verbindung wenn ich direkt in der Fritzbox bin und dann eine IP im 1er Netz von der Fritzbox bekommen habe.
Per VPN komm ich auch erstmal auf der Fritzbox an mit der Weiterleitung zu dem 0er Netz kommt da auch nichts an.
Auch per WLAN in der Fritzbox bekomm ich keine Verbindung zu meinem VNC.
Die IP v4 Routen in der Fritzbox sind diese

 

[blurrrr]

Die Regeln werden der Reihenfolge nach abgearbeitet - was zuerst zutrifft, wird ausgewertet, der Rest nicht mehr. Heisst konkret:

1) Verbiete alles
2) Erlaube x zu y
3) Erlaube y zu x

Regel 2 und 3 werden niemals greifen, da immer die erste Regel greift und der Rest somit nicht mehr verarbeitet wird. Schieb mal die gewünschten (erlauben) Regeln über die Regel 11 (drop / forward).

 

[Don Bademeister]

Ok, verstehe.
Hab ich geändert. In den logs kommt jetzt was an, Verbindung zum vnc bekomm ich leider immernoch nicht.
Irgendwas stimmt noch nicht

 

[blurrrr]

Da scheinen aber immer noch 2 NAT-Regeln aktiv zu sein...
Alles deaktivieren...

Bei der "drop"-Regel (und den "allow"-Regeln) schaltest Du bitte auch überall das Loggin ein, es ist wichtig zu sehen, was verworfen wird, nicht nur was auch durch geht.

 

[Don Bademeister]

Guten Morgen,
Ich hab die logs für alles eingeschaltet, dabei gesehn das wohl udp ports benötigt werden, also hab ich die gleichen Firewall Regeln mit UDP Freigabe eingerichtet, will aber immernoch nicht
Bild 1 ohne udp Freigabe

Bild 2 mit udp Freigabe

 

[blurrrr]

Auch auf die Gefahr hin mich zu wiederholen... Lass doch bitte erstmal das Protokoll aussen vor bei den Regeln... einfach nur "Netz A -> Netz B", oder alternativ - um das ganze noch einfacher zu stricken:

Enabled: <aktivieren>

General
Chain: forward
Quelle: 192.168.0.0/16
Ziel: 192.168.0.0/16

Action
Action: accept
Log: <aktivieren>

Diese Regel packst Du einfach mal nach "ganz oben" in der Firewall-Regel-Liste.

Zum anderen... in den Logs steht noch immer etwas von NAT, das sollte aber "komplett" abgeschaltet sein. Zum anderen sieht man in den Logs auch immer wieder sowas wie "input: in:bridge out: (unknown 0)", das sieht mir auch nicht richtig aus... Eventuell schon alles kaputt gespielt?

Im Zweifel: Werksreset und dann nochmal von vorn. WAN-Interface konfigurieren (inkl. Zugriff aus dem Fritz!Box-Netz, damit Du Dich nicht aussperrst) -> passende Firewall-Regel erstellen und nach ganz oben packen (sollte immer die 1. Regel sein). Danach restliche Interfaces konfigurieren (je nach Wunsch). Firewall-Regel brauchst Du zum testen erstmal nur eine (die o.g., welche einfach den kompletten Verkehr zwischen den privaten 192.168er Netzen zulässt) und - ganz wichtig - sämtliche NAT-Regeln deaktivieren.

 

[Don Bademeister]

Ok, reset klingt logisch nach so viel Spielerei.
Hab jetzt nur eine Firewall Regel erstellt und die ganz nach oben.
Zugriff bekomme ich immernoch nicht auf den VNC.
Nat Reglen gibt es keine mehr

Die beiden Brides mit den 0er und 2er netz funktionieren, der DHCP Pool funktioniert auch für die jeweiligen Netze. Die routen der fritzbox passen und der mikrotek hat wieder seine 192.168.1.2 bekommen.

Anscheinend bin ich zu dämlich um zu sehn/ verstehn wo der Fehler liegt oder welche Regel die Firewall noch braucht?

 

[blurrrr]

Du hast doch bei der Firewall-Regel schon wieder TCP angegeben, nimm das erstmal raus

 

[Don Bademeister]

Hab ich , hilft aber nichts

 

[blurrrr]

Da die Screenshots immer unschärfer werden (man würde mich das mit dem Handy abnerven (Dich ja vermutlich auch))... Es gibt etwas namens "Snipping Tool" unter Windows, vielleicht nutzt Du das einfach für die Screenshots. Dann kannst Du das Bild auch direkt aus der Zwischenablage hier im Forum einfügen. Alternativ - je nach Windows-Version - bei neueren Versionen die Tasten-Kombi "WIN+SHIFT+S".

 

[Don Bademeister]

Besser

 

[blurrrr]

Hatte Dir übrigens grade noch eine PN geschrieben.