Betatest Installation innerhalb der v6.2

Tobias · 21. Dezember 2018 um 19:46

Liebe Leut’,

ich dachte, ich könne eine v7-Installation innerhalb meines v6.2 Netzes aufziehen.
Was ich nicht kann, ist noch eine Belwue-IP kapern, weil die bei uns alle verwendet werden, also muss ich das WAN (rot) der Firewall irgendwo in mein 6.2-Netz stecken. Zur Zeit stecke ich es einfach ins Server-Netz (grün) z.B. mit der IP 10.16.1.50. Ich habe auch subnetting und 10.16.1.0/24 ist mein Servernetz.
Als Netz in meiner v7-Installation nehme ich deshalb ein 10.0.0.0/16 Netz.

Leider krieg ich Probleme mit dem DNS auf der Firewall. Wenn ich in opnsense die eigene Firewall ausschalte und den 10.16.1.1 meines v6.2-Netzes als DNS eintrage, dann komme ich ins Netz. Wenn ich dasselbe auf meinem lmnv7-Server mache, auch dann nur kommt der ins Netz. Ansonsten hängt die DNS-Auflösung…ebenso hängt der OpnSense relativ lange an der Stelle “start unbound…”

Hat jemand Ideen, ob ich irgendwas falsch mache, dass das nicht ohne solche Hacks funktioniert?

VG, Tobias

zefanja · 21. Dezember 2018 um 22:38

Hallo Tobias,

ich habe jetzt keine Lösung, nur ein paar Ideen.

Verwendest du die gleiche DNS Domain für beide Setups? Ist der Gateway richtig gesetzt für das WAN-Interface? Wenn OPNSense im grünen Netz ist, nehme ich mal an, dass es auch in der workstations so steht, oder? Wie ist das bei OPNSense? Ich kenne jetzt nicht die Standardregeln des LMNv7-Setups, aber erlauben die einen anderen DNS? Gibt es eine Regel, die den Zugriff auf einen anderen DNS erlaubt (außer OPNSense)?

Was sagen die OPNSense logs zu deinen Zugriffsversuchen?

Ich hatte so ein Setup auch bei uns in der Zeit als wir auf v6.2 umgestiegen sind. Es ging soweit, nur dass man bedenken muss, dass 2 Firewalls auf den Weg nach draußen stehen.

vG Stephan

Tobias · 22. Dezember 2018 um 09:34

Danke Stephan, deine Ideen werd ich überprüfen.
In der Zwischenzeit hab ich doch eine IP-Adresse von Belwue gekapert.
Allerdings funktioniert da noch weniger: ich komme nicht mal nach draußen. Das kann jetzt auch ein Hardware-Problem sein, weil ich nur ein Kabel untagged-VLAN in den Router gesteckt habe. Über dieses Kabel, das in den L3-Router/switch geht funktioniert die v6.2-Verbindung auch wunderbar. Die Verbindung von v7 funktioniert aber nicht, obwohl ich sie versucht habe, exakt gleich einzurichten.
Ich mache es konkreter:

[root@ipfire ~]# netstat -r 
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         gateway         0.0.0.0         UG        0 0          0 red0
10.16.1.0       *               255.255.255.0   U         0 0          0 green0
externe-anfangs-ip   *               255.255.255.248 U         0 0          0 red0
gateway         *               255.255.255.255 UH        0 0          0 red0
172.16.16.0     *               255.255.255.0   U         0 0          0 blue0
172.16.17.0     *               255.255.255.0   U         0 0          0 orange0
172.16.18.0     172.16.18.2     255.255.255.0   UG        0 0          0 tun0
172.16.18.2     *               255.255.255.255 UH        0 0          0 tun0

Hier (bei der v6.2) kann ich logischerweise das gateway anpingen, und ich kann den Belwue-DNS anpingen: 129.143.2.1 und darüberhinaus auch 8.8.8.8
und beim opnsense sieht es so aus:

root@OPNsense:~ # netstat -r
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            gateway      UGS         em1
10.0.0.0/16        link#1             U           em0
OPNsense           link#1             UHS         lo0
localhost          link#5             UH          lo0
externe-anfangs-ip/29   link#2             U           em1
OPNsense           link#2             UHS         lo0

snip IPv6

wobei der erste OPNsense-eintrag für die IP 10.0.0.254 steht und der zweite Eintrag steht für die externe IP, die ich vergeben habe. Jedenfalls kann ich mit diesen Einträgen das gateway anpingen, aber ich komme nicht weiter, weder den belwue-DNS noch google oder ähnliches.

VG, Tobias

Tobias · 22. Dezember 2018 um 10:08

Ich habe die gekaperte IP-Adresse jetzt auch mal mit einem anderen Linux-Rechner probiert. Ich komme da auch nicht weiter als bis zum Gateway. An der VLAN-Konfig kanns ja nicht liegen, denn ich kann das gateway anpingen. Ich vermute, dass mir der Belwue-Router den Zugang versperrt, weil ich das Gerät gewechselt habe, das die IP verwenden will. Oder (weil ich auch mal die MAC auf dieselbe gestellt habe wie das Gerät das zuvor die IP hatte) Belwue stellt an bestimmten Ports ihres Switches nur bestimmte IPs zu.
ICh glaube, ich gebe das mit einer externen IP vorerst auf und versuche es nochmal innerhalb des v6.2 Netzes.

Tobias · 22. Dezember 2018 um 10:13

Hi STefan,

auf der Ebene, die ich einstelle, wird noch gar keine domain verwendet. ICh bin beim konsolen-setup der opnsense, da wird nicht nach einer Domäne gefragt.

Davon gehe ich aus: Ich habe 10.16.1.254 als Gateway, das ist der IPFire der v6.2.

Ja, die OPNSense (der v7) steht im grünen NEtz der v6.2 mit einer IP 10.16.1.50 auch so in der workstations der v6.2.

Das ist seltsam, ich kann per brute-force als DNS den server der v6.2 einstellen, dann habe ich den als DNS-Server und ich kann NAmen auflösen. ICh checke nochmal wie ich das genau gemacht habe…

VG udn danke, Tobias

zefanja · 22. Dezember 2018 um 14:08

Kannst du mal einen Screenshot deiner Firewall-Regeln schicken? V.a. von LAN und WAN. Bei WAN-Interfaces wird standardmäßig alles, was aus dem privaten IP Bereich kommt, geblockt (was man eigentlich so will, aber in deinem Fall, wenn du OPNSense in GRÜN stellst, nicht haben willst).

Was sagt traceroute? Dein Ping Problem klingt nach einem routing Problem.

Steht bei deiner Ausgabe wirklich gateway in der ersten Zeile (default) oder eine IP? Wo hast du den BelWüe Gateway angegeben?

Was genau meinst du damit? Ich vermute es hat damit zu tun, dass private Netz geblockt werden am WAN-Interface (zumindest ist das bei pfSense so).

vG Stephan