UDP-Anfragen kommen nicht durch

Hallo,

wir haben neue Switche (Meraki) bekommen, die ihre Config aus dem Netz beziehen. Dafür müssen sie folgende IP Ranges erreichen können (UDP 1812, 7351):

54.193.207.248/32
64.62.142.12/32
108.161.147.0/24
199.231.78.0/24

Problem: Selbst bei herunter gefahrenem ipFire kann man diese IPs aus GRÜN nicht mal anpingen (aus ROT geht’s). Muss man da serverseitig noch Anpassungen machen?

Viele Grüße
Guido

Hallo Guido,

wir haben neue Switche (Meraki) bekommen, die ihre Config aus dem Netz
beziehen. Dafür müssen sie folgende IP Ranges erreichen können (UDP
1812, 7351):

54.193.207.248/32
64.62.142.12/32
108.161.147.0/24
199.231.78.0/24

hast du diese Dinge im IPFire in die Firewallregeln eingetragen (UDP)
und die Regeln übernommen?

Problem: Selbst bei herunter gefahrenem ipFire kann man diese IPs aus
GRÜN nicht mal anpingen

… natürlich nicht: wenn der Router aus ist, dann wird auch nichts geroutet.

(aus ROT geht’s). Muss man da serverseitig noch
Anpassungen machen?
Anpassungen auf dem IPFire sind nötig.

LG

Holger

Hallo Holger,

wir haben neue Switche (Meraki) bekommen, die ihre Config aus dem Netz
beziehen. Dafür müssen sie folgende IP Ranges erreichen können (UDP
1812, 7351):

54.193.207.248/32
64.62.142.12/32
108.161.147.0/24
199.231.78.0/24

hast du diese Dinge im IPFire in die Firewallregeln eingetragen (UDP)
und die Regeln übernommen?

Jupp, habe ich.
Wir hatten von 10.16.1.0./24 nach ROT geroutet, das ging nicht. Jetzt ist von GRÜN nach ROT alles erlaubt und es tut (abgesehen von einer unzuverlässigen Netzwerkkarte).

Ich möchte das Tor aber nicht so weit offen lassen. Wie kann ich das einschränken?

Problem: Selbst bei herunter gefahrenem ipFire kann man diese IPs aus
GRÜN nicht mal anpingen

… natürlich nicht: wenn der Router aus ist, dann wird auch nichts geroutet.

Ok, danke, wieder was gelernt. :slight_smile:

VG
Guido

Hallo Guido,

wir haben neue Switche (Meraki) bekommen, die ihre Config aus dem Netz
beziehen. Dafür müssen sie folgende IP Ranges erreichen können (UDP
1812, 7351):

54.193.207.248/32
64.62.142.12/32
108.161.147.0/24
199.231.78.0/24

hast du diese Dinge im IPFire in die Firewallregeln eingetragen (UDP)
und die Regeln übernommen?

Jupp, habe ich.
Wir hatten von 10.16.1.0./24 nach ROT geroutet, das ging nicht. Jetzt
ist von GRÜN nach ROT alles erlaubt und es tut (abgesehen von einer
unzuverlässigen Netzwerkkarte).

Ich möchte das Tor aber nicht so weit offen lassen. Wie kann ich das
einschränken?

da machst du 4 Regeln die besagen:
von Grün nach 54.193.207.248/32 UDP Ports 1812,7351 erlaubt
von Grün nach 64.62.142.12/32 UDP Ports 1812,7351 erlaubt
von Grün nach 108.161.147.0/24 UDP Ports 1812,7351 erlaubt
von Grün nach 199.231.78.0/24 UDP Ports 1812,7351 erlaubt

wobei ich bei den beiden 32er Netzwerkmasken die Maske weglassen und
einfach die IP angeben würde.

Im Idealfall schränkst du das weiter ein: nicht „von Grün“ sondern „von
konkreter IP in Grün“

Jetzt bin ich aber Neugierig: wer oder was benötigt UDP Zugriff auf
1+1+254+254 = 510 Adressen im Netz?
Mir ist das total suspekt.

Viele Grüße

Holger

Hallo Holger,

wir haben neue Switche (Meraki) bekommen, die ihre Config aus dem Netz
beziehen. Dafür müssen sie folgende IP Ranges erreichen können (UDP
1812, 7351):

54.193.207.248/32
64.62.142.12/32
108.161.147.0/24
199.231.78.0/24

hast du diese Dinge im IPFire in die Firewallregeln eingetragen (UDP)
und die Regeln übernommen?
Jupp, habe ich.
Wir hatten von 10.16.1.0./24 nach ROT geroutet, das ging nicht. Jetzt
ist von GRÜN nach ROT alles erlaubt und es tut (abgesehen von einer
unzuverlässigen Netzwerkkarte).

Ich möchte das Tor aber nicht so weit offen lassen. Wie kann ich das
einschränken?

da machst du 4 Regeln die besagen:
von Grün nach 54.193.207.248/32 UDP Ports 1812,7351 erlaubt
von Grün nach 64.62.142.12/32 UDP Ports 1812,7351 erlaubt
von Grün nach 108.161.147.0/24 UDP Ports 1812,7351 erlaubt
von Grün nach 199.231.78.0/24 UDP Ports 1812,7351 erlaubt

Ok, werde das testen.

wobei ich bei den beiden 32er Netzwerkmasken die Maske weglassen und
einfach die IP angeben würde.

Im Idealfall schränkst du das weiter ein: nicht “von Grün” sondern “von
konkreter IP in Grün”

Jetzt bin ich aber Neugierig: wer oder was benötigt UDP Zugriff auf
1+1+254+254 = 510 Adressen im Netz?
Mir ist das total suspekt.

Diese Meraki Switche holen sich ihre Config in einer Cloud (Cisco Cloud Control oder so ähnlich) und werden darüber auch administriert. Die Ranges hat unser Dienstleister vom Support. Vielleicht brauchen die so viele Adressen bei ich weiß nicht wie viel Zigtausend Geräten?

VG
Guido