Firewall LAN und WAN Geräte miteinander kommunizieren lassen?
Hallo zusammen,
ich möchte auf meiner XGS ermöglichen, dass LAN und WiFi Geräte miteinander kommunizieren können.
Ich habe diese Interfaces:
Damit nun ein Gerät aus dem WiFi mit einem Gerät aus dem LAN kommunizieren kann, habe ich diese Regel erstellt:
Regel steht natürlich auf POS 1.
-----
Nun zum Test:
Wenn ich von meinem PC aus dem LAN, einen Ping auf ein Gerät im WiFi starte, wird das Gerät im WiFi nicht erreicht. Allerdings kann ich bei der Regel sehen, dass Traffic aus herauskommt:
Selbiges gilt auch anders herum, also von WiFi einen Ping ins LAN, ist das LAN-Gerät ebenso nicht erreichbar.
Wenn ich nun von LAN das Interface von WiFi Pinge, funktioniert das einwandfrei:
Andersrum von WiFi auch das LAN Interface pingbar.
Was fehlt mir denn hier noch, bzw. was habe ich hier falsch eingerichtet?
Welche Adresse hat Dein Test-Gerät im WiFi zugewiesen bekommen bzw. kann es z.B. mit dem Internet kommunizieren?
Beide Geräte haben zum Testen statische IPs gekriegt.
Ob sie ins Internet kommen, ja, aber das ist vollkommen egal. Ich will keine LAN oder WIFI to WAN, sondern eine LAN to WIFI.
3 Antworten
Ich kenne die XGS-Serie nicht von eigenen Anwendungen.
Deine erstellte Regel ist von den gezeigten Einstellungen theoretisch für folgende Netzzugriffe zuständig.
LAN zu LAN
LAN zu WLAN
WLAN zu LAN
WLAN zu WLAN
Und das dürfte das Betriebssystem so nicht zulassen, da es zu komplex ist.
Ich vermute, dass diese Geräte das ähnlich handhaben wie es beispielsweise in den Cisco-Geräten auch gemacht wird. Eine Regel für den Zugriff von einem Quellnetzwerk in ein Zielnetzwerk mit den zugehörigen Berechtigungen. Fertig.
Folglich -> Eine Regel für den Zugriff vom LAN auf das WLAN, eine Regel für den Zugriff vom WLAN auf das LAN. Dann kann das Gerät abhängig vom Netzwerk, aus dem die Anfrage kommt, eine eindeutige Regel verwenden und gegen diese prüfen.
Es macht dir auch die Verwaltung etwas einfacher, da du für jede Richtung separat genaue Einstellungen vornehmen kannst, ohne die Gegenrichtung zu beeinflussen.
Regel sollte auch so gehen. Habe sie testweise aufgeteilt in separate, aber gleicher Fehler.
Ohne groß deine Regeln angeschaut zu haben, aber was bekommst du denn als ICMP Antwort und welche Betriebssysteme verwendest du dafür?
Bei ICMP „Unreachable Host“ müsste ich mir das genauer anschauen (gerade keine Zeit). Wenn einfach nur ein „Request Timed Out“ kommt und du Windows-Systeme benutzt, dann liegt das sehr wahrscheinlich daran, dass in der Firewall der jeweiligen Clients ein ICMP REPLY Deny ist.
Ansonsten könntest du auch mal von deiner Firewall / GW aus die beiden Hosts pingen und schauen, ob das klappt.
Des weiteren kannst du auch schauen, ob deine Firewall in irgendeiner Weise forwarded ICMP Traffic blockiert.
Request timed out.
Du meinst vmtl. das hier? https://imgur.com/yYaOlHY, das sind allerdings AFAIK nur die erlaubten services für die interfaces und nicht für das Netz.
ICMP traffic wird nicht geblockt, sondern wird laut log durchgelassen: https://imgur.com/DRm3X3a
Sind auf den Geräten die Gateways richtig konfiguriert?
Sprich eine default route bzw die Netze als Route zum jeweilen Bein der FW?
Für das LAN Netz
172.16.16.0/24 ----> 10.10.10.1
Für die Geräte im WLAN
10.10.10.0/24 ---> 172.16.16.16
Diese Regel ist schon zulässig und sollte auch funktionieren.
Allerdings würde ich genauso wie Du in zwei Regeln formulieren.