Interface Blue gezielter Green Zugriff

Wie kann man das Konfigurieren?
Post Reply
5p9
Mentor
Mentor
Posts: 1676
Joined: May 1st, 2011, 3:27 pm

Interface Blue gezielter Green Zugriff

Post by 5p9 » April 6th, 2017, 10:53 am

Hallo,

ich seh gerade den Wald vor lauter Bäume nicht mehr. Vielleicht könnt ihr mri weiterhelfen.

Situation:
Ich will das blaue Interface für die Firma einrichten, damit die ganzen WLAN-Geräte weg vom internen Netz sind.
Soweit habe ich es auch schon konfiguriert und funktioniert soweit auch gut, ist ja jetzt nichts dramatisches möchte man meinen ;)

Problem1: Zugriff von blau nach grün via DNS funktioniert nciht, da ich mir nicht sicher bin wie ich es anstellen soll.
Das bedeute, im Moment komme ich nur ins grüne Netz, z.B. mit RDP nur via IP drauf, da ich local im grünen Bereich meinen eigenen Windows DNS-Server stehen habe.

Auf der IPFire ist als DNS mein bevorzugter Provider hinterlegt der über das Gateway das hinter der Fire steht abgefragt wird.
In der DHCP Option von blue habe ich versuchsweise den sekundären DNS-Server mit dem Windows-DHCP IP versehen. Aber auch das half nichts. Wie könnte ich es schaffen, dass die Geräte in blue auch den internen DNS Server mit dem Namen erreichen könnte?

EDIT1: Eine Möglichkeit ist natürlich die IPs und den Hostnamen in die /etc/hosts zu packen, das funktioniert soweit auch. Aber ist nicht ganz so schön finde ich.

EDIT2: Mir kommt gerade auch noch die WindowsAnmeldung in der Domain. Irgendwie lässt er es nicht zu das ich mich am "Anmeldeserver" nicht anmelden kann an einem Notebook an dem ich mein Profil noch nie geladen habe.
Habe aber auf meine DCs/ADs die Freigabe für meine Gruppe als SNAT hinterlegt. Irgendetwas übersehe ich noch:
https://support.microsoft.com/en-us/hel ... or-windows
xx.xx = green IP des ADs
yy.115 = blue IP Notebook

Code: Select all

Apr  6 15:31:24 MeineFire kernel: SNAT IN= OUT=green0 SRC=192.168.yy.115 DST=192.168.xx.xx LEN=62 TOS=0x00 PREC=0x00 TTL=127 ID=24321 PROTO=UDP SPT=53721 DPT=53 LEN=42
Apr  6 15:31:24 MeineFire kernel: SNAT IN= OUT=green0 SRC=192.168.yy.115 DST=192.168.xx.xx LEN=124 TOS=0x00 PREC=0x00 TTL=127 ID=24329 PROTO=UDP SPT=52836 DPT=53 LEN=104
Apr  6 15:31:29 MeineFire kernel: SNAT IN= OUT=green0 SRC=192.168.yy.115 DST=192.168.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=24389 DF PROTO=TCP SPT=49711 DPT=88 WINDOW=8192 RES=0x00 SYN URGP=0
EDIT3: Wenn ich mich mit einem bekannt User anmelde am Notebook funktioniert es natürlich. Jedoch Netzlaufwerke werden nicht gemappt, die im Anmeldescript hinterlegt sind. Dazu habe ich noch alles aus blue ohne SNAT nach green erlaubt.

Folgendes sehe ich zumindest schon einmal:

Code: Select all

Apr  7 09:14:42 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=25063 DF PROTO=TCP SPT=49861 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
Apr  7 09:14:45 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=25067 DF PROTO=TCP SPT=49861 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
Apr  7 09:14:45 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=31 ID=25069 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=1
Apr  7 09:14:47 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=31 ID=25072 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=2
Apr  7 09:14:49 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=78 TOS=0x00 PREC=0x00 TTL=127 ID=25073 PROTO=UDP SPT=137 DPT=137 LEN=58
Apr  7 09:14:50 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=78 TOS=0x00 PREC=0x00 TTL=127 ID=25075 PROTO=UDP SPT=137 DPT=137 LEN=58
Apr  7 09:14:51 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=25076 DF PROTO=TCP SPT=49861 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
Apr  7 09:14:52 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.xx LEN=78 TOS=0x00 PREC=0x00 TTL=127 ID=25077 PROTO=UDP SPT=137 DPT=137 LEN=58

Habe die befürchtung die Rückroute wird benötig :(
Aufruf aus Windoof - Explorer auf ein Fileserver in der localen (green) Umgebung, wird nach einer Weile abgebrochen mit "Der Netzwerkpfad konnte nicht gefunden werden":

Code: Select all

Apr  7 09:27:39 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.FILESRV LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=27102 DF PROTO=TCP SPT=49976 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Apr  7 09:27:43 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.FILESRV LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=27103 DF PROTO=TCP SPT=49975 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Apr  7 09:27:45 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.FILESRV LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=27104 DF PROTO=TCP SPT=49976 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Apr  7 09:27:55 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.FILESRV LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=27106 DF PROTO=TCP SPT=49977 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
Apr  7 09:27:56 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.FILESRV LEN=60 TOS=0x00 PREC=0x00 TTL=31 ID=27109 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=7
Apr  7 09:27:58 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.FILESRV LEN=60 TOS=0x00 PREC=0x00 TTL=31 ID=27110 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=8
Apr  7 09:27:58 MeineFire kernel: FORWARDFW IN=blue0 OUT=green0 MAC=DAS-IST-EINE-MAC-ADD SRC=192.168.yy.115 DST=192.168.xx.FILESRV LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=27111 DF PROTO=TCP SPT=49977 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0

Ansonsten kommt da nix weiter?!

Vielleicht habt ihr ja ein paar Tipps für mich...derweil denke ich mal im Keller weiter ob mir doch noch ein Lösung dazu einfällt. O0

VG, 5p9

WhyTea
Administrator
Administrator
Posts: 531
Joined: January 31st, 2011, 8:52 am
Location: Dortmund

Re: Interface Blue gezielter Green Zugriff

Post by WhyTea » April 10th, 2017, 12:33 pm

Hallo

Ich verstehe nicht ganz was Du genau tun willst.
Was ich verstanden habe ich das green dein LAN ist und in Blue sollen WLAN geräte.

Was sollen diese WLAN Geräte denn können bzw. wohin sollen die zugreifen können?

In der Grundkonfiguration von IPFire ist so das "green" nach "red" und "blue" darf aber "blue" darf nur nach "red" und nicht nach "green".

-
Daniel
If you like to support us, please contribute by donating.

My IPFire@Home - always in stable-tree
Image
Libvirt, Squid, Squidclamav, URL-Filter, OpenVPN, Samba, Cups, Transmission

My 2nd - always in testing-tree

Image
Squid, Squidclamav, URL-Filter, Update-Accelerator, OpenVPN, WLAN-AP, Transmission

5p9
Mentor
Mentor
Posts: 1676
Joined: May 1st, 2011, 3:27 pm

Re: Interface Blue gezielter Green Zugriff

Post by 5p9 » April 24th, 2017, 9:01 am

Hey,

danke für die Rückmeldung.

Ziel ist es das WLAN getrennt von green laufen zu lassen und nur spezielle Gruppen in blue entsprechende Ports für die Dienste in green zur Verfügung stelle.

Z.B. WLAN-Gruppe1 (mit GeräteID X und GeräteID Y) dürfen sich normal über das AD verbinden (sprich das logon Script der Domain soll verfügbar gemacht werden, eine Neuanmeldung auf einen Gerät das im WLAN steht soll über das AD funktionieren, Passowrtänderungen über das AD soll funktionieren usw.)

WLAN-Gruppe2 (mit MobilgerätID X und MobilegerätID Y) dürfen nur Mails über entsprechende Ports abrufen und senden.

WLAN-Gruppe3 (z.B. exterene) dürfen nur ins Internet.

Das Thema mit WLAN-Gruppe 2 & 3 funktioniert schon. Jedoch habe ich ein Problem die Geräte aus der Gruppe1 mit dem AD sync'en zu lassen.

Ich hoff ich konnte es verständlicher erklären ;)

VG, 5p9

5p9
Mentor
Mentor
Posts: 1676
Joined: May 1st, 2011, 3:27 pm

Re: Interface Blue gezielter Green Zugriff

Post by 5p9 » May 19th, 2017, 7:29 am

Hallo,

hat jemand einen Idee wie ich es schaffe mein blue-Interface mit meinem AD/DNS verbinden kann?
Irgendwie funktioniert es nicht so wie ich es mir vorstellen, anbei der Netzplan wie es aussieht.

Am Notebook das ich ohne LAN (192.168.green.0/24) verwenden möchte sondern via WLAN (192.168.blue.0/24) komme ich nicht an meine Netzlaufwerke ohne das Passwort und Username der Domain anzugeben, danach kann ich auch alle weiteren Netzlaufwerke nutzen ohne erneut mich anzumelden.
Oder melde ich mich am Notebook an mit WLAN und einem User der noch nie damit gearbeitet hat, findet er keinen Domaincontroller (Anmeldeserver).

Ich habe zwar im Routing des DHCP-Servers im lokalen Netz 192.168.green.0 die Bereichsoption (249 Statische Routen ohne Klassen) mit 192.168.blue.0 255.255.255.0 192.168.green.IPFIRE hinterlegt.
Zugleich habe ich auf der IPFire 192.168.green.IPFIRE für die Gruppe WLN alles von Blau (Blue) mit DestinationNAT Green nach Green (192.168.green.0) alles auf "Zulassen" hinterlegt.
Inkl. der Regeln die im Screen zu sehen sind.
DNS von green 2 blue funktioniert von den lokalen Clients nur meine DCs haben hier keine Routen, was auch irgendwie verständlich ist, da sie statische IP-Adressen haben und nicht via DHCP verwaltet werden.

Hat sich jemand damit schon einmal auseinander gesetzt?
Attachments
Netzwerk-WLN-IST3.png

Post Reply

Who is online

Users browsing this forum: Bing [Bot] and 1 guest