[fli4l] DMZ Afbau alt->neu

Volker Boergens admin at networks-consulting.de
Mi Feb 18 18:00:50 CET 2015


Am 18.02.2015 um 16:54 schrieb Martin Dresbach:
> Hmm, sehr seltsam. Hast du den Ping von einem "grünen" Client
> abgesetzt? Kannst du den AP vom Fli aus direkt anpingen?
>
> Was gibt denn dein Syslog zu den (verweigerten?) Zugriffen her?
>
> Hast du am AP eventuell (ungewollt) eine Zugriffskontrolle aktiv, die
> Zugriffe aus anderen Subnetzen blockt? Oder einen MAC-Filter? Solltest
> du nämlich für die interne Kommunikation das Masquerading nicht
> deaktiviert haben, fragt der Fli beim AP an, und nicht der Client, von
> dem du es versuchst!
>
> Liebe Grüße,
> Martin

Hallo Martin,
ping vom router aus zum Accesspoint im orangenen Netz geht, nur vom 
Clientrechner des gruenen Netz nicht.

Mein Postrouting sieht so aus :

PF_POSTROUTING_N='2'            # number of POSTROUTING rules
PF_POSTROUTING_1='if:any:IP_NET_3_DEV MASQUERADE'
PF_POSTROUTING_2='IP_NET_1 IP_NET_2 SNAT:IP_NET_2_IPADDR'

Regel Nr.2 habe ich zusaetzlich ausprobiert, hat aber auch nichts gebracht.
Dachte, dass vielleicht die Pakete vom gruenen Netz ins orangene Netz 
umgeschrieben werden muessen.

Im Syslog (PF_FORWARD_LOG='yes' ) ist mir kein Drop aufgefallen, was das 
lokale Netzt betrifft.

viele Gruesse

Volker


Mehr Informationen über die Mailingliste Fli4L