Netgate SG-1000 microFirewall

Author Topic: RFC1918 über WAN?  (Read 541 times)

0 Members and 1 Guest are viewing this topic.

Offline mrsunfire

  • Full Member
  • ***
  • Posts: 193
  • Karma: +0/-0
    • View Profile
RFC1918 über WAN?
« on: December 24, 2017, 05:03:16 am »
Hallo!

Folgendes Szenario:

Modem WAN - pfSense - LAN (192.168.1.0/24)

Das Modem reicht mir eine öffentliche IP an die WAN Schnittstelle durch. Soweit, so normal. Das Modem selbst hat jedoch immer die 192.168.100.1 um auf sein Interface zu kommen. Diese IP erreiche ich auch von jedem meiner Clients. Nun frage ich mich jedoch wieso, denn eigentlich sitzen die ja in einem anderen Subnet. Pinge ich die 192.168.100.1 des Modems von der WAN Schnittstelle aus, erhalte ich auch Antwort.

Heißt dass dass meine Sense diese IP über die WAN Seite raus schickt? Das sollte bei einer RFC1918 Adresse jedoch nicht der Fall sein, oder?

Offline Parsec

  • Full Member
  • ***
  • Posts: 125
  • Karma: +8/-1
    • View Profile
Re: RFC1918 über WAN?
« Reply #1 on: December 24, 2017, 01:53:24 pm »
Was hast du denn im WAN Interface hier ausgewählt?
Siehe Screenshot

Offline mrsunfire

  • Full Member
  • ***
  • Posts: 193
  • Karma: +0/-0
    • View Profile
Re: RFC1918 über WAN?
« Reply #2 on: December 24, 2017, 04:44:35 pm »
Beides. WAN zieht sich zudem alles via DHCP.

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2613
  • Karma: +156/-27
  • volunteer since 2006
    • View Profile
Re: RFC1918 über WAN?
« Reply #3 on: December 24, 2017, 08:28:44 pm »
..das ist unerheblich, denn du initiierst ja eine Verbindung, auf die das Modem nur antwortet.
Die Haken bewirken nur, dass sich aus den beiden genannten Bereichen keine Verbindung zum WAN aufbauen kann.

Das Netz 192.168.100.0/24 nutzt du intern sonst nirgendwo, ist das sicher?
Wie sehen deinen outbound NAT Regeln aus? Über die verschafft man sich ja im Normalfall Zugriff auf eine RFC1918 IP des Modems am WAN.
https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall
"Von alleine" funktioniert das sicherlich nicht - was sagt denn "Status: Interfaces" konkret zur WAN IP?
Chris


Offline mrsunfire

  • Full Member
  • ***
  • Posts: 193
  • Karma: +0/-0
    • View Profile
Re: RFC1918 über WAN?
« Reply #4 on: December 25, 2017, 01:52:14 am »
Die 192.168.100.1 wird nirgends genutzt.

Code: [Select]
outing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            134.3.212.1        UGS         re1
10.0.0.0/24        link#9             U       re2.100
10.0.0.1           link#9             UHS         lo0
127.0.0.1          link#4             UH          lo0
134.3.212.0/22     link#2             U           re1
134.xxx.xxx.xxx    link#2             UHS         lo0
192.168.1.0/24     link#3             U           re2
192.168.1.1        link#3             UHS         lo0
192.168.3.0/24     192.168.3.2        UGS      ovpns1
192.168.3.1        link#10            UHS         lo0
192.168.3.2        link#10            UH       ovpns1

An re1 hängt das Modem. Die 134.3.212.1 ist mir via DHCP vom ISP als Defaultgateway zugeteilt worden.

Kann es evtl. damit zu tun haben? Meine NAT steht auf Automatic.


Offline jahonix

  • Hero Member
  • *****
  • Posts: 2613
  • Karma: +156/-27
  • volunteer since 2006
    • View Profile
Re: RFC1918 über WAN?
« Reply #5 on: December 25, 2017, 10:08:36 am »
Das ist schon ungewöhnlich.
Was sagt denn ein Traceroute zu der IP?
Ich kann kaum glauben, dass Du wirklich das Modem triffst. Hat das ein Web-Interface und auf das kannst Du von all Deinen Hosts aus zugreifen?
Chris


Offline viragomann

  • Hero Member
  • *****
  • Posts: 2830
  • Karma: +312/-1
    • View Profile
Re: RFC1918 über WAN?
« Reply #6 on: December 25, 2017, 11:18:38 am »
Hallo,

ich halte das zwar für ungewöhnlich, aber nicht für undenkbar. Wenn dein ISP das Modem so konfiguriert hat, kann das schon sein.

Heißt dass dass meine Sense diese IP über die WAN Seite raus schickt? Das sollte bei einer RFC1918 Adresse jedoch nicht der Fall sein, oder?
Der pfSense ist es ganz einerlei, welche IP das ist, solange eine Firewall-Regel die Kommunikation erlaubt.
Ist die IP nicht Teil eines an der pfSense konfigurierten Netzwerks, wie in diesem Fall, schickt sie die Pakete zum Default Gateway, und das ist ja offenbar das Modem. Dass dieses die Pakete intern an ihre Interface-IP weitergibt, wäre durchaus denkbar.

Grüße

Offline mrsunfire

  • Full Member
  • ***
  • Posts: 193
  • Karma: +0/-0
    • View Profile
Re: RFC1918 über WAN?
« Reply #7 on: December 25, 2017, 02:56:30 pm »
Das Kabelmodem (Cisco EPC3212) hat eine Weboberfläche bei der man die Signalwerte usw. einsehen kann. Sowas hat jedes Kabelmodem. Mein ISP hat damit nichts zu tun, da ich es auch erreiche wenn es unprovisioniert ist. Ich erreiche es von allen Clients, sowie von der pfSense. Auch ein Ping von der pfSense mit Source WAN ist erfolgreich. Demnach geht es definitiv über die WAN Schnittstelle raus.

Code: [Select]
Routenverfolgung zu 192.168.100.1 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  pfsense.networks [192.168.1.1]
  2    <1 ms    <1 ms    <1 ms  192.168.100.1

Ablaufverfolgung beendet.

Der pfSense ist es ganz einerlei, welche IP das ist, solange eine Firewall-Regel die Kommunikation erlaubt.
Ist die IP nicht Teil eines an der pfSense konfigurierten Netzwerks, wie in diesem Fall, schickt sie die Pakete zum Default Gateway, und das ist ja offenbar das Modem. Dass dieses die Pakete intern an ihre Interface-IP weitergibt, wäre durchaus denkbar.

Grüße

Mein Defaultgateway ist die Kopfstation des ISP, so wird es mir via DHCP mitgeteilt. Dieses Gateway muss demnach die IP erhalten und verwerfen. Zuvor scheint das Modem jedoch darauf zu antworten. An Firewallregeln habe ich nichts gesetzt bzgl. der IP.
« Last Edit: December 25, 2017, 02:59:49 pm by mrsunfire »

Offline Pippin

  • Full Member
  • ***
  • Posts: 263
  • Karma: +24/-3
    • View Profile
Re: RFC1918 über WAN?
« Reply #8 on: December 25, 2017, 05:17:34 pm »
Hallo,

Edit:
Mein bericht entfernt, lesen ist kunst  ;D

Frohe weinachten und ein guten rutsch gewünscht.
« Last Edit: December 25, 2017, 05:32:16 pm by Pippin »
2.3.2-RELEASE (amd64) - GB N3150N-D3V
"There must be someone with intelligence in the party"
"Well, that rules you out Pippin"

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2613
  • Karma: +156/-27
  • volunteer since 2006
    • View Profile
Re: RFC1918 über WAN?
« Reply #9 on: December 25, 2017, 06:01:06 pm »
Wird dein Modem vom Provider provisioniert oder machst du das selbst, kommst an die gesamte Config heran?
Ist darauf auch ein DHCP Server aktiv, der deinem WAN erst einmal eine (Wegwerf-) IP mitteilt?

Macht aber alles keinen Sinn, denn in deinem Routing-Table steht vom Modem-Subnetz nix drin. Demnach muss dein WAN alles, was nicht lokal aufgelöst werden kann, an das default Geteway schicken. "Durch" das Modem ja, aber nicht "auf" das Modem (Bridge-Mode und nicht Router-Mode).

Edit: kannst du die IP des Modems mal ändern und in ein anderes Subnetz legen? Ist es dann auch noch ohne Route oder NAT-Eintrag erreichbar?
Chris


Offline mrsunfire

  • Full Member
  • ***
  • Posts: 193
  • Karma: +0/-0
    • View Profile
Re: RFC1918 über WAN?
« Reply #10 on: December 26, 2017, 02:35:32 am »
Das Modem wird vom Provider provisioniert. Die Config kann ich komplett einsehen. Soweit ich weiß hat es keinen DHCP Server, wofür auch. Die 192.168.100.1 ist eine Standard IP die eigentlich jedes Kabelmodem hat. Die IP ist nicht änderbar. Es ist auch ohne Route und NAT Eintrag erreichbar.

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2830
  • Karma: +312/-1
    • View Profile
Re: RFC1918 über WAN?
« Reply #11 on: December 26, 2017, 07:22:04 am »
Bin davon ausgegangen, dass das Modem Router und Gateway ist, ansonsten könnte ich mir nicht vorstellen wie es über diese IP zu erreichen wäre.

Dass es sich dabei um ein Kabelmodem handelt, ist jetzt neu, wurde zuvor nicht erwähnt. Ich habe keine Ahnung, welches Protokoll da zwischen Modem und Provider gefahren wird.
Wenn das Gateway aber beim Provider sitzt, sollte das ähnlich funktionieren wie PPPoE, was ich hier habe, und da ist ein Erreichen des Modem über das Default-Gateway nicht möglich.

An Firewallregeln habe ich nichts gesetzt bzgl. der IP.
Die Standard Allow-Any-to-Any Regel am LAN würde diese IP ja bspw. mit einschließen.

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2613
  • Karma: +156/-27
  • volunteer since 2006
    • View Profile
Re: RFC1918 über WAN?
« Reply #12 on: December 26, 2017, 08:03:44 pm »
Das Kabelmodem (Cisco EPC3212) hat eine Weboberfläche ...
;)

Die Standard Allow-Any-to-Any Regel am LAN würde diese IP ja bspw. mit einschließen.
Das ist zwar richtig, gibt jedoch noch keinen Hinweis darauf, wieso das Modem am WAN mit einer RFC1918 Adresse erreichbar ist, zu der es keine Route gibt.

Soweit ich weiß hat es keinen DHCP Server, wofür auch.
Das Ding kann im Bridge-Modus oder als Router arbeiten. Wenn Router, dann vergibt es auch per DHCP die Adressen an die Clients. Im Bridge-Mode ist der Server (meistens) ausgeschaltet.
Wie authentifizierst du dich denn beim Provider? Mit in der pfSense eingetragenen Daten oder geschieht das über die MAC das Modems oder eine dritte Variante, die ich gerade übersehe?
Chris


Offline mrsunfire

  • Full Member
  • ***
  • Posts: 193
  • Karma: +0/-0
    • View Profile
Re: RFC1918 über WAN?
« Reply #13 on: December 27, 2017, 01:30:48 am »
Nein, es kann nur Bridge da es ein reines Modem ist und kein Router oder Gateway. Konfiguriert wird das Modem vom Provider anhand seiner CM MAC, das ist Standard bei DOCSIS.
« Last Edit: December 27, 2017, 01:49:56 am by mrsunfire »

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2613
  • Karma: +156/-27
  • volunteer since 2006
    • View Profile
Re: RFC1918 über WAN?
« Reply #14 on: December 27, 2017, 06:29:16 am »
Welcher Kabel-Provider ist denn das bei Dir?

Ich hatte mich von einem solchen Screenshot "verwirren" lassen, sorry!
Darin sieht man halt auch einen DHCP Server, nur ist das gar nicht Dein Modem...
Chris