Jump to content
Cysa

Sonicwall IP Spoof OWA Zugriff

Recommended Posts

Hallo Gemeinde,

 

ich habe folgendes Problem:

Wenn ich versuche mit einem Gerät im LAN der Fritzbox (siehe angehängtes Bild) auf OWA zuzugreifen bekomme ich keine Verbindung. Die Sonicwall meldet als Fehler "IP Spoof dropped".

Was muss ich in der Sonicwall einstellen um Zugriff zu bekommen?

Brauche ich eine NAT Regel oder muss ich eine Route einrichten oder beides? Und mit welchen Einstellungen?

SonicOS  Version 6.5

Der Zugriff auf OWA funktioniert ansonsten problemlos, zb. übers Mobilfunknetz oder von zuhause.

 

Danke

Grüße

Cysa

netzwerk.jpg

Share this post


Link to post
Share on other sites

Hallo,

 

Nein, kein Tunnel. Es ist ein Standort mit 2 Internetanschlüssen von unterschiedlichen Anbietern(1x Richtfunk, 1x Glasfaser).

Hier mal ein tracert von der Fritzbox zu OWA:

(Die x.x.x.89 ist unser zugewiesenes Gateway von ISP2)

tracert.JPG

Share this post


Link to post
Share on other sites

Hallo,

 

vor 32 Minuten schrieb Dukel:

Was macht die Fritzbox darin?

Wieso macht die Sonicwall nicht alles?

An der FB hängt das Lan/WLAN für Gäste. Historisch so gewachsen wie es so schön heißt.

Allerdings möchte ich auch die kleine Sicherheit nicht missen, falls die Sonicwall mal ausfällt / zicken macht / whatever, hab ich immer noch die möglichkeit über die FB ins Internet zu kommen um zb. nach Lösungen zu suchen.

vor 24 Minuten schrieb zahni:

Mit /29 befinden sich die "externen" Beine von Sonic und FB im gleichen Subnet. Wenn damit über das andere "Bein" der Sonic ankommt, gibt es  https://www.sonicwall.com/en-us/support/knowledge-base/180118173855772

Eventuell genügt ein bei ISP2 jeweils als Subnet Mask 255.255.255.254 zu verwenden.

Danke für den Link. Mal schauen was ich damit anfangen kann.

Wenn ich der FB mit IP .94 das Subnet .254 gebe bekomme ich keine Verbindung mehr zum Internet.

Share this post


Link to post
Share on other sites

Sorry, ich meinte  Subnet Mask 255.255.255.255 .  Ist eigentlich normal,  wenn man eine feste IP-Adresse bekommt.

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb zahni:

Sorry, ich meinte  Subnet Mask 255.255.255.255 .  Ist eigentlich normal,  wenn man eine feste IP-Adresse bekommt.

Ähm, wie erreicht man denn bei der Subnetmaske den nächsten router? Steh ich da gerade auf dem Schlauch?

 

Share this post


Link to post
Share on other sites

Es werden alle Pakete zum Router geschickt. Wo sollte man die bei einer ISP-Verbindung auch sonst hinschicken?

Share this post


Link to post
Share on other sites

Bei einem 32er Subnetz welches aus genau einem Gerät besteht? Ich glaub ich stehe wirklich auf dem Schlauch.

Dann braucht man eine statische route zum gateway, oder?

Share this post


Link to post
Share on other sites

Du gibt doch ein Default-Gateway an. Die Subnet-Maske ist nur im Gerät existent und bestimmt ob Paket direkt zu einem Router geschickt werden oder ob per Arp versucht die Adresse im lokalen Netz zu erreichen. Das kann beim TO übrigens auch der Fall sein.

https://community.infosecinstitute.com/discussion/21680

/32 wird bei PPP-Verbindungen verwendet.

Share this post


Link to post
Share on other sites

Habe es mal auf meinem Ipad probiert.

Netzmaske /32 funktioniert und /31 nicht.

Bei /32 wird alles zum Router geschickt (Traceroute), auch interne Adressen.

Was nun?

 

Share this post


Link to post
Share on other sites

Moin,

zur Ausgangsfrage: spoofed war doch: ein EinganspaketPaket kommt auf der Firewall an aber die Firewall hat nie ein Ausgangspaket gesehen oder umgekehrt.

In dem Fall Routing der Fritzbox. die schickt doch hoffentlich nicht alles nach extern? es ist webtraffic, da sind keine Proxies im Spiel?

OWA ist "lustig". Auf einer PF-Sense braucht man für reverse Proxy für OWA 2 Regeln für 2 unterschiedliche webadressen.

die Fritzbox erreicht OWA und OWA antwortet statt mit HTTP mit RPC. Oder HTTP läuft über einen anderen Weg als RPC über HTTP.

(oh mist das war rdp gateway mit den 2 Adressen ....)

Die Sonic sieht eine Antwort zu der es keine Frage auf demselben Interface gibt und blockt den Kram.

das aber nur als sidekick. ich bin froh das ich meine server selbstständig durchbooten kann.

Edited by Jim di Griz
hmpf korrektur

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...