OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on October 29, 2016, 07:17:56 pm
-
Hi ich hab ver. Statische Routen eingetragen. Nur beachtet OPNsense die nicht
Im Status werden die Routen auch angezeigt aber weder im Tracert noch sonst wie sind die IPs erreichbar...
die Route wird anscheinend nicht verwendet ?!
Bsp
ipv4 10.100.0.0/16 10.100.42.254 UGS 7 1500 em1_vlan700
ipv4 10.100.42.0/24 link#21 U 4 1500 em1_vlan700
ipv4 10.100.42.1 link#21 UHS 0 16384 lo0
ipv4 193.29.196.0/22 10.100.42.254 UGS 0 1500
Anbei die Ausgabe der Firewall selber bei traceroute
traceroute to 10.100.15.15 (10.100.15.15), 18 hops max, 40 byte packets
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
1 * * *
2 *traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
3 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
4 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
5 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
6 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
7 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
8 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
9 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
10 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
11 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
12 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
13 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
14 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
15 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
16 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
17 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
18 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
-
Alle Firewall-Gateway Regeln (auch für Multi-WAN) hebeln die Systemrouten aus. Die Gateway-Regeln müssen ordnungsgemäße Ausnahmen haben. Vielleicht ist es das?
-
Was meinst du mit Ausnahmen?
-
Bevor ich es vergesse
Das Setup lief so
Die Probleme entstanden nach einem Neustart
Was ich am wenigsten verstehe ist wenn ich einen Ping im Transfer Netz
Zu dem 10.100.0.0/16 Netz aus löse kommt selbst da die Meldung
Host not reachable
-
Hallo Andreas,
Nun, Host Unreachable ist ziemlich leicht erklärt wenn die Gateway-Regeln auf "Destination any" gestellt sind, was z.B. im normalen Multi-WAN der Fall ist. Der Traffic wird ins Internet geschoben, da kann man die Server--da es private Adressen sind--nicht erreichen.
Alle privaten erreichbaren Netze müssen aus den Gateway-Regeln ausgeschlossen werden, das kann z.B. über einen einfachen Alias mit Destination Invert flag und dem Alias leicht machbar ist.
Generell ist zu prüfen wohin die Pakete übergeben werden (packet capture auf den einzelnen Interfaces), da diese nicht einfach verschwinden.
Da ich nicht weiß welche Netze neu oder wie erreichbar sind, ist es schwierig zu helfen.
Grüsse
Franco
-
Gateway-Regeln auf "Destination any" gestellt sind
meinst du damit bei den Regeln die Einstellungen des Gateways?
das ist auf standard
wenn ich mir den route status angucke ist die route ja richtig eingetragen nur "wirkt" sie scheinbar nicht
Situation ist
LAN Netz --- FW (OPNsense) ---direkt verbunden über CAT--- FW (Sophos)--- Fremdes Netz (10.100.0.0/16)
-
Ich weiß leider nicht was "standard" bedeutet. Falls standard "any", dann ist es hier nicht korrekt für den Anwendungsfall.
-
Standard denke ich ist doch einfach das normale Routing
Also ohne rule based
Wenn ich zus zur statischen Route noch rule based routing mache gibt's ne Art
Was ich halt nicht versteh ist das die Route richtig eingetragen sind die Firewall aber das Ziel
Quasi nicht kannte