Hallo.
Wir haben hier folgende Situation:
Unser WLAN wird von Unifi-Accesspoints abgestrahlt, die IP-Adresse wird von der OPNSense-FW in diesem Subnetz vergeben. Das Netzwerk hat diese Maske 172.16.0.0/16 aber der DHCP-Bereich geht lange nicht so weit, sondern umfasst nur einen Bruchteil.
Nun ist es so, dass sich zwei Geräte untereinander nicht anpingen können -- ok, das klingt jetzt relativ vage, doch ich vermute, dass die OPNSense das blockiert. In den Firewall-Livelogs sehe ich leider nichts entsprechendes. Liege ich hier richtig oder liegt das Problem nicht auf der Firewall?
In den unifi-Einstellungen ist "Client Isolation" definitiv nicht aktiviert.
Zudem gibt es ein zweites WLAN, das aber über einen anderen DHCP-Server läuft -- und da funktioniert das gegenseitige Pingen ... so kam ich erst auf die Idee.
Hat jemand vielleicht einen guten Tipp, wonach ich suchen soll?
Danke.
1. Bitte mal einen grafischen netzwerkplan
2. bitte mal Screenshots deiner Konfiguration
Gesendet von iPhone mit Tapatalk Pro
eigentlich kann das nicht mehr Firewall zu tun haben.
Wenn beide Clients im gleichen IP Subnetz sind kommen die broadcast Pakete bei der opnsesne an.
Aber der ziel client ist ja im gleichen netz und sollte antworten.
sind im ersten schritt ja eine ARP Whohas Pakete die per Boradcast an alle gehen.
schau dir doch mal den arp table auf den clients an sobald du den ping versuchst. Dort sollte es ja eine Zuordnung geben.
Wenn da nichts zu sehen ist liegt dein Problem vermutlich im Layer 2 Bereich.
ich schließe jetzt mal aus das die ARP Inspections oder transparente Firewalls im Netz hast.
Was sind das für Client's? Bitte mehr Infos
Gesendet von iPhone mit Tapatalk Pro
Hi,
ok, ich habe die Situation gerade "skizziert" ... betroffen sind diese beiden Netze auf der FW ... wenn zwei Clients auf der linken Seite im WLAN sind, klappt der gegenseitige ping nicht -- sind sie hingegen auf der rechten Seite im WLAN, funktioniert es.
Den eingzeichneten Unifi-Controller kann man sich da auch wegdenken ... der macht nichts weiter ...
Ach ja -- die Clients sind Samsung-Tablets; LANDroid ist installiert und liefert richtige Infos bzgl der IP-Adressen, DNS- und Gateway-Einträge ...
UNd wie schauts bei der Subnetz Maske aus?
Hi.
Das Problem ist gelöst .. und wie hier schon alle richtig vermutet haben lag es nicht an der OPNSense-Konfiguration sondern an den Unifi-Einstellungen zu den WLANs. Dort gibt es einen Punkt bei den Advanced Features, der da lautet:
- "Sperrung von LAN zu WLAN Multicast- und Broadcastverkehr"
Es ist also auf Unifi-Seite zu finden und ist daher hier OT ... dennoch gut, dass ich es irgendwann gefunden habe.