Hallo zusammen,
erst mal einen freundlichen Gruß an die Community. Bin erst gerade dazu gestossen, aber schon längere Zeit Nutzer der OPNSense.
Bin aber erst jetzt auf ein Problem gestoßen, für das ich zumindest auf den 1. Blick keine Erklärung habe warum das passiert.
Bei meiner opnsense hab ich auf der LAN Seite zwei Zonen LAN selbst und Server.
Jetzt möchte ich von der Server Seite auf eine Synology zugreifen die im LAN steht. Das funktioniert aber nicht obwohl es dafür eine Regel gibt im SERVER Bereich (server_rule.png)
Den Aufbau meiner Umgebung sieht man in der opnsense.gif und interfaces.png. Hier sieht man das ich ein Hybrid Port (VLAN Trunk) zwischen dem Switch und der opnsense eingerichtet habe.
Normalerweise wäre ich nicht so sehr verwundert und würde an einer fehlenden Einstellung in meiner Switch Konfig suchen. Aber das kuriose ist das ich vom LAN Interface alles im Server erreiche. Im LAN Interface sind die zwei any Regeln aktiv. Standard halt.
Wenn jemand eine gute Idee für mein Problem hätte, wäre ich nicht traurig wenn er seine Gedanken mit mir teilt ;)
Mischst Du tagged und untagged auf demselben Port? Tu's nicht. ;)
Okay, bin das so gewohnt. (Aruba / HP Enterprise) ist das relativ üblich. Das Standard VLAN per untagged und alle anderen per tagged mitzugeben. Deswegen habe ich daran noch keinen Gedanken verschwendet. Das damit das System nicht klarkommen könnte. Werde das später mal umstellen und probieren ob das mein Prob löst. Vielen Dank für den Hinweis.
Bei AccessPoints o.ä. ist das auch nicht unüblich, da die eher selten mehrere HW NICs haben. Bei nem Router/Firewall/Gateway oder auch bei nem Switch versucht man es üblicherweise zu vermeiden.
Gibts aber auf dem Server Interface noch andere Regeln oder Blocks die das verbieten könnten?
Kannst du überhaupt aus dem Servernetz irgendwas aus dem LAN erreichen? Kannst du die Sense überhaupt erreichen/pingen? Ansonsten bei den Regeln mal das Logging aktivieren und schauen, ob/was davon geloggt wird und zutrifft und was nicht :)
Cheers
@
Quote from: pmhausen on February 11, 2022, 02:36:34 PM
Mischst Du tagged und untagged auf demselben Port? Tu's nicht. ;)
Hab den Vorschlag jetzt auch mal geschafft umzusetzen und einen "sauberen VLAN Trunk" installiert und alle VLAN's tagged aufgeschaltet, brachte leider keine Besserung. Das Verhalten ist das gleiche.
QuoteGibts aber auf dem Server Interface noch andere Regeln oder Blocks die das verbieten könnten?
Angehängt, das komplette Regelwerk des Server Interfaces, konnte keine Probleme feststellen.
QuoteKannst du überhaupt aus dem Servernetz irgendwas aus dem LAN erreichen? Kannst du die Sense überhaupt erreichen/pingen
Nein, aus dem Servernetz erreiche ich nichts im LAN. Die Sense kann ich erreichen und auch die konfigurierte DNS (Unbound) Auflösung nutzen. Sonst aber nichts.
Ich kann aber alle konfigurierten Services über das WAN Interface nutzen die konfiguriert sind (http,https,etc) schalte ich etwas davon ab kann ich den Service auch nicht mehr nutzen.
Schon echt strange.... :-\
Am Ende hab ich das Problem gefunden. Und die Ursache lag 30cm vor dem Bildschirm. ;D
Im gleichen Zuge das ich das Server Netz angelegt, habe ich auch die Gateway IP des LAN Interfaces geändert.
Die Synology hat eine statische IP Konfiguration und einfach nur vergessen die neue Gateway IP einzutragen. So einfach kann dann am Ende die Lösung sein.