Hallo,
meine Firewall Regeln greifen nicht, ich befürchte, dass irgendeine "Grundeinstellung" falsch ist.
Zum Beispiel habe ich ein openvpn Netz, welches auf 2 LAN Netze zugreifen soll.
Es existiert hierzu in der openvpn Gruppe eine Regel "openvpn to any". Jedoch können die openvpn Clients nur auf das LAN zugreifen, nicht auf das 2. Lan.
Ich könnte das jetzt hier genauer beschreiben, aber die regeln sind nur basics. Der openvpn Server hat in " IPv4 Local Network" natürlich alle Netze drin. Auf einem Client werden die Routen auch für alle Netze gesetzt.
Dennoch kein Zugriff auf andere Netze als das Lan Netz.
Bfo
Was sagt der Firewall live view? Was sagt ein tcpdump auf den jeweiligen Interfaces?
Moin,
das kannte ich nich gar nicht ... u.a. steht da sowas beim Zugriff auf das 2. Lan:
Default deny / state violation rule
Wo wird das denn geblockt?
Es gibt die automatisch generierten "Floating" Regeln, aber ausser der letzten "alles verbieten" Regel sehe ich da nichts relevantes. Abgesehen davon, dass es nicht änderbar ist.
Bfo
Dann passt deine allow Regel nicht auf die Pakete und wenn keine andere Regel greift, landet alles am Ende im "default deny".
Danke für deine Antwort.
Im Anhang meine openVPN Reglen. Ich habe dort sogar eine deaktivierte Regel, welches "alles" erlaubt und selbst mit dieser hats nicht geklappt. Bin ratlos.
Das 10.11.128.0/24 ist das VPN Netz.
Bfo
Was sagt das Livelog beim Blocken denn im Detail?
Hier ein Auszug
bfo
Quote from: bforpc on May 12, 2023, 10:47:10 AM
Hier ein Auszug
Das Lan194 soll Zugriff haben ...
bfo
Ich glaube da wäre mal ein Netzwerkplan praktisch... mit Angabe welches Netz welche IP Range hat.
In deiner OpenVPN-Regel steht als Quelle 10.11.128.0/24 drin. Die Pakete haben aber z.B. 192.168.128.10 als Absender. Da greift diese Regel natürlich nicht - wie auch?
Die 192.168.128.10 scheint auch gar nicht vom OVPNnet zu kommen, sondern vom 2. LAN das nicht erreicht wird (bzw. von dem offensichtlich keine Antworten ankommen).
Also zumindest wird im OVPNnet nichts geblockt...
Ok, du hast recht, das kann nicht gehen, ist dann aber wohl auch der falsche Screenshot.
Das 10.11.128.0 ist das VPN Netz, welches aber auch auf das 194er Netz zugreifen soll (ok, lassen wir das mal aussen vor).
Ich habe die Ausgabe gefiltert und sehe jetzt folgendes (siehe Screenshot).
Vielleicht noch zur Info:
Urzustand war, das das Lan Netz (192.168.128.0/22) zwar sporadisch auf das LAN194er Netz zugreifen konnte (ca. 50% Paket Verluste). Dann haben wir als workaround jedem Rechner, der in das 194er Netz soll, eine IP aus diesem Netz gegeben (das sollte aber nicht so bleiben).
Seit dem funktioniert die Rechner zu Rechner Verbindung natürlich. Aber dass ist nicht das Ziel gewesen. Vor allem auch wegen den VPN Clienten.
Bfo
Ich bin ja noch für nen Netzwerkplan und dazu Screenshots der Interface und Rules Konfig.
Du hast bei dem Konstrukt irgendwas Übles gebaut das behoben werden muss, der VPN Zugriff dürfte da erstmal zweitrangig sein...
Genau so wird es sein.
Wie kann ich denn einen Netzwerkplan erstellen, oder meintest du "handgeschrieben"?
bfo
Ja würde auch reichen... oder paint, hauptsache man sieht den Aufbau und kann sich vorstellen was da wie zusammenhängt.
Das mache ich bis heute Abend. Gibt es eine einfache Möglichkeit, die Regeln aus der OPNsense hier her zu bekommen, ohne zig screenshots machen zu müssen?
Bfo
Ich bevorzuge Screenshots, Text finde ich so unübersichtlich...
Vielleicht reicht erstmal der Plan sodass dann explizit regeln und co angefragt werden können.
Das WIE zum Netzplan steht übrigens immer ANGEPINNT oben im Forum hier:
https://forum.opnsense.org/index.php?topic=7216.0 :)
Danke für den TIP...
Aber wir haben uns jetzt entschlossen - auch auf Grund der Antworten hier (vielen Dank dafür) - die FW komplett neu auf zu setzen. Mit Im- und Export der einzelnen Teilbereiche war das alles in den letzten 2 Stunden komplett aufgesetzt.
Und was soll ich sagen: Jetzt funktioniert das Routing zwischen den beiden LAN's so wie es soll.
Irgendwo hatte ich einen Fehler gemacht. Sei's sdrum. Dieser Zustand ist jetzt gesichert und es läuft :-) (Puhhhh)
Thx @ all
Bfo