OPNsense Forum

Ich habe ein Routing Problem, bei dem Pakete, die an eine VPN Gateway gehen müssen, an das Default Gateway geschickt werden, wenn der ping oder traceroute auf der Firewall ausgeführt wird. Von einem LAN Client aus funktioniert alles wie erwartet. OPNsense 24.4_7

Die Routing Tabelle auf der OPNsense: Die 77.* und 185.* Routen wurden manuell eingefügt und zeigen auf 192.168.2.154
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            192.168.2.1        UGS        igb1
77.76.214.0/23     192.168.2.154      UGS        igb1
127.0.0.1          link#6             UH          lo0
185.47.125.0/24    192.168.2.154      UGS        igb1
185.47.126.0/24    192.168.2.154      UGS        igb1
185.47.127.0/24    192.168.2.154      UGS        igb1
192.168.2.0/24     link#2             U          igb1
192.168.2.1        link#2             UHS        igb1
192.168.2.2        link#2             UHS         lo0
192.168.2.154      link#2             UHS        igb1

Traceroute von der Firewall aus geht zum Default Gateway

traceroute -n 185.47.127.16
traceroute to 185.47.127.16 (185.47.127.16), 64 hops max, 40 byte packets
1  192.168.2.1  0.564 ms  0.188 ms  0.235 ms
2  62.155.247.112  5.239 ms  4.532 ms  4.923 ms
3  217.239.42.170  13.290 ms

Von einem Client im 192.168.140.0/24 Netzwerk aus geht's zur OPNSense und dann zum VPN Gateway:

tracert -d 185.47.127.16

Routenverfolgung zu 185.47.127.16 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  192.168.140.1
  2     1 ms     1 ms     1 ms  192.168.2.154
  3    16 ms    16 ms    16 ms  213.214.12.123
  4    17 ms    15 ms    15 ms  185.47.127.16


Was übersehe ich?

Probiers mal mit der Source-Adresse von deinem LAN ..

Geht auch in die falsche Richtung

traceroute -n -s 192.168.140.1 185.47.127.16
traceroute to 185.47.127.16 (185.47.127.16) from 192.168.140.1, 64 hops max, 40 byte packets
1  192.168.2.1  0.645 ms  0.189 ms  0.243 ms
2  62.155.247.112  5.599 ms  5.242 ms  5.431 ms
3  217.239.42.133  13.995 ms


Beginnt das VPN auf der Sense? Ist die Tunnel-IP der Sense mit im zugelassenen Bereich für den Tunnel?

Nein. Das WAN der OPNsense ist über einen Switch mit dem Router des ISP verbunden und mit einem VPN Gateway eines Vertragspartners, also 3 Geräte.

Wie gesagt: Ich verstehe nicht, warum Kommunikation durch die OPNsense funktioniert, aber nicht von ihr. Es gibt doch bloß eine Routing-Tabelle, oder?

Ich habe die Lösung gefunden, aber daraus ergibt sich gleich wieder eine Frage.

Das Problem verschwindet, wenn man Firewall: Settings: Advanced: Disable force gateway aktiviert.

Zum Einen scheint mir da die Bezeichnung nicht optimal zu sein ("Disable forced gateway"), denn man will ja kein "force gateway" abschalten, sondern die Policy-Routing Regel, die die normale Routing Tabelle außer Karft setzt.

Gleich viel: Warum gibt es die automatische FW Regel überhaupt, dass der gesamte Traffic des WAN Interface (zB igb1) an ein Gateway geschickt wird?