OPNsense Forum

Hallo zusammen,

ich habe ein Problem mit den Verbindungen zwischen zwei opnSense Firewalls (FW01 und FW02) nach einem Update, das ich vor ein bis zwei Monaten durchgeführt habe. Vor dem Update funktionierte alles einwandfrei, aber nach den letzten Updates kann keine Verbindung mehr zwischen den beiden Firewalls hergestellt werden. Hier sind die Details:
Netzwerkaufbau:

    Öffentliches IP-Subnetz: 200.X.X.X/29
    OPNsense 24.7.10_1-amd64 FW01:
        WAN IP: 200.X.X.11/29
    OPNsense 24.7.10_1-amd64 FW02:
        WAN IP: 200.X.X.12/29
    Gerät FW03 (andere FW nicht opnSense):
        IP: 200.X.X.13/29

Was funktioniert:

    Verbindungen aus dem Internet auf FW01, FW02 und FW03 sind möglich.
    Verbindungen von FW01 und FW02 zu FW03 funktionieren ohne Probleme.

Was nicht funktioniert:

    Verbindungen zwischen FW01 und FW02 (beide im selben Subnetz) funktionieren nicht.
        Die Verbindung von FW01 zu FW02 wird nicht aufgebaut.
        Die Verbindung von FW02 zu FW01 wird ebenfalls nicht aufgebaut.

Details zum Problem:

    Vor etwa ein bis zwei Monaten funktionierte alles noch einwandfrei, aber nach den letzten opnSense-Updates (konnte das genaue Update-Datum nicht mehr nachvollziehen) sind die Verbindungen zwischen FW01 und FW02 nicht mehr möglich.
    Beide Firewalls sind direkt im gleichen Subnetz (200.X.X.0/29) mit öffentlichen IP-Adressen verbunden.

Bisherige Troubleshooting-Maßnahmen:

    Ich habe die Firewall-Logs überprüft, aber konnte keine offensichtlichen Blockierungen oder Fehler finden.
    Der ping-Test zwischen FW01 und FW02 zeigt keine Antwort.
    NAT oder Portweiterleitungen sind in diesem Setup nicht erforderlich, da beide Firewalls direkt in das öffentliche Subnetz eingebunden sind.
    Ich habe die Konfigurationen auf beiden Firewalls überprüft, insbesondere die Firewall-Regeln, aber keine Unterschiede oder Fehlkonfigurationen gefunden, die das Problem verursachen könnten.

Frage:

Hat jemand ähnliche Probleme nach einem Update von opnSense gehabt? Gibt es spezielle Einstellungen oder Änderungen, die nach einem Update beachtet werden müssen? Oder könnte es sich um ein Problem mit den Routing-Tabellen oder einer anderen Konfiguration handeln, die sich nach dem Update geändert hat?

Ich freue mich über jede Hilfe oder Hinweise!

Vielen Dank im Voraus!

Hab ich das überlesen? Um was für "Verbindungen" geht es denn überhaupt? Natürlich musst du eingehend auf dem jeweiligen WAN zulassen, was da "verbunden" werden soll - WireGuard, OpenVPN, IPsec, whatever ... das schreibst du ja nicht.

Quote from: G-XVI on December 03, 2024, 08:02:51 PM
Was nicht funktioniert:

    Verbindungen zwischen FW01 und FW02 (beide im selben Subnetz) funktionieren nicht.
        Die Verbindung von FW01 zu FW02 wird nicht aufgebaut.
        Die Verbindung von FW02 zu FW01 wird ebenfalls nicht aufgebaut.

Hallo,

du meinst direkt von FW1 bspw. ein Ping auf FW2 WAN IP geht nicht, obwohl es die Regeln erlauben?

Wie sind die WANs der Geräte miteinander verbunden? Hängen die an einem Switch, oder müssen die über ein externes Gerät kommunizieren.

Ist die WAN Subnetzmaske auf beiden korrekt?

Findest sich die IP der anderen FW in der ARP Tabelle nach dem Versuch, sie zu pingen?

Quote from: Patrick M. Hausen on December 03, 2024, 08:13:04 PM
Hab ich das überlesen? Im was für "Verbindungen" geht es denn überhaupt? Natürlich musst du eingehend auf dem jeweiligen WAN zulassen, was da "verbunden" werden soll - WireGuard, OpenVPN, IPsec, whatever ... das schreibst du ja nicht.

Hallo Patrick
Besten Dank für Deine rasche Antwort.

Es ist egal welchen Port oder Protokoll ich teste. Alles blockiert sich zwischen den beiden opnSense.
Natürlich habe ich Firewall-Regeln hinzugefügt. Deshalb komme ich von anderen öffentlichen IPs ohne Probleme auf die Firewall.

Wenn ich z.B. einen Ping von FW01 zu FW02 mache, dann sehe ich unter FIREWALL: PROTOKOLLDATEIEN: LIVEANSICHT dass die Regel erfolgreich erlaubt wird. Aber der Ping gibt keine Rückmeldung.

Guck mal nach Firewall > Settings > Advanced > Miscellaneous > Disable reply-to.

Quote
Hallo,

Hallo,
Besten Dank für Deine Antwort.

Quote
du meinst direkt von FW1 bspw. ein Ping auf FW2 WAN IP geht nicht, obwohl es die Regeln erlauben?

Ja, korrekt.
Ich sehe es auch in der Liveansicht, dass eine Anfrage ankommt und erlaubt wird.

Quote
Wie sind die WANs der Geräte miteinander verbunden? Hängen die an einem Switch, oder müssen die über ein externes Gerät kommunizieren.

Alle drei Geräte sind über einen Switch direkt verbunden.
Einen Fehler kann ich dort ausschliessen, da es mit der FW03 ohne Probleme funktioniert.

Quote
Ist die WAN Subnetzmaske auf beiden korrekt?

Die WAN Subnetzmaske ist auf allen Geräten mit /29 eingestellt.

Quote
Findest sich die IP der anderen FW in der ARP Tabelle nach dem Versuch, sie zu pingen?

Ja, ich finde das Gerät mit korrekter MAC und IP in der ARP Tabelle

Quote from: Patrick M. Hausen on December 03, 2024, 08:33:18 PM
Guck mal nach Firewall > Settings > Advanced > Miscellaneous > Disable reply-to.

Muss ich die Firewall nach dieser Änderung neu starten?

Die States löschen sollte reichen.

Quote from: Patrick M. Hausen on December 03, 2024, 08:33:18 PM
Guck mal nach Firewall > Settings > Advanced > Miscellaneous > Disable reply-to.

Du bist mein Held!
Es funktioniert wieder!   :D :D :D

Besten Dank für eure tolle Hilfe!  :)