Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: SteffenDE on April 16, 2025, 01:29:32 PM

Title: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: SteffenDE on April 16, 2025, 01:29:32 PM
Hallo,

ich nutze schon viele Jahre z.B. die Sophos UTM und habe auch dort drei Interfaces an der FW:

LAN
WAN
Trunk (weitere interne Netze)

So habe ich es auch nun im Testaufbau an der OPNsense gemacht und es funktioniert auch der Ping asu dem LAN an das Gateway. Nutze ich aber nun eine Maschine in einem der VLAN's wird der Ping nicht von der OPNsense beantwortet.


Ich habe ein Interface definiert, was auf einem VLAN Device basiert, welches in diesem Fall mit dem Tag 2 versehen wird. Parent ist der physische Trunk.

Damit der Ping nun an das Gateway funktionmiert habe ich für das Interface eine Regel erstell die für die Quelle IP-Range in dem Netz ICMP an die definierte VLAN Adresse zulässt.

Wenn ich nun die OPNsense aus dem Netz anpinge sehe ich im Liveview der FW auch das die Regel genutzt wird und der Ping ankommt (Zeile ist grün). Allerdings bekommt die Maschine nie eine Antwort des Pings zurück und ich sehe auch keine Regel die dies verhindert. Andere Systeme von dieser Maschine kann ich problemlos erreichen, also die Quelle und das Netz funktioniert

Wo fehlt mir was oder wo habe ich einen Denk- bzw. Design-Fehler gegenüber z.B. der UTM?

Danke.
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: viragomann on April 16, 2025, 02:11:35 PM
Hallo,

welches Netzwerkschnittstelle ist das? Manche Hardware benötigt für VLAN bestimmte Treiber oder Einstellungen.

Auch eine falsche Netzwerkkonfiguration könnte die Ursache sein. Bspw. die Subnetzmaske auf dem OPNsense Interface. Wenn du diese bspw. versehentlich auf /32 gesetzt hast, schickt sie die Antworten zum Default Gateway.
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: SteffenDE on April 16, 2025, 03:35:57 PM
Vielen Dank, genau so wars und hatte ich eben parallel zu Deiner Nachricht nach zwei Tagen auch gefunden: Ich hatte bei der Interface Config die OPNsense IP für dieses VLAN eingetragen und die Maske Stand auf 32 - ist mir nicht aufgefallen und ich dachte auch erst, OK ist die Adresse der OPNsense, aber er muss natürlich auch wissen welches Netz sich dort befindet und nach Wechsel auf 24 klappt es auch mit dem Ping in dem Netz.

Lediglich für das Interface WAN klappt es noch nicht, hier ist es sicherlich was Anderes, da es eher unüblich ist. Ich habe die OPNsense hinter einem Router, also die WAN Schnittstelle hat ein privates Netz 172.16.0.251/24. Diese kann ich nicht anpingen, ich kann aber von der OPNsense Devices (z.B. den Router) in dem Netz anpingen.

Hast Du dazu auch noch eine Idee, dann hätte ich mal den ersten Schritt verstanden ;-)


Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: viragomann on April 16, 2025, 03:39:43 PM
Am WAN wird von Haus aus der Zugriff mit privater IP blockiert.

Wenn das doch gewünscht ist, musst du in die Interface Einstellungen gehen und bei "Block private networks" den Haken entfernen.
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: SteffenDE on April 16, 2025, 05:30:05 PM
Block private und bogon ist aus am WAN Interface, aber trotzdem kein Ping.
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: viragomann on April 16, 2025, 05:42:07 PM
Ist auch eine Regel definiert, die den Zugriff erlaubt?

Bin mir nicht sicher, ob ich das Problem richtig verstanden habe. Du möchtest aus dem WAN Subnetz 172.16.0.0/24 auf OPNsense zugreifen oder auf Geräte dahinter?
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: SteffenDE on April 17, 2025, 10:43:59 AM
Ich möchte aus dem WAN Bereich (ist bei mir das genannte Subnetz 172.16.0.0/24), die OPNsense anpingen. Nix dahinter, sondern nur die IP der OPNsense am WAN Interface.

Das Interface hat die 172.16.0.251/24 als Static IP.

Ich sehe auch hier im Live View, das die Regel genutzt wird, bekomme aber kein Response:
WAN      2025-04-17T10:42:27   172.16.0.248   172.16.0.251   icmp   Gateway ICMP

Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: Patrick M. Hausen on April 17, 2025, 11:37:48 AM
Guck mal nach "force gateway" und "disable reply-to" und mach beides aus.
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: SteffenDE on April 18, 2025, 11:38:29 AM
Hi Patrick,

vielen Dank. Also "Disable force gateway" war bereit nicht angehakt (da verstehe ich auch die Erläuterung, wenn enabled also force to use gateway ist aus nutzt er nicht per se das vorgelagerte Gateway, meinen Router). "Disable reply-to" war nicht enabled und sobald ich dort den Haken reinmache funktioniert auch der Ping. Allerdings kapier ich den Schalter nicht so ganz. Kannst Du mir mal sagen warum das in meiner Umgebung ausgeschaltet werden muss, da ich es so verstehe dass der Reply immer das gleiche Interface verlassen soll?

Danke.
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: Patrick M. Hausen on April 18, 2025, 12:05:35 PM
Reply-to, wenn aktiv, schickt die Antwortpakete nicht zur Quelle sondern zum Gateway des entsprechenden Interfaces. Das ist bei einem Punkt-zu-Punkt Interface sinnvoll, also z.B. einem PPPoE Uplink. Und es wird gebraucht, wenn man mehr als ein WAN hat. Deshalb ist der Default wie er ist.

In einem Lab o.ä. wenn WAN ein Ethernet mit evtl. vielen Hosts ist, und man da Zeug von außen testen will, ist es halt blöd, alles an den Router zu schicken 🙂

Deshalb dann "Disable reply-to" an.
Title: Re: Ping aus weiteren Netzen (VLAN) wird nicht beantwortet
Post by: SteffenDE on April 18, 2025, 12:07:36 PM
OK, super vielen Dank. Bisschen was gelernt ;-)
Text only | Text with Images