Hallo,
ich habe ein kleines Problem. In unserer WG teilen wir und zwei Internetanschlüsse in einem gemeinsamen Netzwerk (192.168.178.0/24).
Damit ich mit meinen Computern nicht im gleichen Netz hänge, habe ich auf dem Fritzboxen des Internetanschlusses eine statische Route für mein Netzwerk eingerichtet (10.0.0.0/16 via 192.168.178.10). Meine OPNSense hat dann 3 Interfaces:
- WAN: 192.168.178.10 (Gateways: 192.168.178.1,192.168.178.254)
- LAN: 10.0.1.1/24
- WLAN: 10.0.2.1/24
Dies funktioniert auch wie erwartet.
Jetzt wollte ich ein weiteres Netzwerk "hinter" meinem LAN anschliessen.
Testnetz: 10.0.3.0/24
Testnetz-Gateway: 10.0.1.3
Wenn ich NAT für das Testnetz verwende funktioniert es.
Allerdings wollte ich kein NAT. Das einrichten einer Route auf meiner OPNSense funktioniert jedoch nicht wie erwartet.
Ich wollte eine statische Route auf meinem OPNSense einrichten.
System / Gateway / Configuration:
- Name: testnetz
- Interface: LAN
- Adressfamily: IPv4
- IP-Address: 10.0.1.3
- Disable Gateway Monitoring: aktiviert
):
- Network Address: 10.0.3.0/24
- Gateway: 'testnetz - 10.0.1.3'
Mein Problem:
Zuerst war der Gateway-Eintrag nicht verfügbar (unter System/Routes/Configuration). (ich habe es dann temporär als 'Upstream Gateway' deklariert - diese Option dann wieder entfernt, nach dem ich das Gateway der Route hinzugefügt hatte)
Erst als ich Firewall-Regeln hinzugefügt hatte, dass ich vom LAN auf das 'Testnetz' zugreifen darf, funktionierten die Verbindungen.
Leider bin ich nicht in der Lage von meinem WLAN auf das 'Testnetz' zuzugreifen. Ich habe mittlerweile auch mal alles auf WLAN erlaubt (von Any to Any auf dem WLAN-Device in der Firewall (Firewall/Rules/WLAN).
Vielen Dank für eure Mühen
Hallo!
Quote from: tonytonne on June 02, 2025, 02:22:45 PMErst als ich Firewall-Regeln hinzugefügt hatte, dass ich vom LAN auf das 'Testnetz' zugreifen darf, funktionierten die Verbindungen.
Das sollte eigentlich gar nicht über die OPNsense laufen. Ohne NAT würde das zu asymmetrischem Routing führen. Daher ist die Regel nötig.
Der richtige Weg wäre direkt über das Testnetz-Gateway.
Quote from: tonytonne on June 02, 2025, 02:22:45 PMLeider bin ich nicht in der Lage von meinem WLAN auf das 'Testnetz' zuzugreifen.
Wenn
- OPNsense das Default Gateway im WLAN ist,
- das Testnetz-Gateway (interne IP) das Default Gateway am Zielgerät im Testnetz ist,
- die Netzwerkkonfiguration von Quell- und -Zielgerät und den beiden Gateways korrekt ist (Gateways, Subnetzmaske) und
- die Firewall Regeln auf OPNsense am WLAN, am Testnetz-Gateway am LAN und am Zielgerät es erlauben
sollte es eigentlich funktionieren.
Ansonsten kannst du den Traffic sniffen, um dem Problem auf den Grund zu gehen.
Grüße
Hallo und danke für Deine schnelle Antwort =)
Quote from: viragomann on June 02, 2025, 06:26:11 PMDas sollte eigentlich gar nicht über die OPNsense laufen. Ohne NAT würde das zu asymmetrischem Routing führen. Daher ist die Regel nötig.
Der richtige Weg wäre direkt über das Testnetz-Gateway.
Für die Geräte im LAN muss es doch über die OPNSense laufen, die kennen ja nur das "default"-Gateway 10.0.1.1. Daher sollte dann die OPNSense die Packete weiterrouten über 10.0.1.3 in das Testnetz 10.0.3.0/24 ? Sonst müsste ich ja quasi jedem Gerät im LAN eine explizite Route nach 10.0.3.0/24 über 10.0.1.3 einrichten.
Für das WLAN sind die aufgeführten Punkte erfüllt
- die OPNSense ist mit 10.0.2.1 das Default-Gateway aller Geräte in diesem Netz
- das Zielgerät im Testnetz hat die 10.0.3.1 als Gateway (was die Testnetz-interne IP des Testnetz-Gateways ist)
- die Firewall regel habe ich jetzt auf Pass Any to Any gesetzt.
Ich werde jetzt mal mit tcpdump mein Glück versuchen. Gute Idee, Danke
Quote from: tonytonne on June 02, 2025, 07:50:42 PMFür die Geräte im LAN muss es doch über die OPNSense laufen, die kennen ja nur das "default"-Gateway 10.0.1.1. Daher sollte dann die OPNSense die Packete weiterrouten über 10.0.1.3 in das Testnetz 10.0.3.0/24 ? Sonst müsste ich ja quasi jedem Gerät im LAN eine explizite Route nach 10.0.3.0/24 über 10.0.1.3 einrichten.
Das ist richtig. Im Regelfall wird die OPNsense dem Gerät nach dem ersten Paket ein ICMP Redirect schicken und das Gerät das unter Umständen auch befolgen, d.h. weitere Pakete gehen dann direkt an den Gateway.
Für solche Setups gibt es in der OPNsense die Funktion
Firewall > Settings > Advanced > Static route filtering
Gruß
Patrick