Hallo,
vor ein paar Tagen habe ich das Update auf OPNsense 25.1.8 durchgeführt. Seid dem werden meine Firewall-Regeln scheinbar teilweise ignoriert.
Ich habe folgende WAN-Regel angelegt:
WAN-Rergel.jpg
Trotzdem wird der Verkehr im Logfile über "Default deny / state violation rule" geblockt:
Logfile.jpg
Das Alias "Diskstation" sieht so aus und ist auch korrekt:
Alias.jpg
Die Regel habe ich bereits vor Monaten angelegt und bis zum Update auf 25.1.8 hat sie immer problemlos funktioniert. Das Verhalten habe ich auch noch bei anderen WAN-Regeln.
Hat jemand eine Ahnung woran das liegen kann oder ist beim Update evtl. etwas schief gelaufen? Ein Backup habe ich schon erfolglos neu eingepielt.
Vielen Dank.
Klick mal auf das (i) bei einem der Log-Einträge und poste den Inhalt.
Der Inhalt sieht so aus:
Detailinfo.jpg
Nur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?
Ist auf dem WAN-Interface ein Block Private Networks gesetzt? Sind NAT-Regeln aktiv? Netzmasken und Gateways richtig gesetzt?
Quote from: meyergru on June 16, 2025, 09:37:49 PMIst auf dem WAN-Interface ein Block Private Networks gesetzt?
Wenn das die Ursache wäre, würde eine andere Regel greifen.
Quote from: Patrick M. Hausen on June 16, 2025, 09:31:58 PMNur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?
Nein das hat er nicht. Läuft alles über die OPNsense und wie gesagt es lief ja seid Monaten alles stabil bis ich 25.1.8 eingespielt habe. Außer einspielen des Updates wurde auch nichts verändert. Die Probleme haben auch unmittelbar nach dem Update angefangen.
Jetzt hab ich in der OPNsense erst mal die SSD getauscht und mein CloneZilla-Backup der Version 24.7.12 auf die neue SSD wieder eingespielt. Damit läuft im Moment wieder alles.
Jetzt würde ich das System gerne wieder aktualisieren, aber erst mal nur auf Version 25.1.7. Soweit ich weiß müsste das über die Konsole doch möglich sein? Über die GUI bietet OPNsense ja immer die neuste an. Gibt es eine Beschreibung wie ich die Version in der Konsole selbst wählen kann?
Quote from: Patrick M. Hausen on June 16, 2025, 09:31:58 PMNur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?
Ich mag mich täuschen, aber das Paket stimmt mich auf asymmetrischen Traffic. Da ist NUR ein Ack. Kein SYN. Die Firewall filtert aber per default nur SYNs und packt sie dann in die State Table. Wenn da Pakete abgelehnt werden, die NUR Ack sind, dann gabs entweder kein Syn oder über ein anderes Interface und der State passt nicht. Das sieht für mich nach Dreieck Routing aus. Da ich die Changelogs nicht auswendig im Kopf habe: gabs diesbezüglich eine Änderung beim State Tracking o.ä.?
Wie gesagt nach dem Einspielen von 24.7.12 läuft alles wieder wie gewohnt. Ich kann mich auch nicht erinnern in den letzten 3 Monaten an der Konfiguration etwas geändert zu haben und der Fehler trat ja unmittelbar nach dem Update auf. Unmittelbar davor habe ich definitiv nichts geändert.
Allerdings habe ich mit der 24.7.12 jetzt ein anderes Thema. Es wird mir keine höhere Version zum Update mehr angeboten. Im Änderungsprotokoll sind zwar alle Versionen bis 25.1.8 aufgeführt aber als Update bietet er mir nur das Paket libinotify an, und das als Endlosschleife.