Bonjour à tous,
Je rencontre un comportement que je n'arrive pas à expliquer sur OPNsense et j'aimerais votre avis.
Contexte / architecture:
J'ai un plan d'adressage particulier : un seul 172.16.5.0/24 découpé en sous-réseaux VLSM, un par VLAN. Par exemple :
- VLAN IoT : 172.16.5.0/27
- VLAN Serveurs : 172.16.5.128/28
Home Assistant est sur le VLAN Serveurs (172.16.5.134) et pilote en local une ampoule sur le VLAN IoT (172.16.5.5, port 80).
Le problème:
Dans Firewall > Diagnostics > États, je vois cet état :
172.16.5.134:xxxxx > 172.16.5.5:80 ESTABLISHED Règle : ACCESS_TO_BORNE_WIFI
Or la règle ACCESS_TO_BORNE_WIFI a une source 172.16.5.132 et une destination 172.16.5.162 port dest 443 etc (via un alias). Elle ne devrait donc pas matcher un flux 172.16.5.134 > 172.16.5.5. La source et la destination ne correspondent pas du tout.
J'ai bien une règle dédiée ALLOW_HA_ACCESS_TO_AMPOULE prévue pour ce flux, mais l'état est étiqueté avec ACCESS_TO_BORNE_WIFI à la place.
Ce que j'ai déjà vérifié
- La règle ACCESS_TO_BORNE_WIFI a bien source/destination corrects (.132/.162), l'option quick est activée.
- L'alias utilisé pour le port est de type Port (il contient notamment le port 80), donc il n'apparaît pas dans Diagnostics → Alias.
- Les alias d'adresse visibles dans Diagnostics → Alias sont bien de type Hôte/Réseau et ne semblent pas contenir .134 ni .5.
- Le flux HA > ampoule fonctionne (état ESTABLISHED), donc le trafic passe, c'est juste l'étiquette de règle qui m'interpelle.
Mes questions:
- Est-il possible qu'un état conserve l'étiquette de la règle qui l'a créé initialement, même après modification de mes règles ? (J'ai récemment ajouté/modifié plusieurs règles, dont ALLOW_HA_ACCESS_TO_AMPOULE.)
- Si oui, est-ce que flusher l'état et laisser la connexion se rétablir devrait ré-étiqueter le nouvel état avec la bonne règle ?
Ce que j'ai observé après flush:
J'ai flushé l'état concerné et laissé la connexion HA > ampoule se rétablir.Le nouvel état réapparaît sous ACCESS_TO_BORNE_WIFI.
Ma question porte donc sur le fait que le mauvais label persiste même sur une connexion neuve
- Y a-t-il un cas où l'affichage de la règle dans la table d'états peut être trompeur (label figé, réévaluation, etc.) ?
Merci d'avance pour votre aide.
Versions
OPNsense 26.1.10-amd64
FreeBSD 14.3-RELEASE-p15
OpenSSL 3.0.21