OPNsense Forum

International Forums => German - Deutsch => Topic started by: jandoe123 on January 04, 2018, 12:04:11 pm

Title: [Solved] Routing von LAN zu VLAN klappt nicht
Post by: jandoe123 on January 04, 2018, 12:04:11 pm

Versions   OPNsense 17.7.11-amd64
FreeBSD 11.0-RELEASE-p17
OpenSSL 1.0.2n 7 Dec 2017

Hi Leute. Ich hoffe mir kann jemand weiterhelfen.
Ich nutze eine Deciso Appliance A10 mit 4 Netzwerkports:
Port 1: LAN > 192.168.66.1
Port 2:  WAN > 192.168.2.101 > Telekom Router Netzwerk
Port 3: OPT > VLANS > 192.168.24.3 (untagged)
Port 3.Vlan30 OPTX 192.168.30.1 > Video Netzwerk
Port 4: Nicht genutzt

Mein PC verwendet die LAN-Adresse 192.168.66.1 als default Gateway
Ich möchte meinem PC Zugriff auf die Weboberfläche des Routers (WAN IP 192.168.2.1) geben, dazu erstelle ich folgende Firewall Regel für LAN:
IPv4 *   192.168.66.X   *   192.168.2.1   *   *      Speedportzugang für mich

Das klappt problemlos, ich habe von meinem PC direkt Zugriff auf http://192.168.2.1

Nun möchte ich auch den Zugriff auf den Switch unter 192.168.24.238 und auf die Video-Kamera unter 192.168.30.140 erlauben, also:
IPv4 *   192.168.66.5   *   192.168.24.238   *   *      Switch Management
IPv4 *   192.168.66.5   *   192.168.30.140   *   *      VIDEO-Kamera Zugang für mich

Die beiden Adressen 192.168.24.238 und 192.168.30.140 kann ich über Opnsense problemlos anpingen. Von meinem PC bekomme ich allerdings keine Verbindung. Woran kann das liegen?

Gruß Jan

Title: Re: Routing von LAN zu VLAN klappt nicht
Post by: Wayne Train on January 04, 2018, 03:55:52 pm

Moin,
in welchem VLAN liegt denn das Management Interface des Switches ?
Warum taggst du das VLAN nicht ? Du beabsichtigst doch eine logische Trennung der Netzsegmente, oder ?
"untagged" bedeutet, dass das Paket ingress untagged ankommt. Es kommt aber tagged aus deinem Switch und somit
auch tagged an der OPN an, wenn es vorher nicht von einem anderen, oder dem gleichen Switch an einem anderen Port wieder entfernt wurde. Es kommt dabei stark darauf an, wie man was konkret umsetzen möchte.
Drück doch testweise mal eine ANY to ANY rule in deine LAN-Zone.
MFG
Wayne

Title: Re: Routing von LAN zu VLAN klappt nicht
Post by: jandoe123 on January 04, 2018, 04:47:21 pm

Hi. Das Switch MGT liegt im Vlan24 und ist sowohl am Switchport, als auch auf Opnsense untagged. Vlan30 (Video) ist an beiden Enden getagged. Die beiden Netze sind daher logisch getrennt. Nun möchte ich mit Hilfe der Firewall eine Ausnahme definieren damit ich aus dem LAN auf eine Adresse im VLAN Zugriff bekomme. ANY to ANY auf LAN habe ich gerade mal an die erste Stelle gesetzt und getestet. Ich komme dennoch nicht auf die gewünschte Adresse. Es scheint als würde das Routing zu dem Interface generell nicht funktionieren. OPNsense kann die Adressen aber intern erreichen.
Danke für deine Zeit!
Gruß Jan

Title: Re: [Solved] Routing von LAN zu VLAN klappt nicht
Post by: jandoe123 on January 08, 2018, 11:16:44 am

Lösung gefunden: Ich musste eine manuelle NAT-Regel für das OPT-Interface anlegen weil ansonsten zwar das Ziel erreicht werden konnte (z.B. via ICMP), aber das ICMP echo reply nicht zurück zum Absender gesendet werden konnte.