OPNsense Forum

International Forums => German - Deutsch => Topic started by: senselevel0 on August 11, 2019, 02:24:37 pm

Title: Firewall Regeln verständnis
Post by: senselevel0 on August 11, 2019, 02:24:37 pm

 Hallo ich teste gerade opnsense aus und möchte mehr über das Produkt lernen.


Aufbau :

                               
   Fritzbox 192.168.178.1     Lan Netz 192.168.178.0/24
              |
              |
              |
          wan 192.168.178.11
             Opnsense    LAN  ---------------------------------> 10.28.0.0/24


 wenn ich jetzt von einem client PC im 192 Netz auf die clients oder Firewall einen icmp request abgebe kommt nur die wan schnittstelle zurück. Im tcpdump sehe das der request ankommt und auch ein reply angeblich stattfindet.

Meine Firewall rules:

WAN :

IPv4 ICMP    *    *    *    *    *    *    WAN_ICMP


LAN

IPv4 ICMP    *    *    *    *    *    *    LAN_ICMP_INTERFACE    
IPv4 *    LAN Netzwerk    *    *    *    *    *    Default allow LAN to any rule   

tcpdump:

IP 192.168.178.20 > OPNSENSE01.localdomain: ICMP echo request, id 1, seq 15, length 40
14:23:52.536440 IP OPNSENSE01.localdomain > 192.168.178.20: ICMP echo reply, id 1, seq 15, length 40


 Wenn ich bei den fließenden Rules es erlaube funktioniert es, also denke ich das ich bei den Firewall Rules etwas falsch mache.

Woran könnte es liegen?
 

Title: Re: Firewall Regeln verständnis
Post by: Mks on August 11, 2019, 09:15:03 pm

Hi, die korrekte Rule um von 192.168.178.0/24 (WAN net) in dein 10.28.0.0/24 Netz (LAN net) ICMP zu erlauben wäre:

Interface WAN:
Protocoll IPv4 ICMP | Source * | Port * | Destination LAN net //

Dann kannst du aber nur vom WAN net in dein LAN net pingen

fg

Title: Re: Firewall Regeln verständnis
Post by: senselevel0 on August 11, 2019, 09:24:26 pm

Hallo MKs,

danke für deine Antwort. Ich habe die Regel so angepasst.

Im Liveviewer sehe ich auch das die Regel greift aber trotzdem kommt der icmp request nicht zurück.

>      wan      Aug 11 21:23:10   192.168.178.20   10.28.0.50   icmp   WAN_ICMP
<       lan      Aug 11 21:23:10   192.168.178.20   10.28.0.50   icmp   let out anything from firewall host itself

soll ich die sense noch einmal zurück setzten?
       

Title: Re: Firewall Regeln verständnis
Post by: Mks on August 11, 2019, 09:29:36 pm

Hi, eventuell eine Host Firewall aktiviert?

Title: Re: Firewall Regeln verständnis
Post by: senselevel0 on August 11, 2019, 09:35:27 pm

habe ich gerade geprüft.

wenn ich die gleiche regel als floating mache funktioniert es ohne etwas zu ändern.

ich kann es mir einfach nicht mehr erklären.

Title: Re: Firewall Regeln verständnis
Post by: senselevel0 on September 01, 2019, 08:59:33 pm

Abend! ich bin etwas am verzweifeln und habe die sense auch schon 2x neu aufgesetzt. ich habe einen exsi host, in dem die opnsense die vms anbindet. Leider schaffe ich es nicht das ein ping (icmp) vom lan zurück kommt. wenn ich die icmp rule aber als floating setzte geht es. im tcpdump sehe ich auch das es einen icmp reply gibt. mittlweiele weiß ich aber nicht mehr woran ich ansetzten soll.
hat irgendjemand eine idee ?

 opnsene (passtrough nic) wan --------------------------------------->                       Fritzbox
  192.168.178.11/24                                                                                            192.168.178.1
                           

 Opnsense LAN 192.168.0.5/24  ------------------------------------------>                 VMs 192.168.0.0/24

 tcpdump ohne floating rule:

  echo reqest und echo reply werden angezeigt aber beim ping command wird eine zeitüberschreitung angegeben.

wenn ich die floating rule setzte dann werden wieder echo request und reply angezeigt und der ping kommt an ohne das ich etwas ändere.

hat noch jemand eine Idee was ich falsch machen könnte bzw woran es liegen kann?