OPNsense Forum
International Forums => German - Deutsch => Topic started by: tcrx on March 17, 2015, 07:30:53 pm
-
Guten Abend!
Am Wochenende habe ich eine Firewall mit opnSense aufgesetzt:
An dieser sind angeschlossen ...
... mein Notebook (LAN, static IPv4),
... ein Fileserver (OPT1, static IPv4),
... ein Kabelmodem (WAN, DHCP via Modem)
... und ein WLAN (WLAN, static IPv4) ist konfiguriert (aber
derzeit down).
Da der DHCP-Server auch keine IP's vergeben hat, während er auf LAN und OPT1 aktiviert war, habe ich ihn bei Beiden wieder deaktiviert und die IP's manuell auf den Clients vergeben.
WAN und WLAN sind mit mit vollem Firewalling versehen. Bei LAN sind die Default Rules für IPv4 und IPv6 vergeben - diese habe ich für OPT1 dupliziert und die Source von LANnet in OPT1net geändert.
Die Gateway ist als Default markiert und bei LAN und OPT1 eingestellt. Sowohl bei den Firewall-Regeln als auch den Einstellungen (inklusive Advanced) kann ich bei LAN und OPT1 keine Unterschiede feststellen.
Nun das Problem:
LAN hat Internetzugriff - OPT1 nicht.
Laut dem Filter werden von OPT1 Pakete verschickt - es kommt jedoch nichts zurück. Geblockt wird von pf auf diesem Interface nichts. Dementsprechend vermute ich, dass es hier kein Problem mit der Firewall vorliegt sondern mit der Gateway/NAT.
Die Gateway wurde von opn eingerichtet und von mir nicht verändert - das Subnet entspricht LAN / OPT1 (beide sind im gleichen IP-Adressbereich). Lediglich das Modem hat ein anderes Subnet (da eigenes DHCP), welches jedoch mit LAN problemlos funktioniert.
Nachdem ich in den Einstellungen keine Unterschiede zwischen LAN / OPT1 feststellen und die Gateway/NAT bei keiner Einstellung für LAN dediziert zu sein scheint, bin ich nun etwas ratlos und hoffe jemand kann meinen
Denkfehler offenlegen.
Grüße :)
tcrx
-
Hi,
welche Einstellungen sind unter Firewall - NAT ausgewählt?
Unter Umständen wird Opt1net nicht geroutet?
-
Hallo tcrx,
hab ich das richtig verstanden. LAN und OPT Netzwerk haben die gleiche Adresse?
Das macht keinen Sinn, resp. kann nicht funktionieren im Routing mode.
-
@jstrebel
Die IP's sind nicht identisch: 192.168.10.10 & 192.168.10.12
@ ristridin
Bei FIrewall-NAT sind die Outbound-Einstellungen auf Automatic eingestellt; die beiden von opn erzeugten Regeln lauten wie folgt ...
Beide Interface WAN
Beide Source 127.0.0.1/8, 192.168.10.0/24, 192.168.10.0/24
Beide SrcPort & Destination Punkt/aktiv
DestPort 500 (Regel 1) - DestPort Punkt/aktiv (Regel 2)
Beide NATAddr 192.168.0.11
Beide NAT Port Punkt/aktiv
Static Port YES (Regel 1) - Static Port NO (Regel 2)
-
@tcrx,
Ich sehe 2 mal die Netzadresse 192.168.10 ,oder verstehe ich was falsch?
Welche Adresse hat das LAN ?
Welche Adresse hat das Opt1 Interface?
-
@tcrx,
Ich sehe 2 mal die Netzadresse 192.168.10 ,oder verstehe ich was falsch?
Welche Adresse hat das LAN ?
Welche Adresse hat das Opt1 Interface?
LAN 192.168.10.10/24
OPT1 192.168.10.12/24
Er hatte allerdings auf beiden netzwerk-geräten dhcp server aufgesetzt, was imho keinen sinn macht.
Vielleicht versucht er einmal für das OPT1 interface eine Adresse aus einem anderen Bereich, wie
10.12.12.12/24
Für Subnetzwerke:
siehe http://www.trinler.net/de/service/tools/ipcalc.html (http://www.trinler.net/de/service/tools/ipcalc.html)
so wuerde es auch gehen
LAN 192.168.10.10/30
OPT1 192.168.10.12/30
.. dann braucht es hier aber auch kein dhcp mehr ;)
-
Im Sinne einer benutzerfreundlichen IP Konfiguration sollte die Doppelvergabe von Netzen oder deren Überschneidung verhindert werden ::)
-
Ich habe jetzt auf LAN und OPT1 zwei verschiedene /30 Subnetze eingerichtet, funktioniert :)
Danke für die Unterstützung