OPNsense Forum
International Forums => German - Deutsch => Topic started by: Unwissender on May 15, 2017, 09:12:46 am
-
Hallo,
ich möchte OPNSense auch aus anderen lokalen Subnetzen am LAN-Interface erreichbar machen.
Ich habe unter Routen und Gateway alle notwendigen Parameter eingetragen. Trotzdem geht es nicht.
Ich kann vom Server aus den Client anpingen. Vom Client aus den OPNSense-Server aber nicht. Andere Rechner kann ich anpingen. Das Routing müsste demnach funktionieren.
Beim Tracert geht der Client noch zu seinem Standardgateway. Weiter nicht.
Müssen andere Subnetze noch erlaubt/freigeschaltet werden?
-
Kannst du den Weg vom Ping mal mit Quell- und Zieladressen, Subnetzmasken und Interfacenamen nennen?
-
OPNSense 10.68.3.105/16 gw 10.68.0.1 (LAN-Interface)
Client 10.69.130.20/24 gw 10.69.130.1
ping vom Server auf 10.69.130.20 geht.
ping vom Client auf 10.68.3.105 geht nicht.(auf 10.68.3.100 zB. geht)
tracert geht auf 10.69.130.1, dann ist Schluß
-
Dann hat der Server mit der 105 die Windowsfirewall aktiv und erlaubt nur Pings vom lokalen LAN aus.
Ausschalten und noch mal testen bitte ...
-
Die 105 ist der/die OPNSense Server/Firewall.
Läuft auf Linux hat wahrscheinlich keine Windows-Firewall ;)
Darum ja meine Frage: Muss man auf dem OPNsense noch irgendwelche Sub-Netze frei geben, damit er aus diesen erreichbar ist?
-
BSD, kein Linux.
Also wenn du auf dem Interface inbound lokales Netz frei gibst muss das funktionieren.
-
Wie und wo gebe ich das Netz frei?
-
Firewall -> Rules -> Tab vom IF -> + -> Protocol ICMP, Source "IF Net", Destination "This Firewall" -> Save -> Apply
-
Goldene Regel:
LAN hat per DEFAULT eine Firewall-Regel, die ALLES zulässt, die folgenden Interfaces (OPT1, OPT2 etc.) haben erstmal GAR KEINE Regeln (alles verboten) und brauchen Regeln, um irgenwohin zu kommen :-)
-
Ich habe nur eine RED-Green Konfiguration.
Ein WAN-Interface und ein LAN-Interface. Befindet sich ein Client im gleichen Subnetz(10.68.0.0) wie das LAN-Interface, kann ich das LAN-Interface anpingen. Befindet sich der Client in einem anderen Subnetz (zB. 10.69.130.0) geht es nicht. Wobei die Netze mit einem einfachen Router verbunden sind.
Der Weg wäre also Client (10.69.130.20) über Router (10.69.130.1) zu OPNenser LAN-Interface (10.68.3.105).
Das WAN-Interface wird in diesem Zusammenhang noch gar nicht genutzt.
Hier nochmal ein Trace des OPNsense-Rechners:
11:47:53.676073 IP 10.69.130.20 > 10.68.3.105: ICMP echo request, id 1, seq 1676, length 40
11:47:55.490275 IP 10.69.130.20.49846 > 10.68.3.105.3128: tcp 0
11:47:55.751094 IP 10.69.130.20.49847 > 10.68.3.105.3128: tcp 0
11:47:58.496363 IP 10.69.130.20.49846 > 10.68.3.105.3128: tcp 0
11:47:58.683615 IP 10.69.130.20 > 10.68.3.105: ICMP echo request, id 1, seq 1677, length 40
11:47:58.808414 IP 10.69.130.20.49847 > 10.68.3.105.3128: tcp 0
Der Datenverkehr (Ping,Proxyanfrage) kommt am LAN-Interface an. Wird aber scheinbar wohl nicht beantwortet bzw. ignoriert.
-
Ich habe jetzt unter System -> Gateway und Routes die entsprechenden Daten nochmal eingegeben.
Jetzt funktioniert.
Ich hatte es heute morgen schonmal konfiguriert, da es nicht half habe ich die Eintraäge wieder deaktiviert.
Jetzt nach dem erneuten Aktivieren geht es plötzlich.
Merkwürdig.