OPNsense Forum
International Forums => German - Deutsch => Topic started by: Unwissender on May 20, 2017, 11:28:33 pm
-
Mein OPNsense routet nicht.
Ich kann vom LAN aus das WAN-Interface anpingen. Allerdings kann ich vom LAN aus nicht das WAN-Gateway oder auch andere IP-Adressen im WAN anpingen.
Muss man hierfür noch ähnlich wie beim Proxy einen Service aktivieren?
Meine Smoothwall routet per default:
Die Firewall ist meinem Verständnis nach deaktiviert:
The firewall has globally been disabled and configured rules are currently not enforced. It can be enabled in the Firewall/NAT settings.
-
Hey hey,
ich denke daran hast du sicher eh schon gedacht, aber nur um das klar zu stellen.
Unter Interface > [WAN] > Option: IPv4 Upstream Gateway : ????
Ist dort dein WAN Gateway (zum Internet) eingetragen?
Anders gesagt, hast du ein Default Gateway festgelegt?
ICMP Firewallfreischaltung geschrieben?
Schöne Grüße
Oxy
-
Wieso schaltest du die Firewall komplett ab? Die default rules für LAN reichen auf jeden Fall.
Wäre schön wenn du die wieder aktivierst, schaust ob bei NAT Outbound noch automatic aktiv ist, dann auf Interfaces -> Diagnostics -> Packet Capture; Interface auf WAN stellen, dann unten auf Start, von intern nach extern pingen, den Capture wieder stoppen, auf View und schauen ob die Pakete das Interface verlassen (am besten hier posten)
-
Die Firewall war nach der Installtion nicht eingeschaltet. Ich benötige die Funktion auch nicht und habe sie ausgeschaltet gelassen auch um Fehler auszuschliessen.
Als IPv4 Upstream Gateway habe ich das WAN-GW eingetragen. Zusätzlich habe ich 2 Gateway unter System- Gateway angelegt. Einmal das WAN-GW und das LAN-GW. Routen brauche ich an dieser Stelle ja noch nicht anzugeben, da die FW ja mit beiden Netzen direkt verbunden ist.
Client----Switch----LAN-OPNsense-WAN----Switch----WANGW
----Client im WAN
Vom Client zum WAN-Interface kann ich pingen, zum WANGW und zum Client im WAN nicht.
Von der Kommandezeile der FW kann ich alle angrenzenden Ziele erreichen.
-
Das ist so gewollt - im WAN ist nur der Gateway erreichbar - die Firewall erzwingt dass alles an den Gateway gesendet wird (Wegen der Multi-WAN-Funktionialität). Da kann man irgendwo einen Haken setzen/entfernen damit man das ändern kann. Heißt irgendas mit "reply-to". Wenn dein Host hinter dem WANGW wäre, würde es übrigens auch gehen.
-
Das Gateway ist eben NICHT vom LAN-Client aus erreichbar (per ping)
Nur die IP des WAN-Interface ist ansprechbar.
Was muss ich tun, damit ein Ping oder auch anderer Netzwerktraffic zum WAN-GW durchgeht?
Kann man irgendwo auf der Kommandozeile das Routing aktivieren?
-
Bitte mach einfach nen Dauerping vom Client aufs WAN Gateway und dann Packet Capture auf das WAN Interface.
Das siehst du ob die Pakete raus gehen, und wenn ja, ob sie genattet werden oder nicht. Je nachdem weisst du dann worans liegt. Und wenn du nix siehst schau in die Filterlogs ...
-
Würde zusätzlich zum Hinweis vom Mimugmail zusätzlich in den Firewallregeln und in den standardmäßigen block regeln logging aufdrehen.
-
Ich habe jetzt unter Firewall - Settings - Advanced den Haken bei Disable all Paket-Filtering herausgenommen.
Nun geht es. Kann das die Ursache sein?
Kann es aber auch sein, dass die Einstellungen, welche ich auch noch probiert habe, erst verzögert wirken und es eigentlich eine ganz andere Einstellung war?
-
Gibt es Firewall-Regeln mit Gateway? Diese Hebeln die Standard-Routen natürlich aus.
Grüsse
Franco
-
Unter System - Routes habe ich weitergehende Netze vermerkt, damit OPNsense weiß über welches Interface, welches Netz zu erreichen ist.
Aber zu seinem direkt mit dem WAN-Interface verbundenen WAN-Gateway sollte OPNsense doch in jedem Fall auch ohne jegliche Route finden.
-
Unter System - Routes habe ich weitergehende Netze vermerkt, damit OPNsense weiß über welches Interface, welches Netz zu erreichen ist.
Das ist in Ordnung so.
Aber zu seinem direkt mit dem WAN-Interface verbundenen WAN-Gateway sollte OPNsense doch in jedem Fall auch ohne jegliche Route finden.
Das stimmt auch.
Aber eben nur wenn per Regel kein Gateway erzwungen wird. Bitte prüfen. :)