OPNsense Forum
International Forums => German - Deutsch => Topic started by: topuli on May 02, 2018, 12:09:23 pm
-
Hallo Leute,
zu meinem Setup:
Ein supermicro E100-9AP als Opnsensebox mit einem Wan und einem Lan interface.
Am Lan Interface hängt über einen Trunk ein Cisco SG300 switch der wieder über einen Trunk mit einem zweiten SG300 verbunden ist. Auf beiden switches liegen Vlans an, die über die Trunks zur Opnsensebox geführt werden.
Zum Testen habe ich zwei Clients an einen switch angeschlossen. Die Ports für die Clients habe ich für jeweils ein Vlan als access-port definiert; also einmal access-port vlan10 und einmal access-port vlan 20.
In Opensense sind die vlans, interfaces,nat.... für die vlans definiert.
Prinzipiell funktioniert der Zugriff der Clients ins Internet.
Zu meinem Problem:
Um die Konfiguration zu testen habe ich für vlan10 und vlan20 die FW-Rules so definiert, dass aus dem jeweiligen Netz in das andere Netz icmp zugelassen ist.
Ein Ping von vlan10 nach vlan20 und vlan20 nach vlan10 hat wie erwartet wechselseitig funktioniert.
Dann habe ich für vlan20 die Rule für icmp auf reject gesetzt. Und dann hatte ich folgendes Phänomen:
Ein Ping aus vlans20 nach vlan10 hat nicht funktioniert, ein Ping aus vlan10 nach vlan 20 hat funktioniert; so weit so gut.
Wenn allerdings ein Ping von vlan10 nach vlan20 läuft funktioniert plötzlich auch das Ping aus vlan20 nach vlan10. Das ganze ist zeitabhängig, wenn ich das Ping von vlan10 nach vlan20 beende, ist nach kurzer Zeit auch das Pingen aus vlan20 nicht mehr möglich.
Mir ist klar das icmp stateless ist, das lösen aber andere FWs auch; eigenlich ist ja Echo und Echo Reply ganz gut auseinander zu halten.
Kann mich bitte jemand aufklären, wass genau hier passiert und wie ich das gegebenenfalls unterbinden kann.
LG
t.
-
offensichtlich ein bekanntes Verhalten und die Art und Weise wie der PF arbeitet:
https://forum.pfsense.org/index.php?topic=39895.0
http://freebsd.1045724.x6.nabble.com/PF-quot-keep-state-quot-for-ICMP-td4183717.html
LG
t.