OPNsense Forum

International Forums => German - Deutsch => Topic started by: snej.bs on August 01, 2018, 06:36:28 pm

Title: Probleme beim Zugriff in externen LAN
Post by: snej.bs on August 01, 2018, 06:36:28 pm

Hallo zusammen, beschäftige mich erst seit kurzem mit opnsense und habe ein Problem beim Zugriff in ein anderes LAN.
Folgende Konfiguration ist momentan aktiv.

interer LAN 172.25.15.0/24 LAN-Schnittstelle opnsense 172.25.15.4. Internetgateway 172.25.15.1
WAN-Schnittstelle 172.16.3.13 mit einem upstream-Gateway 172.16.3.14
Statische Route angelegt : LAN 10.2.6.0/24 erreichbar über Gateway 172.18.3.14

Zweite Firewall eine sophos utm. Dort am WAN-interface 172.16.3.14
Hinter der Sophos befindet sich der zu erreichende LAN IP 10.2.6.0/24
LAN-Interface Sophos 10.2.6.1.
Auf der Sophos eine statische Route angelegt Netz 172.25.15.0/24 erreichbar über gateway 172.16.3.14

In beiden LAN`s befinden sich Webserver die erreichbar sein sollen, jeweils aus dem anderen Netz.

Folgende Regeln erstellt:
An der LAN-Schnittstelle opnsense any any von 172.25.15.0/24 nach 10.2.6.0/24
WAN-Schnittstelle opnsense any any von 10.2.6.0/24 nach 172.25.15.0/24

Analog an der Sophos die Regeln eingestellt.

Ping funktioniert einwandfrei in alle Richtungen.

Http-Zugriff funktioniert nur von dem 10.2.6.0/24 in 172.25.15.0/24
Rufe ich den Webserver im Netz 10.2.6.0/24 auf  bekomme ich ein Timeout.

Laptop mit Wireshark ins Netz gehängt.
TCP-Verbindungsaufbau funktioniert. Nachdem syn-act folgt aber ein timeout.
Wireshark meldet retransmission.

Sehe ich hier den Wald vor lauter Bäumen nicht!

Vielen dank für die Hilfe

Title: Re: Probleme beim Zugriff in externen LAN
Post by: BeNe on August 02, 2018, 04:49:30 pm

Kannst Du das in einem Bild aufzeichnen und entsprechend Geräte und IP´s eintragen ?
So ist es sehr schwer zu folgen.

Ansonsten wäre jeweils ein traceroute von beiden Seiten interessant wo die Anfrage hängen bleibt.
LiveLogs der Sophos und von der OPNsense prüfen. Bei der Sophos kann der Ping auch generell über das Gateway in den Einstellungen aktiviert werden. Damit geht jeder Ping, aber nicht mehr als das ohne Firewall Regel.

Title: Re: Probleme beim Zugriff in externen LAN
Post by: snej.bs on August 03, 2018, 10:32:30 am

Ich habe das Ganze jetzt erst einmal vereinfacht:

    -                                                                                                                               -
    |172.25.15.0/24                __________________                                                        |
    |                                      |                               | 10.2.6.1/24 (WAN)                           | 10.2.6.0/24
    |-----------------------------|      opnsense            |-------------------------------------------|
    |       172.25.15.4 (LAN)    |_________________|                                                        |
    -         
In beiden Netzen jeweils ein WEB-Server
Zugriff von 10.2.6.0/24 auf WEB-Server in 172.25.15.0/24 funktioniert.
Zugriff von 172.25.15.0/24 auf WEB-Server in 10.2.6.0 funktioniert nicht.

Regel Lan any any in das Netz 10.2.6.0/24
Regel WAN any any in das Netz 172.25.15.0/24

 Nat ausgehend Standart-Regeln   

Tracert/ping funktioniert in beide Richtungen

Komme nicht hinter das Problem.       

                                                                                                          -

Title: Re: Probleme beim Zugriff in externen LAN
Post by: BeNe on August 08, 2018, 08:12:07 am

Du kommst also über die OPNSense auf deinen Webserver, aber Du kommst nicht über die Sophos hinweg bis zum Webserver der hinter der Sophos steht ?

Wenn etwas geblockt wird, wirst Du es in den Logs sehen. Das ist bei der Sophos sehr gut im LiveLog zu sehen.
Hast Du eine Portweiterleitung auf der Sophos erstellt ?