Messages

Unter System - Routes habe ich weitergehende Netze vermerkt, damit OPNsense weiß über welches Interface, welches Netz zu erreichen ist.

Aber zu seinem direkt mit dem WAN-Interface verbundenen WAN-Gateway sollte OPNsense doch in jedem Fall auch ohne jegliche Route finden.

Ich habe jetzt unter Firewall - Settings - Advanced den Haken bei Disable all Paket-Filtering herausgenommen.
Nun geht es. Kann das die Ursache sein?

Kann es aber auch sein, dass die Einstellungen, welche ich auch noch probiert habe, erst verzögert wirken und es eigentlich eine ganz andere Einstellung war?

Das Gateway ist eben NICHT vom LAN-Client aus erreichbar (per ping)
Nur die IP des WAN-Interface ist ansprechbar.

Was muss ich tun, damit ein Ping oder auch anderer Netzwerktraffic zum WAN-GW durchgeht?

Kann man irgendwo auf der Kommandozeile das Routing aktivieren?

Die Firewall war nach der Installtion nicht eingeschaltet. Ich benötige die Funktion auch nicht und habe sie ausgeschaltet gelassen auch um Fehler auszuschliessen.

Als IPv4 Upstream Gateway habe ich das WAN-GW eingetragen. Zusätzlich habe ich 2 Gateway unter System- Gateway angelegt. Einmal das WAN-GW und das LAN-GW. Routen brauche ich an dieser Stelle ja noch nicht anzugeben, da die FW ja mit beiden Netzen direkt verbunden ist.

Client----Switch----LAN-OPNsense-WAN----Switch----WANGW
                                                                             ----Client im WAN

Vom Client zum WAN-Interface kann ich pingen, zum WANGW und zum Client im WAN nicht.

Von der Kommandezeile der FW kann ich alle angrenzenden Ziele erreichen.

Ich habe als IPv4 Upstream Gateway das "normale" Gateway im WAN angegeben.Zudem habe ich unter System->Gateway jeweils die beiden weitergehenden Gateways angelegt. Soweit bin ich aber ja noch gar nicht.

Client----Switch-----LAN-OPNsense-WAN-----Switch-------WANGateway
                                                                               -------Clinet im WAN

Ich kann vom Client nur das OPNsenseWAN-Interface erreichen, nicht aber das Gateway oder den Client im WAN.
Routingeinträge sollten hierfür ja auch nicht erforderlich sein, da die beiden Netze der FW ja bekannt sein sollten.

Die Firewall habe ich nicht aktiviert, da ich die Funktionalität nicht benötige.
Muss man das Routing noch irgendwo aktivieren? Ich nutze derzeit noch eine Smoothwall. Hier kann man ohne weitere Konfiguration "durchpingen".

Mein OPNsense routet nicht.
Ich kann vom LAN aus das WAN-Interface anpingen. Allerdings kann ich vom LAN aus nicht das WAN-Gateway oder auch andere IP-Adressen im WAN anpingen.
Muss man hierfür noch ähnlich wie beim Proxy einen Service aktivieren?
Meine Smoothwall routet per default:

Die Firewall ist meinem Verständnis nach deaktiviert:
The firewall has globally been disabled and configured rules are currently not enforced. It can be enabled in the Firewall/NAT settings.

Ich habe jetzt unter System -> Gateway und Routes die entsprechenden Daten nochmal eingegeben.
Jetzt funktioniert.
Ich hatte es heute morgen schonmal konfiguriert, da es nicht half habe ich die Eintraäge wieder deaktiviert.
Jetzt nach dem erneuten Aktivieren geht es plötzlich.
Merkwürdig.

Ich habe nur eine RED-Green Konfiguration.
Ein WAN-Interface und ein LAN-Interface. Befindet sich ein Client im gleichen Subnetz(10.68.0.0) wie das LAN-Interface, kann ich das LAN-Interface anpingen. Befindet sich der Client in einem anderen Subnetz (zB. 10.69.130.0) geht es nicht. Wobei die Netze mit einem einfachen Router verbunden sind.
Der Weg wäre also Client (10.69.130.20) über Router (10.69.130.1) zu OPNenser LAN-Interface (10.68.3.105).
Das WAN-Interface wird in diesem Zusammenhang noch gar nicht genutzt.

Hier nochmal ein Trace des OPNsense-Rechners:

11:47:53.676073 IP 10.69.130.20 > 10.68.3.105: ICMP echo request, id 1, seq 1676, length 40
11:47:55.490275 IP 10.69.130.20.49846 > 10.68.3.105.3128: tcp 0
11:47:55.751094 IP 10.69.130.20.49847 > 10.68.3.105.3128: tcp 0
11:47:58.496363 IP 10.69.130.20.49846 > 10.68.3.105.3128: tcp 0
11:47:58.683615 IP 10.69.130.20 > 10.68.3.105: ICMP echo request, id 1, seq 1677, length 40
11:47:58.808414 IP 10.69.130.20.49847 > 10.68.3.105.3128: tcp 0

Der Datenverkehr  (Ping,Proxyanfrage) kommt am LAN-Interface an. Wird aber scheinbar wohl nicht beantwortet bzw. ignoriert.

Wie und wo gebe ich das Netz frei?

Die 105 ist der/die OPNSense Server/Firewall.
Läuft auf Linux hat wahrscheinlich keine Windows-Firewall ;)
Darum ja meine Frage: Muss man auf dem OPNsense noch irgendwelche Sub-Netze frei geben, damit er aus diesen erreichbar ist?

OPNSense 10.68.3.105/16 gw 10.68.0.1 (LAN-Interface)
Client         10.69.130.20/24 gw 10.69.130.1

ping vom Server auf 10.69.130.20 geht.
ping vom Client auf 10.68.3.105 geht nicht.(auf 10.68.3.100 zB. geht)
tracert geht auf 10.69.130.1, dann ist Schluß

Hallo,

ich möchte OPNSense auch aus anderen lokalen Subnetzen am LAN-Interface erreichbar machen.
Ich habe unter Routen und Gateway alle notwendigen Parameter eingetragen. Trotzdem geht es nicht.
Ich kann vom Server aus den Client anpingen. Vom Client aus den OPNSense-Server aber nicht. Andere Rechner kann ich anpingen. Das Routing müsste demnach funktionieren.
Beim Tracert geht der Client noch zu seinem Standardgateway. Weiter nicht.

Müssen andere Subnetze noch erlaubt/freigeschaltet werden?