Messages

Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?

Hallo,
ich habe mal den RDP Port auf dem Server in LAN2 wieder auf standard zurückgesetzt. Die Windows Firewall ist auch komplett offen für alles was RDP betrifft. (screenshot anbei)

Beide Netzwerke benutzen denselben Switch. Anbei ein Screenshot der Konfiguration. Interface LAN1 vom OPNSense hängt an Port1 und OPNSense Interface LAN2 hängt an Port19.

Innerhalb beider Netze funktioniert auch alles einwandfrei. Nur eben würde ich gerne von einer bestimmten IP in LAN1 per RDP auf eine bestimmte IP in LAN2 zurückgreifen.

Vielen Dank
MfG

Such mal nach ,,push Route" oder so ähnlich. Damit kannst du dein lan2 angeben


Gesendet von iPad mit Tapatalk Pro

Wenn ich das mache, wird die OPENVpn Verbindung nach einigen sekunden getrennt.

Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?

Hallo,
ja also die VLANs sind untagged.

Bezüglich lokaler Firewall werde ich am Wochende mal vor Ort gehen um das auszuschliessen.

Anbei noch die Log.
Ich habe versucht von LAN1 sowie VPN auf den webserver (2009) sowie rdp zuzugreifen.

Wenn du die Pakete im Logging weder abgelehnt noch zugelassen siehst, laufen sie offenbar nicht durch die OPNsense.
Ist die OPNsense denn der default gateway für die Netzwerke?

Zeig doch mal screenshots von den Firewall Regeln: alle in Floating und alle auf LAN1. Die RDP Regel mal ganz nach oben schieben. Und dann auch mal den Inspect Knopf oben drücken und schauen, ob die Regel evaluiert wird.

Guten Abend,

Also OPNSense ist default gateway für beide Netzwerke und beide Netzwerke können auch problemlos nach Aussen kommunizieren.
In beiden Netzen läuft Testweise ein Webserver, der jeweils von Aussen erreichbar ist (NAT)
Nur eben komme ich intern nicht von LAN1 auf zb den Webserver in LAN2. Ich habe dies mal versucht, das es ja nicht mit RDP klappt.
RDP port habe ich auf 8206 umgestellt (RDP über den Port funktioniert auch solange ich mich in LAN2 befinde)

Mittlerweile sehe ich auch (musste ein wenig mit den Filtern rumprobieren) in den Logs, dass die Pakete zugelassen sind (siehe Screenshot), jedoch verstehe ich folgendes nicht:

Die Richtung ist ja out. Aber die Regel ist in LAN1 als In, da ich ja von LAN1 in die Firewall komme. Und dann möchte ich auf eine bestimmte IP in LAN2.

Die Regel wird evaluiert laut inspect.

Zur gleichen Problematik: Ich habe einen OpenVPN server in OPNSense eingerichtet mit folgendem Netz: 10.0.8.0/24. Die automatisch erstellte Regel lässt alles durch für die VPN Clients. Ich kann auch alles im LAN1 erreichen. Aber wiederum nicht in LAN2 ^^

Vielen Dank für deine Hilfe
MfG

Hallo,

hat jemand ne Idee was das Problem sein könnte? 

VG

Also du müsstest die Pakete sehen, wenn Logging aktiviert ist. Und wenn die Regel nicht greifen würde, würdest Du die Pakete als abgelehnt sehen.

Mach doch mal nen Netzwerkplan: https://forum.opnsense.org/index.php?topic=7216.0

Sonst stochern wir hier weiter in der Gegend rum.

Code Select Expand


                               WAN / Internet
                                      :
                                      : 
                                      :
                                .-----+-----.
                                |  Gateway  |  MikroTik Router vom Provider DMZ 
                                '-----+-----'
                                      |
                                  WAN | IP or Protocol    192.168.210.247 / 21
                                      |
                                .-----+------.                       
                                |  OPNsense                       
                                '-----+------'                       
                                        |
         ------------------------+--------------------

            |                                                     |   
   LAN1  | 10.0.10.1/24                       LAN2  | 10.0.20.1/24
            |                                                     |
            | Port 1-12                                       | Port 13-24
            .---------------------+---------------------.
             |          Managed LAN-Switch               |
             '---------------------+---------------------'
            |                                                          |
  ...-----+------... (Clients/Servers)           ...-----+------... (Clients/Servers)




Was ich erreichen möchte:
-von LAN1 aus per RDP auf einen Server in LAN2 zurückgreifen
-SMB von einem Host in LAN2 auf einen Host in LAN1
-vom LAN2 Druckserver auf einen IP Drucker in LAN1

Aber jetzt es hängt schon bei RDP ;)

Irgendwann soll noch ein 3. LAN interface rein für WLAN. Aber zuerst musst das hier mal laufen ;)

Wie sehen denn nun aktuell deine Regeln aus? Damit man auf dem aktuellen Stand ist :)

Hi.
Also als IN Regel auf LAN1:
IPv4 TCP/UDP   LAN1 net   *   10.0.20.21   3389 (MS RDP)   *   *   RDP to T-Server

Ich tippe jetzt auf die Windows Firewall vom Ziel Host. Die lassen per default nur Clients aus dem eigenen Subnet zu. Entweder mal testweise ganz deaktivieren oder das andere Subnet in der Firewall hinzufügen unter Windows.

Du kannst auf unter Firewall: Log Files: Live View siehst du was gerade so passiert. Wenn du der Rdp Regel noch sagst, dass sie loggen soll, solltest du die Verbindungsversuche nun in grün sehen.

Hallo,
ich habe testweise mal die Windows Firewall deaktiviert, aber das bringt auch nichts.

Logging habe ich auch aktiviert auf der Regel, aber es tauchen keine RDP Verbindungsversuche in den Logs auf...
Ich filtere einfach auf Interface LAN1 und sehe nur DHCP anfragen oder die anti-lockout rule für OPNSense. Aber nichts auf port 3389

Du hast, denke ich, das Prinzip von OPNsense Firewallregeln noch nicht verstanden/verinnerlicht.

Die Regeln werden auf dem Interface angelegt auf dem die Pakete an der OPNsense ankommen.

Welches LAN ist nun welches Interface?
Ich nehme an die Regel ist auf dem falschen Interface.
Source ist dann das Netzwerk von dem LAN was an diesem Interface angebunden ist und destination ist der rdp Host.

Hallo Gauss23,

ok danke, das war schon mal mein erster Fehler. Das mit der Richtung hatte ich echt nicht verinnerlicht  :-[
jetzt habe ich folgende Regel auf LAN1 (in dem Lan befindet sich der PC von dem aus RDP initiiert wird):
Pv4 TCP/UDP   LAN1 net   *   10.0.20.21   3389   *   *   RDP to Server

aber es klappt immer noch nicht :(

Hallo,

ich habe jetzt nur die folgende Regel auf LAN2:
.
IN:

IPv4 TCP/UDP   *   *   10.0.20.21   3389   *   *   RDP

Aber es klappt immer noch nicht

Beide LANs sind auf demselben Managed Switch. Also port 1-6 untagged LAN1 und Port 7-12 untagged LAN2.
Das sollte aber nicht das Problem sein, oder?

Hallo alle zusammen,

ich habe folgende Konfiguration:
1x WAN, 2x LAN (10.0.10.x und 10.0.20.x).
Internet routing funktioniert bestens. NAT von aussen nach innen in beide Netze auch.
Ich wollte aber jetzt in OPNSense die Firewall für RDP traffic von 10.0.10.x auf 10.0.2.21 öffnen.
Aber leider bekomme ich das nicht hin.

Kann aber sein, dass meine Überlegung falsch ist  ;)
Hier meine Regel für das LAN2 IN:

               Protocol    Source    Port    Destination    Port    Gateway    Schedule    Description    
               
      IPv4 *    LAN1 net    *    *    *    *    *    LAN1 to any

Die Regel für LAN1 OUT:

           Protocol    Source    Port    Destination    Port    Gateway    Schedule    Description    
               
           IPv4 TCP/UDP    *    *    *    3389(RDP)   *    *


Vielen Dank für eure Hilfe

Hi,

sorry, my fault. Didn't check that the printer did a redirect on port 443. So that's working fine now.

But I still need to find out what should be open in order to be able to access the internet.
So with this default rule:  (IPv4 *   LAN_R net   *   *   *   *   *   Default allow LAN to any rule), it's working.
But I don't want everything to be open to everywhere.
I want to access internet from LAN_R net and block access to LAN_T.

I tried
IPv4 *   LAN_R net   *   WAN address   *   *   *
IPv4 *   LAN_R net   *   WAN net   *   *   *
IPv4 *   LAN_R net   *   This Firewall   *   *   *

But nothing is working.
The rule to access dns is working though.

IPv4 TCP/UDP   LAN_R net   *   This Firewall   53 (DNS)   *   *
So DNS is working, but that's it :(

Thanks in advance.
Regards

Hello chemlud,

yes, the rules are only created on the LAN interfaces.

so the rule like in the attachment (HTTP Test) should work? Here it's not working.
10.0.1.82 is the IP of my PC in LAN1 and 10.0.2.20 ist the IP of a Printer in LAN2.

I really don't know where my error is.

Regards

Hello,

I've set-up a nice working OPNSense Router with DHCP, DNS, Sensei, IDS, ClamAV, WoL, and 3 Interfaces (WAN, LAN-R, LAN-T)
Those are configured as 2 separate networks LAN-R: 10.0.1.1  and LAN-T 10.0.2.1.
Every network should be able to browse the internet and only some protocols should be open between both networks.

I'm just fighting with the firewall and I don't really understand how to configure. I found some information here, but it never worked for me.
If I enable the standard rule "Default allow LAN to any rule" it works just fine.

So, I disabled it and tried to figure out how to just allow browsing:

DNS is allowed and also working. But what should be the next rule to allow LAN-R to be able to browse the internet?

E.g. I did some testing with a printer webpage. The printer has the IP 10.0.2.30 an the Computer wants to access it from LAN-R. But no chance :/  Also when chosing LAN-R as source.

Thank you very much
Regards