Messages

Hi Patrick,

Ich konnte den Fehler lokalisieren.  ::)
Das Problem war, dass wir einen IPsec Tunnel für jeglichen WAN Verkehr (0.0.0.0/0) aus dem 10.10.10.0/23 nutzen.
Ich hatte angenommen das die lokalen Interfaces bzw. Netze aufgrund der Metrik bevorzugt werden und nicht mehr die  "Passthrough networks" in den Advanced IPsec Settings auf dem Schirm.
Hier hat das 10.10.12.0/24 Netz gefehlt, danach lief es ohne Probleme. Wald und Bäume und so....

Danke für den Support!

Moin,

Danke für deine Rückmeldung.

1. Warum sehr ungewöhnlich? Eine Netzmaske wie jede andere auch. Wir haben damals das 24er Netz aufgebohrt, damit mehr Clients rein passen.

2. Simpler Ping über CMD, die Windows Firewall habe ich testweise ausgeschaltet. Ich sehe die ICMP Anfragen ja auch in der OPNsense, nur was mich irritiert ist, dass auf dem ausgehenden Interface im Packet Capture nichts rausfällt?

3. Routen müssen keine gesetzt werden, alle Netze liegen direkt an der OPNsense an. Konkret geht es um zwei Server Netze mit festen IP-Adressen, die über 2 Switche und VLANs mit einander kommunzieren sollen. Die OPNsense übernimmt das Routing über die VLANs hinweg.

Hallo zusammen,

Ich zweifele gerade etwas an mir selbst.
Folgende Konstellation:

Netz A: 10.10.10.1/23 mit VLAN 10
Netz B: 10.10.12.1/24 mit VLAN 12
Netz C: 10.10.20.1/23 mit VLAN 20

OPNsense ist Gateway für alle Beteiligten.
Dazu noch weitere Netze inkl. VLANs, alles funktioniert wie gewünscht bis auf die Tatsache das Netz A und Netz B in keine Richtung über die OPNsense miteinander kommunizieren können.

- Firewallregeln bereits auf Durchzug geschaltet
- Firewall Log zeigt mir grün für eingehende ICMP Pakete an
- Windows Firewall testweise deaktiviert
- Endpoint Protection auf den Systemen deaktiviert
- Packet Capture auf Interfaces von Netz A und B zeichnen jeweils nur den eingehenden ICMP des auslösenden Netzes auf. Auf der anderen Seite bzw. auf dem zweiten Packet Capture fällt einfach nichts raus, als ob die Pakete in der OPNsense verloren gehen?

- Ich kann von Netz A und Netz B ohne Probleme Netz C oder weitere Netze erreichen. Auch von Netz C in Netz A und B keinerlei Probleme.

Jemand eine Idee woran es scheitern könnte ?

Cheers

Nein natürlich nicht. :D
Es sollen alle Clients im Netz in den Tunnel geschickt werden.
Mit Ausnahme von 3x Clients, welche das reguläre Gateway verwenden sollen.

Genau das habe ich bereits versucht.
ICMP Pakete werden lt. Firewall Log akzeptiert aber ich erhalte keine Antwort von extern. HTTPS etc. ebenso wenig.
Das in der Regel hinterlegte GW baut ebenso die IPsec VPN auf. Könnte das die Ursache sein?

Hallo zusammen,

Ich bin noch ziemlich neu im Thema und sehe ggf. den Wald vor lauter Bäumen nicht.
Ausgangslage:
Ein komplettes Netz 10.20.30.0/24 wird per IPSec Tunnel per 0.0.0.0 Routing zu einer zweiten Firewall weitergegeben.
Frage:
Wie kann ich einzelne Hosts von diesem Routing ausnehmen und über den regulären WAN Anschluss ins Internet ausleiten? In der VPN Konfiguration kann ich leider nur einzelne Hosts auswählen, keine Gruppen oder Aliase. Möchte ungerne 24x Clients hinterlegen.

Grüße
Jonny