1
German - Deutsch / "invalid state drop" bei statischer Router mit Gateway in Quell-Zone
« on: October 04, 2022, 09:05:48 pm »
Vielleicht kann mir jemand Helfen oder mich in die richtige Richtung schupsen.
Mehr oder weniger klassicher Aufbau:
DSL mit Fritzbox und 192.168.10.0/24er Netz.
Statische Route 192.168.100.0/24 via 192.168.10.10.
An der FrtizBox ein kleiner "Server" mit Proxmox und darauf OpnSense, NAT deaktiviert. WAN-Seite 192.168.10.10,
LAN DHCP-Server für 192.168.100.0/24.
"LAN"-Port vom Server zu einem Switch, dort dann diverse Geräte. U.a. ein VPN-Gateway (192.168.100.3).
Dann noch auf der Opnsense die 192.168.100.3 als weiteres Gateway eingetragen und eine Route erstellt: 188.144.0.0/15 via 192.168.100.3.
Versuche ich jetzt eine Seite im VPN zu erreichen, dann klappt das erstmal. Die Seite bietet auch einen Upload an. Der Scheitert bei meinem Setup. Nach dem Klick auf Upload dauert es ca. 1-2 minuten und bekommte dann ein "PR_CONNECT_RESET_ERROR" angezeigt.
Im Log vom OpnSense finde ich dann ein "default drop / invalid state".
Ich vermute eine Art "Dreiecksrouting" durch den Switch und dessen Arp-Cache.
Also PC->OpnSense->VPN->Seite>VPN>PC, wobei das nicht erklärt, warum es zuerst geht und erst beim POST/Upload scheitert. Eventuell durch die Fragmentierung?!
Deaktive ich den Paketfilter als ganzes, gehts vollständig. Die Funktion Regeln innerhalb der gleichen Zone zu umgehen, brachte leider kein Erfolg. Auch keine LAN-LAN Regel.
Jemand eine Idee woran es liegt und wie man es vielleicht beheben könnte?
Habe mir mit Routen-Einträgen auf den Endgeräten beholfen und werde ggf. noch die DHCP Option 121 in Erwähnung ziehen,
aber eigentlich möchte ich gerne das es "Plug-and-Play" funktioniert, aus Endgeräte-Sicht
Besten Dank
Henning
Mehr oder weniger klassicher Aufbau:
DSL mit Fritzbox und 192.168.10.0/24er Netz.
Statische Route 192.168.100.0/24 via 192.168.10.10.
An der FrtizBox ein kleiner "Server" mit Proxmox und darauf OpnSense, NAT deaktiviert. WAN-Seite 192.168.10.10,
LAN DHCP-Server für 192.168.100.0/24.
"LAN"-Port vom Server zu einem Switch, dort dann diverse Geräte. U.a. ein VPN-Gateway (192.168.100.3).
Dann noch auf der Opnsense die 192.168.100.3 als weiteres Gateway eingetragen und eine Route erstellt: 188.144.0.0/15 via 192.168.100.3.
Versuche ich jetzt eine Seite im VPN zu erreichen, dann klappt das erstmal. Die Seite bietet auch einen Upload an. Der Scheitert bei meinem Setup. Nach dem Klick auf Upload dauert es ca. 1-2 minuten und bekommte dann ein "PR_CONNECT_RESET_ERROR" angezeigt.
Im Log vom OpnSense finde ich dann ein "default drop / invalid state".
Ich vermute eine Art "Dreiecksrouting" durch den Switch und dessen Arp-Cache.
Also PC->OpnSense->VPN->Seite>VPN>PC, wobei das nicht erklärt, warum es zuerst geht und erst beim POST/Upload scheitert. Eventuell durch die Fragmentierung?!
Deaktive ich den Paketfilter als ganzes, gehts vollständig. Die Funktion Regeln innerhalb der gleichen Zone zu umgehen, brachte leider kein Erfolg. Auch keine LAN-LAN Regel.
Jemand eine Idee woran es liegt und wie man es vielleicht beheben könnte?
Habe mir mit Routen-Einträgen auf den Endgeräten beholfen und werde ggf. noch die DHCP Option 121 in Erwähnung ziehen,
aber eigentlich möchte ich gerne das es "Plug-and-Play" funktioniert, aus Endgeräte-Sicht
Besten Dank
Henning