Messages

Die Antwort ist nicht hilfreich und auch nicht fachkundig, wie die Firewall sich im gleichen Interface verhält ist eine Einstellungssache: "Static route filtering" - Bypass firewall rules for traffic on the same interface.
Leider ist es egal ob der Harken gesetzt ist oder nicht, es wird weiterhin von der Default Rule geblockt.

Hat jemand sonst noch eine Idee woran es liegen könnte?

Ah verstehe, allerdings ist das Subnetz komplett Virtuell auf Proxmox. Was ist dann aber der Grund weshalb das Request trotzdem geblockt wird, bzw. im FW Log aufschlägt? Was müsste ich unternehmen, damit der Traffic wieder funktioniert?
CT VMs selbst haben keine Firewall und in Proxmox ist diese auch deaktiviert.

[Setup:]

Hallo zusammen,

ich stehe vor einem merkwürdigenProblem mit meiner OPNsense-Firewall und hoffe, dass jemand von euch einen Rat hat. Hier mein Setup und das Problem im Detail:

Setup:

Code Select Expand


Interfaces:

WAN: Internetverbindung
LAN: Lokales Netzwerk
Proxmox: Netzwerk für meinen Proxmox-Server
AP: Netzwerk für den Access Point mit den VLANs (AP, Guest, IoT)

Zugehörige Geräte:

NGINX Proxy Manager: IP 10.10.0.2 (im Proxmox-Netzwerk)
Home Assistant: IP 10.10.0.4 (ebenfalls im Proxmox-Netzwerk)

Firewall-Regeln:

Code Select Expand

Interface: PROXMOX
Direction: IN
Protocol: TCP
TCP/IP-Version: IPv4/IPv6
Source: nginx-proxy-manager (Alias)
Destination: homeassistant (Alias)
Port: 8123

Ich habe auch einige Gruppen angelegt (z.B. LOCAL, TRUSTED), damit ich einfacher NAT Regeln für verschiedene Interfaces bauen kann.
Zudem ist anzumerken das ich ein ipv4 & ipv6 Setup habe inklusive Tayga.


Das Problem:

Der NGINX Proxy Manager (IP 10.10.0.2) kann nicht auf den Home Assistant (IP 10.10.0.4) zugreifen, obwohl ich eine entsprechende Firewall-Regel eingerichtet habe. Die Regel sollte den Zugriff erlauben, aber ich sehe immer wieder, dass die Verbindung auf die "Default deny / state violation rule" fällt.

Was ich bisher festgestellt habe:

- Das Problem ist scheinbar aber auch bei anderen neuen Regeln, die wollten nach dem Anlegen auch nicht so richtig funktionieren. Aber bei den konnte ich es noch nicht zu 100% validieren.
- Die Regel war vor etwa einem halben Jahr funktionsfähig und hat ohne Probleme gearbeitet.
- Das Problem trat möglicherweise nach mehreren Systemupdates auf.
- Ich kann Home Assistant nur über OpenVPN oder die direkte IP-Adresse erreichen.


Im Firewall Live Log erscheint ein Block Record mit folgendem Eintrag:

Code Select Expand

__timestamp__ 2024-09-03T02:38:45
ack 1632969807
action [block]
anchorname
datalen 0
dir [in]
dst 10.10.0.2
dstport 49172
ecn
id 0
interface vtnet0
interface_name PROXMOX
ipflags DF
ipversion 4
label Default deny / state violation rule
length 60
offset 0
protoname tcp
protonum 6
reason match
rid 02f4bab031b57d1e30553ce08e0ec131
rulenr 29
seq 82592289
src 10.10.0.4
srcport 8123
subrulenr
tcpflags SA
tcpopts
tos 0x0
ttl 64
urp 65160

Meine Vermutungen:

Möglicherweise hat ein Systemupdate die Funktionsweise der Firewall-Regeln beeinflusst.
Eventuell greifen die Regeln nicht korrekt wegen einer Überschneidung oder einem Konfigurationsfehler.
Es könnte ein Problem mit den Stateful-Regeln und IPv6 sein, da ich ein Dual-Stack-Setup habe.

Fragen:
Hat jemand ähnliche Erfahrungen gemacht oder kennt bekannte Probleme, die durch Updates verursacht werden könnten?
Gibt es eine Möglichkeit, die Regeln gezielt zu debuggen, um zu sehen, warum sie nicht wie erwartet greifen?
Ich freue mich über jede Hilfe und jeden Hinweis, den ihr geben könnt!

Vielen Dank im Voraus!

Grüße, Jonas.

Hello Community,

I'm currently trying to setup my own OPNsense Router with the Version 22.7.9.
The setup is running on top of Proxmox. There are two network NIC's forwarded by PCI passthough into the Proxmox VM (WAN for later and the future LAN network) and two bridges - one for the other VMS running on the Proxmox (OPT1) and a temporary bridge (default Proxmox bridge) (OPT2) used to get currently access to the WEB UI and Proxmox from another network for setup.

All interfaces currently listen for WEB UI. But I can't get access to it - only when I run 'pfctl -d' to disable the firewall. The logging says that is blocking the access:
   OPT2      2022-12-17T20:01:26   192.168.0.112:56826   192.168.0.113:80   tcp   Default deny / state violation rule

... so I tried to allow in all interfaces all traffic - also completely open. It works for all other stuff, except the WEB UI - it is always blocked. I have no idea why.

Or is the problem the gateway, which is defined in the rules?