Messages

ich meine damit, bei IPv4 weiss ich, was ich tue - bei IPv6 ist mir das alles noch nicht so klar und daher für mich nicht so transparent.
Hat nichts mit dem Protokoll an sich zu tun, mehr mit mir selbst...

Danke für die schnelle Antwort:

Lokaler AV/Personal Firewall kann es nicht sein, da es an der OPNSense vorbei ja funktioniert
Zenarmor ist für das Interface extrem offen
DNS sollte kein Thema sein, da es ja an der OPNSense vorbei auch klappt.

IPv6 könnte ein Thema sein, das ist auf der Firewall tatsächlich nicht aktiviert. Ich werde das probeweise mal aktivieren, auch wenn ich auf der OPNSense da kein Freund von bin (ist mir zu wenig transparent)

Hallo,

ich habe seit kurzem daheim eine OPNSense installiert. Die funktioniert soweit ganz gut, bis auf eine Kleinigkeit, die leider verhindert, dass ich die Firewall produktiv schalten kann.
Meine Freundin nutzt in ihrem Homeoffice Microsoft Navision ERP (Dynamics NAV, jetzt Dynamics 365 Business Central) - und das funktioniert über die OPNSense irgendwie nicht. Sie kommt zwar ins Programm selbst rein, aber sobald sie darin ein Dokument öffnen will, kommt eine Fehlermeldung (ERR_NETWORK_ACCESS_DENIED).
Grundsätzlich ist sie per VPN mit ihrer Firma verbunden - die Microsoft-Cloud-Produkte scheinen aber direkt zu laufen.
Im OPNSense sehe ich keine Blockings und irgendwie stehe ich da gerade auf dem Schlauch.

Andere Microsoft-Produkte wie Teams zum Beispiel funktionieren ohne Probleme.

Das Vlan, welches ich über die OPNSense schleife, macht Probleme - eines, dass ich direkt auf den Internet-Router laufen lasse, funktioniert einwandfrei. Daher sind andere Fehlerquellen ausgeschlossen.

OPNsense 24.1.5_3-amd64
FreeBSD 13.2-RELEASE-p11
OpenSSL 3.0.13
Zenarmor 1.16.4 (Home)

Regelwerk:

Protocol    Source    Port    Destination    Port    Gateway    Schedule       Description    
IPv4 TCP    HomeOfficePC    *    *    *    *    *

(erste Regel, die Proxy-Redirects für Zenarmor kommen danach)

Die Default tcp/udp any allow am Ende ist in dem Netz auch noch aktiv.

oh, that was too easy. Shame on me ;-)

Coming from other firewalls like Cisco or CheckPoint this worked automatically, so I learned alot today :-)

Thank you - problem solved!

[BUT FIRST:I started a tcpdump on the OPN for interface vlan0.30 (just tcpdump -i vlan0.30, no filter) - and the IOT-Machine got a reply to the ping from my gateway!!! After stopping tcpdump the ping failed. Starting tcpdump again, ping was replied - stopping tcpdump also stops the ping-replies.... Same for higher traffic like http...traceroute 8.8.8.8 on the IOT-Device shows 1 * * * (and so on) - with tcpdump on the gateway it shows 1 10.0.0.1 2 192.168.1.1 - and then internet...WTF ????]

Next post.

BUT FIRST:
I started a tcpdump on the OPN for interface vlan0.30 (just tcpdump -i vlan0.30, no filter) - and the IOT-Machine got a reply to the ping from my gateway!!! After stopping tcpdump the ping failed. Starting tcpdump again, ping was replied - stopping tcpdump also stops the ping-replies....
Same for higher traffic like http...
traceroute 8.8.8.8 on the IOT-Device shows 1 * * * (and so on) - with tcpdump on the gateway it shows 1 10.0.0.1 2 192.168.1.1 - and then internet...

WTF ????




Attached is a screenshot of the IOT-Interface-Config (Vlan 30) and here you'll see the
ifconfig (shortened).


My WAN-Interface is behind my internet-router, so it has an RFC1918-Address...

>ifconfig

igc0: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: LAN (lan)
        options=4802028<VLAN_MTU,JUMBO_MTU,WOL_MAGIC,NOMAP>
        ether f4:c8:8a:9c:42:01
        hwaddr 00:e0:4c:6f:0f:8f
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igc1: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: WAN (wan)
        options=4802028<VLAN_MTU,JUMBO_MTU,WOL_MAGIC,NOMAP>
        ether 00:e0:4c:6f:0f:90
        inet 192.168.0.100 netmask 0xfffffc00 broadcast 192.168.3.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
(...)
vlan0.30: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: IOT (opt3)
        options=4000000<NOMAP>
        ether f4:c8:8a:9c:42:30
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
        groups: vlan
        vlan: 30 vlanproto: 802.1q vlanpcp: 0 parent interface: igc0
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
(...)
vlan01: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: Guest (opt1)
        options=4000000<NOMAP>
        ether f4:c8:8a:9c:42:01
        inet 192.168.100.1 netmask 0xffffff00 broadcast 192.168.100.255
        groups: vlan
        vlan: 11 vlanproto: 802.1q vlanpcp: 0 parent interface: igc0
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

Okay, I have a maximum of 4 attachments per post, so I have to split into 2 messages.

Attached are screenshots of my floating rules and the rule of my IOT-Interface (every tagged VLAN lookes more or less the same).
Also attached is the vlan-configuration and the assignments-page.
More will follow in the next post.

I am not at the PC atm, back in a few hours. But I did a ,,permit any any" for the test.

1. it's a baremetal box
2. hosts in the vlan can ping inside the vlan (switch has IP, replies), but they can't ping the firewall, can't connect to the firewall and can't communicate through the firewall (neither ping nor higher services).
3. in the live view of the log nothing is shown, looks like no traffic coming in.

Traceroute and tcpdump will be my next step in a few hours...

Hi,

I am new to OPNsense. I work with Cisco ASA and CheckPoint-Firewalls since over 20 years and I wanted to test OPNsense for my privat use and to have a payable alternative for my smaller customers.

So I understand the structure of firewalls, but OPNsense seems to be a bit different - and I am running into a problem since days.

My Gateway-Machine at home has 2 NICs and both are running fine without VLAN-Tagging. With tagged VLANs on I have following problem and did not find anybody with the same experience.
The machines in the VLANs are getting their DHCP-addresses from the OPNsense - so I am pretty sure the tagging itself is working. But after that, no traffic will pass the gateway. When I switch one of the VLANs from tagged to untagged (configure new interface in OPNsense), the traffic passes - with the same rules, nat and dhcp-config.

Where can I start my debugging?

OPNsense 24.1.3_1-amd64
FreeBSD 13.2-RELEASE-p10
OpenSSL 3.0.13