"
Ganz herzlichen Dank für die hilfreichen Tipps.
Ich habe (aus Verzweiflung ;-) ) den letzten Tipp einmal befolgt und eine LAN Regel an erster Stelle erstellt. Diese fixte das Routing, so das die Pakete für das Zwischennetz 192.168.30.0/30 auch durch das richtige GW die OPNSense verliessen. Das konnte ich mit PCAP, Traceoute und der Filter Liveansicht nachvollziehen. Verstehen tue ich dies weiterhin nicht; eine Route/Regel sollte wegen der direkten Schnittstelle 192.168.30.2 eigentlich nicht erforderlich sein. Aber gut.
Sehr wichtig ist in diesem Zusammenhang auch der "HINWEIS: Die Auswahl "Erlauben" funktioniert bei Multi-WAN nicht ordnungsgemäß. Sie funktioniert nur auf einer Schnittstelle, die das Standard-Gateway enthält. " bei den NAT Filterregeln des MultiWAN. Diese standen für die entsprechenden Ports zwar auf die richtige Gruppenschnittstelle aber die Filterregel war noch auf "Erlauben" aus den Single WAN Zeiten. Hier muss unbedingt "Eine entsprechende Filterregel anlegen" ausgewählt sein.
Andernfalls funktioniert die eingehende Verbindung durch die Schnittstelle mit der höheren Prio einwandfrei aber durch die andere nicht. Hier erreichen die Pakete zwar auch Ihr Ziel, aber die Antwortpakete gehen ohne Hinweis oder Protokolleintrag auf der OPNSense verloren oder werden ebenso durch die falsche Schnittstelle geroutet.
Ich habe (aus Verzweiflung ;-) ) den letzten Tipp einmal befolgt und eine LAN Regel an erster Stelle erstellt. Diese fixte das Routing, so das die Pakete für das Zwischennetz 192.168.30.0/30 auch durch das richtige GW die OPNSense verliessen. Das konnte ich mit PCAP, Traceoute und der Filter Liveansicht nachvollziehen. Verstehen tue ich dies weiterhin nicht; eine Route/Regel sollte wegen der direkten Schnittstelle 192.168.30.2 eigentlich nicht erforderlich sein. Aber gut.
Sehr wichtig ist in diesem Zusammenhang auch der "HINWEIS: Die Auswahl "Erlauben" funktioniert bei Multi-WAN nicht ordnungsgemäß. Sie funktioniert nur auf einer Schnittstelle, die das Standard-Gateway enthält. " bei den NAT Filterregeln des MultiWAN. Diese standen für die entsprechenden Ports zwar auf die richtige Gruppenschnittstelle aber die Filterregel war noch auf "Erlauben" aus den Single WAN Zeiten. Hier muss unbedingt "Eine entsprechende Filterregel anlegen" ausgewählt sein.
Andernfalls funktioniert die eingehende Verbindung durch die Schnittstelle mit der höheren Prio einwandfrei aber durch die andere nicht. Hier erreichen die Pakete zwar auch Ihr Ziel, aber die Antwortpakete gehen ohne Hinweis oder Protokolleintrag auf der OPNSense verloren oder werden ebenso durch die falsche Schnittstelle geroutet.
