Show Posts
1
German - Deutsch / Troubleshooting NICs in Bridge-Modus
« on: December 13, 2020, 06:42:01 pm »
Ein freundliches Hallo in die Runde,
ich würde gerne einmal das hiesige Schwarmwissen anzapfen um meine gerade scheinbar nicht korrekt arbeitenden Synapsen auszugleichen.
Ich habe eine eigentlich recht kleine Änderung durchgeführt: zwei Interfaces gebrückt. Stoße mir den Kopf dabei jedoch an für mich nicht ganz nachvollziehbaren Ergebnissen.
Um genauer zu sein wurde das ehemalige LAN-Interface (igb0) und ein OPT-Interface (igb1) gebrückt.
Das Resultat ist ein Mapping von LAN auf die neue bridge0, die Ihrerseits aus den Interfaces besteht, die auf die ehemaligen igb0 und igb1 verweisen. Beide aktiv und ohne IPv4 oder IPv6-Einstellungen.
In den Tunables wurde "net.link.bridge.pfil_member" auf 0 gesetzt um das Filtern auf den Bridge-Membern zu deaktivieren und "net.link.bridge.pfil_bridge" um Selbiges auf dem Bridge-Interface zu aktivieren.
So weit so gut. Angesteckte Geräte haben wie gewohnt ihre IP-Konfiguration vom DHCP der OPNSense erhalten, Firewall-Regeln wurden wie erwartet angewendet.
Der Heimadmin klopft sich auf die Brust und widmet sich der Familie.
Ich nahm an, dass ich nun Geräte, die an unterschiedlichen Interfaces stecken wie bei einem einfachen Layer 2 Switch gegenseitig ansprechen kann.
Phänomen 1:
Verwundert hatte mich, dass ich alleine für das "Pingen" eine "'LAN net' zu 'LAN net'" Regel aktivieren musste. Nicht, dass es eine Herausforderung war, aber ich hätte es nicht erwartet (siehe die Einstellungen der Tunables).
Phänomen 2:
Aus der Bahn wirft mich nun das Verhalten eines angeschlossenen WLAN-APs (ebenfalls als einfache Bridge konfiguriert). Ich sehe im DHCP-Log REQUEST und ACK, wie bei per Kabel angesteckten Geräten. MAC und IP entsprechen dem was auch die Smartphones für wenige Sekunden anzeigen. Danach passiert jedoch einfach nichts und das Smartphone meldet es sein kein Internet vorhanden und beendet die Nutzung des WLANs. Dabei sehe ich jedoch von eben diesem mobilen Endgerät nichts im Firewall Live-Log (alle Regeln haben aktives Logging). Also scheinen die Geräte hier nicht der "Default Deny"-Regel zum Opfer zu fallen.
Die Fragen die sich mir nun stellen: War meine Annahme zum Switching-Verhalten falsch und trotz gesetzter Tunables muss ich mit Regeln zwischen den Interfaces arbeiten? Falls nicht, wie kann ich das Verhalten möglicherweise korrigieren? Kennt jemand ein ähnliches Verhalten?
Ich sehe zwar, dass das Thema ab und an einmal angesprochen wird, allerdings mit Verweis auf die Tunables zumeist erfolgreich abgeschlossen wird.
VG
Carl
ich würde gerne einmal das hiesige Schwarmwissen anzapfen um meine gerade scheinbar nicht korrekt arbeitenden Synapsen auszugleichen.
Ich habe eine eigentlich recht kleine Änderung durchgeführt: zwei Interfaces gebrückt. Stoße mir den Kopf dabei jedoch an für mich nicht ganz nachvollziehbaren Ergebnissen.
Um genauer zu sein wurde das ehemalige LAN-Interface (igb0) und ein OPT-Interface (igb1) gebrückt.
Das Resultat ist ein Mapping von LAN auf die neue bridge0, die Ihrerseits aus den Interfaces besteht, die auf die ehemaligen igb0 und igb1 verweisen. Beide aktiv und ohne IPv4 oder IPv6-Einstellungen.
In den Tunables wurde "net.link.bridge.pfil_member" auf 0 gesetzt um das Filtern auf den Bridge-Membern zu deaktivieren und "net.link.bridge.pfil_bridge" um Selbiges auf dem Bridge-Interface zu aktivieren.
So weit so gut. Angesteckte Geräte haben wie gewohnt ihre IP-Konfiguration vom DHCP der OPNSense erhalten, Firewall-Regeln wurden wie erwartet angewendet.
Der Heimadmin klopft sich auf die Brust und widmet sich der Familie.
Ich nahm an, dass ich nun Geräte, die an unterschiedlichen Interfaces stecken wie bei einem einfachen Layer 2 Switch gegenseitig ansprechen kann.
Phänomen 1:
Verwundert hatte mich, dass ich alleine für das "Pingen" eine "'LAN net' zu 'LAN net'" Regel aktivieren musste. Nicht, dass es eine Herausforderung war, aber ich hätte es nicht erwartet (siehe die Einstellungen der Tunables).
Phänomen 2:
Aus der Bahn wirft mich nun das Verhalten eines angeschlossenen WLAN-APs (ebenfalls als einfache Bridge konfiguriert). Ich sehe im DHCP-Log REQUEST und ACK, wie bei per Kabel angesteckten Geräten. MAC und IP entsprechen dem was auch die Smartphones für wenige Sekunden anzeigen. Danach passiert jedoch einfach nichts und das Smartphone meldet es sein kein Internet vorhanden und beendet die Nutzung des WLANs. Dabei sehe ich jedoch von eben diesem mobilen Endgerät nichts im Firewall Live-Log (alle Regeln haben aktives Logging). Also scheinen die Geräte hier nicht der "Default Deny"-Regel zum Opfer zu fallen.
Die Fragen die sich mir nun stellen: War meine Annahme zum Switching-Verhalten falsch und trotz gesetzter Tunables muss ich mit Regeln zwischen den Interfaces arbeiten? Falls nicht, wie kann ich das Verhalten möglicherweise korrigieren? Kennt jemand ein ähnliches Verhalten?
Ich sehe zwar, dass das Thema ab und an einmal angesprochen wird, allerdings mit Verweis auf die Tunables zumeist erfolgreich abgeschlossen wird.
VG
Carl