Messages

arp request von der fritz für die 192.168.9.1 kommt

gibt es einen trick bei der fritz den arp cache zu leeren ohne reboot?

ARP replies kommen von der fritz

Ein ganz normales ICX Cluster/Stack, 2 Units.

Werd gleich mal nach den arps sehen

die OPNs sind HW.
Ich habe alle CARP Adressen testweise auf unicast gestellt, gleiches Problem.

Die OPNs hängen nicht direkt an der Fritz, sondern an einem Ruckus ICX Cluster.

hier

settings auf beiden OPNs gleich

die CARP IP ist auch pingbar

Ja, beide /24

Ich habe weitere Nachforschungen angestellt und es sieht so aus, als handele es sich nicht um ein Problem mit der Portweiterleitung.
Die WAN-Schnittstellen haben die Adressen 192.168.9.11 (1.), 192.168.9.12 (2.) und eine virtuelle IP-Adresse 192.168.9.1.

Wenn der exposed Host auf der Fritz auf die virtuelle IP eingestellt ist, funktioniert die Portweiterleitung nicht.
Wenn ich ihn auf die IP des aktiven OPNsense (1., 192.168.9.11) einstelle, funktioniert die Portweiterleitung wie erwartet.

Es sieht so aus, als hätte das etwas mit der CARP-Adresse zu tun.

Irgendwelche Vorschläge?

I investigated further, looks like it is not rhetorical port forwarding itself.
The WAN interfaces have the addresses 192.168.9.11 (1st), 192.168.9.12 (2nd) and a virtual IP 192.168.9.1.

If the exposed host on the Fritz is set to the virtual IP the port forwarding is not working.
If I set it to the IP of the active OPNsense (1st, 192.168.9.11) the port forwarding is working as expected.

Looks like it has something to do with the CARP Address.

Any suggestions?

das wan if ist definitiv im Plan 9, von innen nach aussen geht alles. das einzige, was nicht geht ist port forward.
ich werde mir nochmal das logging ansehen.

Code Select Expand

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-10-29 05:46 UTC
Nmap scan report for xxxxxxxxx
Host is up (0.032s latency).
rDNS record for xxxxx: xxxxxx

PORT   STATE SERVICE
21/tcp open  ftp

Nmap done: 1 IP address (1 host up) scanned in 0.14 seconds
nmap sieht gut aus, aber es kommt kein Paket am dmz interface an.


ich baue mir das ganze nochmal in meinem VMware lab nach, evtl. hab ich bei der cluster config irgendwas zerkonfiguriert.

You did specify the source port?

no, it wouldn't make sense, as the src port is very unlikely same as dst port

ich hab noch weiter probiert und eine http Weiterleitung auf einen Testserver im Plan 99 gemacht, gleiches Problem.
Daher gehe ich davon aus, dass es etwas gemeinsames ist.

Gibt es irgend eine Einstellung, die Port forwarding komplett unterbindet?

Tried a http port forwarding to another vlan (99), same issue, so it must be something common.

is there any rule to disable port forwarding at all?

The FTP is with encryption, but on the standard port 21.

I tried the proxy, without luck.
But I will try again.
Tried again, not working also.

Looks like nothing is going thru the OPNsense, which is right, but not for port forwarding.

Any suggestion why the port forward is not working?