Auf Webinterface aus fremdem Subnetz zugreifen

[Alpini]

Hallo,

wir haben mehrere Router und Subnetze in unserer Netzwerkstruktur und ich habe das Problem, dass ich in das Webinterface von OPNsense nur reinkomme, wenn ich selbst eine IP in diesem Subnetz habe. Versuche ich eine Verbindung aus einem Nachbarsubnetz herzustellen, bekomme ich keine Verbindung. Lässt sich dieses Verhalten irgendwo beeinflussen? Firewall?

Im Anhang noch ein simples Bild zur Veranschaulichung. Das Routing vom Netz 192.168.1.0 ins Netz 192.168.3.0 funktioniert generell. Zu anderen IPs kann verbunden werden.

Im Firewall-Log sehe ich nicht, dass Pakete in dem Zusammenhang gesperrt werden.

V.G. Stefan

[lenny]

Hast du die entsprechende Regel für den IP kreis bedacht?
Standard ist nur der bekannte LAN Bereich bzw. der Bereich der verschiedenen Interface, sofern deine Einstellung der OPN Gui auf "alle Interface" hört.

[Alpini]

Hallo Lenny,

so richtig kann ich noch nicht folgen. Ich beschreibe mal, was eingestellt ist und wie ich es verstehe, vielleicht ist so mein Denkfehler erkennbar.

Die Gui hört auf allen Interfaces (Standardeinstellung). In den Regeln für das WAN-Interface gibt es keine Regel, die die entsprechenden Ports öffnet, damit die Gui nicht nach außen offen ist. In den LAN-Interface Regeln gibt es die "Anti-Aussprerrregel", die die Ports 80 & 443 für alle Quell-IPs öffnet (dadurch gelangt man überhaupt ins Webinterface). Dass diese Regel greift und den Zugriff erlaubt, sieht man auch bei einem erfolglosen Gui-Zugriffsversuch z.B. in der Liveansicht der Firewall-Logs. Dadurch verstehe ich noch nicht, was du mit der "entsprechenden Regel für den IP kreis" meinst, ich hätte gedacht die "Anti-Aussperrregel" genügt?

Wenn ich nochmal neu darüber nachdenke, vermute ich, dass mein Problem nicht Firewall sondern allgemein Routing (bzw. Gateway) bezogen ist. Dadurch, dass ich über einen anderen Router ins Subnetz von OPNsense geroutet werde müsste OPNsense die Antwortpakete ja auch in dieses Netz zurücksenden, schickt diese aber vielleicht an ein anderes Gateway? Ich glaube hier sollte ich weitersuchen...


VG und Danke für die Hilfe, Stefan

[lenny]

Wo ich deinen Post so las, kam mir auch der Gedanke mit dem Routing. Du musst eine statische Route für das "fremde" Netz an das nächste Gateway anlegen.
Ich glaube, dass war über "Schnittstelle"

[Alpini]

Hallo Lenny,

genau das war es! Ich habe unter System->Gateways meinen Router 192.168.3.2 als Gateway eingetragen und ans LAN-Interface gebunden. Und dann weiterhin unter System->Routen->Konfiguration eine statische Route ins Netz 192.168.1.0/24 übers zuvor angelegte Gateway eingetragen. Fein überall "Anwenden" drücken und es funktioniert :-)

Danke nochmals und viele Grüße,

Stefan