[GELÖST] Werde nicht geroutet... oder nicht durchgelassen

[Emma2]

'n Abend.

Ich habe einen Fehler in meiner "geklonten" opnSense... und finde ihn alleine nicht :-(

Folgendes Szenario: meine opnSense läuft als Hyper-V-VM und tut alles, was ich von ihr möchte.
Nun will ich sie auf einen Ubuntu/Virtualbox-Host transferieren, was ich bereits getan habe.
Ich habe sie auf dem neuen Host "neu eingerichtet": einige Schnittstellen mussten neu eingerichtet werden, und eine Regel war auf der Strecke geblieben (genau die Regel, um die es eventuell geht).

Nun läuft "fast alles" wieder, ich komme nur nicht in ein bestimmtes Subnetz (und das ist leider das mit meinem DSL-Modem, da muss ich manchmal rein).

Ich habe eine Skizze angefertigt und hänge diese an: Mit der "originalen" opnSense kann ich kreuz und quer zwischen den Subnetzen zugreifen (das muss ich noch verbessern, ist hier aber nicht Thema). Mit der "geklonten" opnSense kann ich zwar zwischen "Client" und "Server" in beiden Richtungen zugreifen, nicht aber auf "Zyxel" ins Subnetz 10.0.0.0/24.

Seltsamerweise war nach der Portierung der VM genau eine Regel "verschwunden", nämlich die, die den Zugriff vom Netz 10.0.0.0/24 auf alle anderen zulässt. Diese Regel habe ich nun neu erstellt, aber irgendwie hat das nicht geholfen. Ich habe deshalb aus beiden Versionen die Konfigurationen heruntergeladen und die XMLs verglichen. Die Regel existiert natürlich in der Originalversion (Anhang "Regel-aus-HyperV"), aber in der geklonten Version existiert sie ZWEI MAL (Anhang "Regel-aus-Virtualbox"). Ich SEHE sie aber in der opnSense-GUI nur einmal!

(Idee: Im Schnittstellenüberblick steht bei mit "opt 2" - kann da etwas schief gegangen sein? "opt 3" ist eine zur Zeit unbenutzte Netzwerkkarte. Aber ich finde auch keine Stelle, die mir die Netzwerkports anzeigt bzw. wo ich "Netze" definieren kann.)

Was habe ich falsch gemacht? Oder wo ist der Fehler? Und wie kann ich ihn reparieren?

Riesendank im Voraus!

[lfirewall1243]

Hat sich evtl die wann IP bzw. MAC geänderte und jetzt findet das zyxel die OPNsense nicht mehr?

[Emma2]

Danke für die schnelle Antwort!
Zunächst eine Korrektur meines Postings:
Die "Reihenfolge" der Netzwerkadapter hat sich geändert (aus hn1 und hn2 sind nun em2 und em1 geworden).
Deshalb war die Regel nicht verschwunden sondern der anderen Karte zugeordnet (deshalb wohl zweimal in der Konfiguration). Diese zweite Regel habe ich nun gelöscht.

Jetzt zu deiner Rückfrage: die IPs sind alle gleich geblieben (ich starte momentan immer nur eine der beiden VMs, um Kollisionen zu vermeiden), aber die MACs haben sich natürlich geändert (andere - virtuelle - Hardware).
Aber das kann ja nicht der Grund für mein Problem sein: ins andere Subnetz komme ich ja, und außerdem will ich das Zyxel ja nur an-PING-en bzw. eigentlich auf sein Webinterface zufreifen.

Ich erinnere mich, dass ich dafür damals die Regel "Erlaube vom Netz 10.0.0.0./24 ins 192.168.0.0/24" brauchte und sie als "10.0.0.0 -> ANY" eingegeben habe.)

Die Zuordnung der Netzwerkports zu den Schnittstellen muss stimmen, denn sonst käme ich ja nicht ins Internet (d.h. das Zyxel ist ja mein PPPOE-Gerät).

Ich habe nun nach dem Entfernen der unnötigen Regel noch einmal die XMLs verglichen, und die "nicht funktionierende" Regel lautet:

    <rule>
      <type>pass</type>
      <interface>opt3</interface>
      <ipprotocol>inet</ipprotocol>
      <statetype>keep state</statetype>
      <descr>Allow everything from Zyxel (to be hardened)</descr>
      <direction>in</direction>
      <quick>1</quick>
      <source>
        <network>opt3</network>
      </source>
      <destination>
        <any>1</any>
      </destination>
      <updated>
        <username>root@192.168.0.117</username>
        <time>1613759027.4636</time>
        <description>/firewall_rules_edit.php made changes</description>
      </updated>
      <created>
        <username>root@192.168.0.117</username>
        <time>1613758951.5468</time>
        <description>/firewall_rules_edit.php made changes</description>
      </created>
    </rule>

wobei sie identisch ist mit der "funktionierenden", lediglich hat sie zwei Zeilen mehr:

      <direction>in</direction>
      <quick>1</quick>

Kann das das Problem sein? Aber die entsprechenden Regeln sind alle "In"-Regeln...

[Emma2]

Was mich auch grundsätzlich ein bisschen verwirrt: es gelingt mir "irgendwie gar nicht", meine Rufe von einem ins andere Subnetz in den Protokollen der Firewall zu sehen... weder den Erfolg noch den Misserfolg.
Was muss ich dazu denn tun, dass ich diesen Verkehr sehe?

[Emma2]

Nochmal ein Update: Es liegt definitv nicht daran, dass das Zyxel nicht antwortet. Ein anderer Rechner im Subnetz 10.0.0.0724 ist ebenfalls nicht zu erreichen. Es ist also eindeutig so, dass die opnSense micht nicht durchlässt oder nicht weiterroutet.

Wäre cool, wenn Ihr mir helfen könntet, wo ich das nachsehen bzw. einschalten kann.

[lfirewall1243]

Ich würde sagen
Schalte Mal dass logging ein für diese Regeln und schaue im Live Log.

Hat sich evtl eine Outbound NAT Regel geändert? Da es ja nur auf dem WAN Interface so ist

[micneu]

Meine Empfehlung:
- Backup von der original Sense konfig
- frische neu vm sense aufsetzen
- mit einem Texteditor und bedacht suchen ersetzen der Schnittstellen
- einlesen der editierten Konfiguration in der neuen Sense
- Neustart der sense

Natürlich in der neuen vm Sense die Schnittstellen anlegen/Zuweisen


Gesendet von iPad mit Tapatalk Pro

[Emma2]

Hat sich evtl eine Outbound NAT Regel geändert? Da es ja nur auf dem WAN Interface so ist

Sorry, das war meine etwas ungeschickte Benennung: WAN ist nicht wirklich WAN. Meine OPNsense nutzt das Zyxel als DSL-Modem für den Netzzugang. WAN ist lediglich die physische Schnittstelle, über die ich mit dem Zyxel selbst kommuiziere.

Staus jetzt ist, dass ich die geklonte OPNsense im produktiven Einsatz habe, denn bis auf den Zugriff aufs Zyxel läuft alles auf Anhieb. Und das Zyxel kann ich zur Not durch dirktes Anstöpseln konfigurieren.

Ich habe jetzt mal "das Buch" gekauft und lese mich ein, um dann meine Frage fundiert angehen zu können. Ich lasse den Thread daher geöffnet.

Danke bis hier!

[lfirewall1243]

Hat sich evtl eine Outbound NAT Regel geändert? Da es ja nur auf dem WAN Interface so ist

Sorry, das war meine etwas ungeschickte Benennung: WAN ist nicht wirklich WAN. Meine OPNsense nutzt das Zyxel als DSL-Modem für den Netzzugang. WAN ist lediglich die physische Schnittstelle, über die ich mit dem Zyxel selbst kommuiziere.

Staus jetzt ist, dass ich die geklonte OPNsense im produktiven Einsatz habe, denn bis auf den Zugriff aufs Zyxel läuft alles auf Anhieb. Und das Zyxel kann ich zur Not durch dirktes Anstöpseln konfigurieren.

Ich habe jetzt mal "das Buch" gekauft und lese mich ein, um dann meine Frage fundiert angehen zu können. Ich lasse den Thread daher geöffnet.

Danke bis hier!

Dennoch sind Default ja Outbound regeln auf dem WAN interface.

Sonst müsste dein zyxel ja alle Netze hinter der OPNsense kennen und eine Route hinterlegt haben.

[Emma2]

Meine Empfehlung:

Ich bin etwas ungeschickter vorgegangen: ich habe "einfach" die  virtuelle Platte geklont und die HV-VM auf VirtualBox neu aufgesetzt, also streng genommen die OPNsense geklont. Das hat ja auch "ziemlich gut" geklappt... bis auf die Schnittstellen.

... und den Grund dafür kenne ich jetzt vermutlich auch: die NICs der neuen VM haben ja andere MACs. Als ich heute die temporäre OPNsense mit identischen MACs geklont habe, lief tatsächlich ALLES auf Anhieb.

Falls meine Erklärung stimmt (tut sie das?), ist mir klar, wieso einige Schnittstellen auf der Strecke geblieben sind. Aber dann istället mir nicht klar: Warum nicht alle? Dass eine neue virtuelle NIC die selbe MAC wie eine bestehende hat, ist ja wohl extremst unwahrscheinlich. Und bei mir sind zwei von vier Schnittstellen erhalten geblieben. Seltsam?

[Emma2]

Dennoch sind Default ja Outbound regeln auf dem WAN interface.
Sonst müsste dein zyxel ja alle Netze hinter der OPNsense kennen und eine Route hinterlegt haben.

Ganz sicher hast Du Recht, aber hier fehlt es mir an Grundlagen... deshalb lese ich ja auch "das Buch".
Für mich ist nur seltsam, dass es mit "identischer" Konfiguration einmal funktioniert (Original) und einmal nicht (Klon).

KÖNNTE folgendes zutreffen: auf dem Zyxel habe ich kein Gateway eingetragen, dann kann es nur "über NAT" antworten. Durch das Klonen ging die NIC am Zyxel, verloren, und die neu angelegte hat keine Outbound-NAT-Regel. Kann es so sein?

[lfirewall1243]

Ja deine OPNsense wird wahrscheinlich kein Outbound NAT machen
Firewall->NAT->Ausgehend

Daher weiß dein Zyxel nicht wohin mit den Antwortpaketen, da diese aus einem Netz kommen das er nicht kennt


Erstell dort einfach eine manuelle Regel, danach sollte es dann laufen

[Emma2]

Jau, danke, das leuchtet ein. Ich probiere das mal.
WENN es danach funzt, dann muss ich zur Kontrolle nur die identische Regel in der alten Konfiguration finden.
Ich werde berichten.

[Emma2]

Ja deine OPNsense wird wahrscheinlich kein Outbound NAT machen
Firewall->NAT->Ausgehend

Daher weiß dein Zyxel nicht wohin mit den Antwortpaketen, da diese aus einem Netz kommen das er nicht kennt


Erstell dort einfach eine manuelle Regel, danach sollte es dann laufen

Yup, bingo, das war es. Ganz heißen Dank!

... und tatsächlich war die Regel da, nur war sie - vermutlich durchs Klonen bei gleichzeitig anderer "Reihenfolge" der NICs - nun an eine andere Schnittstelle gebunden. Da wird dann auch klar, wieso sie in beiden Konfigurationen (der originalen und der übertragenen) enthalten war, war sie ja auch, sogar gleich in beiden... nur leider in der geklonten OPNsense ans falsche Netz gebunden...  Mein Hauptfehler war jedoch wohl der, dass ich beim "optischen Vergleichen" beider Konfigurationen (in der jeweiligen GUI) den Unterschied nicht mehr gesehen habe... war halt doch schon etwas spät am Freitag (das ist eine Erklärung, keine Entschuldigung)...

Jetzt läuft's auf alle Fälle... und besonders gut ist, dass ich hierdurch angeregt bin, "das Buch" zu lesen und mein Verständnis zu vertiefen.

Nochmals vielen Dank für den immer wieder tollen Support hier!