[Geschlossen ohne Lösung] Zweites Netz hat keinen Zugriff auf das Internet

[Michael237]

Hallo zusammen

Schon lange hatte ich vor, eine eigene Firewall in Betrieb zu nehmen welche aktuell ist und bei der ich mehr Möglichkeiten habe als mit der existierenden. So bin ich bei OPNsense gelandet. Ich habe OPNsense installiert und wollte dies nun einsetzen. Bis jetzt benutze ich eine Cisco RV180. Ich habe zwei Netze, ein Kabelgebundenes und eines für WLAN-Geräte. Folgend der Aufbau:

Code Select Expand


    WAN / Internet
          |
    +-----+-----+
    | ADSL-Box  |  No access
    +-----+-----+
          |192.168.0.254
          |
          |192.168.0.11
   +------+------+  192.168.3.0/24 --> 192.168.2.2 (static)
   | OPNsense /  |  0.0.0.0/0      --> 192.168.0.254
   | Cisco RV180 |  DHCP for 192.168.2.0/24
   +------+------+
          |192.168.2.1
          |
   192.168.2.0/24  Wired LAN
          |
          |192.168.2.2
  +-------+-------+  0.0.0.0/0 --> 192.168.2.1
  |   dd-wrt 1    |  DHCP for 192.168.3.0/24
  +---+---+---+---+  Router mode
      |   |   |192.168.3.1
      |   |   |
      |   | 192.168.3.0/24  Wireless LAN with SSID A / Channel 11
      |   +--------------------------------------+
      |192.168.3.2                               |192.168.3.3
+-----+-----+  0.0.0.0/0 --> 192.168.3.1   +-----+-----+  0.0.0.0/0 --> 192.168.3.1
|  dd-wrt 2 |  DHCP forwarding             |  dd-wrt 3 |  DHCP forwarding
+-----+-----+  Router mode                 +-----+-----+  Router mode
      |192.168.3.2                               |192.168.3.3
      |                                          |
192.168.3.0/24                            192.168.3.0/24
Wireless LAN with                         Wireless LAN with
SSID A / Channel 1                        SSID A / Channel 6


Mit dem Cisco-Gerät hat dies funktioniert. Mit OPNsense tut es das aber leider nicht mehr  :(. Alle wireless-Geräte habe nun keinen Zugang mehr in das Internet. Ich habe schon im Internet gesucht und auch hier im Forum. Gefunden habe ich folgendes, was aber nicht wirklich zu meinem Problem passt:

https://docs.netgate.com/pfsense/en/latest/wireless/use-an-existing-wireless-router-with-pfsense.html
https://forum.opnsense.org/index.php?topic=2328.msg7451#msg7451
https://forum.opnsense.org/index.php?topic=14898.msg68189#msg68189

Dies da ich zwei verschiedene Netze behalten will.

Weiss jemand was ich falsch mache bzw. kann mir einen Tipp geben, wie so ein Setup konfiguriert werden muss?

Vielen herzlichen Dank
Michael

[banym]

Sorry der Teil mit dem WLAN kommt mir in deinem Diagram irgendwie nicht klar rüber.

Hängt der AP in deinem 192.168.0.2 Netz und hat dort die IP 192.168.2.2.
Das WLAN Netz ist dann vermutlich 192.168.3.0/24 hab ich das so richtig verstanden?

Wenn dein WLAN Accesspoint NAT macht, müsste es ohne anpassungen gehen.

Macht dein Accesspoint kein NAT, dann müsstest du auf der OPNsense auf dem LAN Interface auch noch das 192.168.3.0/24 mit einer eigenen Regel ins Internet lassen.

Ich würde für das WLAN ein eingenes Interface auf der OPNsense nehmen, den Accesspoint in Bridged-Mode setzen und die IPs sowie das Regelwerk für das 192.168.3.0/24 Netz von der OPNsense machen lassen.

[Michael237]

banym, vielen herzlichen Dank für deine Antwort!

Dein Verständnis ist korrekt, der AP "dd-wrt 1" routet zwischen 192.168.2.0/24 und 192.168.3.0/24. 192.168.3.0/24 ist das WLAN-Netz.

Der AP macht kein NAT. Ich habe Geräte, die von 192.168.2.0/24 zugreifbar sein sollen. Dieser Zugriff funktioniert auch tadellos, dank der statischen Route 192.168.3.0/24 nach 192.168.2.2 in OPNsense.

Das mit dem eigenen Interface geht leider nicht, da die HW nur 2 davon hat.

Dein zweitletzter Absatz ist für mich interessant. Leider verstehe ich momentan nicht, wie genau eine solche Regel aussehen soll bzw. wo ich diese in OPNsense definieren kann? Gibt es dazu weitere Informationen? EDIT: Vermutlich meinst du eine Firewall Rule? Da die Geräte im 192.168.2.0/24 Netz ohne individuelle Firewall Rule ohne Probleme ins Internet kommen habe ich naiverweise angenommen, dass ohne Firewall Rules standardmässig alle Geräte ins Internet kommen. Eventuell gilt dies aber für weitere Netze nicht? Ich werde dies ausprobieren.

Nochmals vielen herzlichen Dank
Michael

[banym]

Die Regel müsstest du auf deinem LAN Interface machen.

Source: 192.168.3.0/24
Dest: ANY oder wohin du erlauben möchtest
Type: Allow

Vermutlich hast du dort nur eine Regel LAN Network oder 192.168.2.0/24 zu ANY Allow

Würde helfen wenn du einen Screenshot deiner LAN Regeln posten könntest.
Wenn das nicht hilft, könnte dein Outbound NAT noch nichts von dem 192.168.3.0/24 Netzwerk wissen und da der Hase im Pfeffer liegen, aber erstmal eins nach dem anderen.

[Michael237]

Herzlichen Dank für die Tipps! Leider war das wohl noch nicht alles und es funktioniert noch immer nicht.

Ich habe bei Firewall -> Rules -> LAN die Regel wie  beschrieben hinzugefügt (existierende Regeln darunter):

Code Select Expand

Protocol  Source          Port  Destination  Port  Gateway  Schedule  Description
IPv4 *    192.168.3.0/24  *     *            *     *        *         Default allow 192.168.3.0/24 to any rule
IPv4 *    LAN net         *     *            *     *        *         Default allow LAN to any rule
IPv6 *    LAN net         *     *            *     *        *         Default allow LAN IPv6 to any rule

Wenn ich nach einer Weile auf den Inspect Button klicke, sehe ich folgendes:

Code Select Expand


Evaluations  States  Packets  Bytes    Description
5404         190     36187    2.07 MB  Default allow 192.168.3.0/24 to any rule
567          5       2442     400 KB   Default allow LAN to any rule
74           0       0        0 bytes  Default allow LAN IPv6 to any rule


Und unter Firewall -> Log Files -> Plain View sehe ich Einträge folgender Art:

Code Select Expand

2020-04-01T12:54:59          filterlog: 73,,,0,re0,match,pass,in,4,0x0,,63,8150,0,DF,17,udp,80,192.168.3.60,192.168.2.1,26287,53,60
2020-04-01T12:54:56          filterlog: 73,,,0,re0,match,pass,in,4,0x0,,63,8068,0,DF,17,udp,70,192.168.3.60,192.168.2.1,30517,53,50

Nachdem dies noch nicht zum Erfolg ausgereicht hat, habe ich folgendes gemacht:

• Neustart der ADSL-Box.
• Unter Firewall -> NAT Outbound eine Regel für 192.168.3.0/24 hinzugefügt. Nachdem dies nichts geholfen hat, habe ich diese wieder entfernt.
• Unter Firewall -> Settings bei Network Address Translation die Option Automatic outbound NAT for Reflection aktiviert.

Das ist der momentane Stand. WLAN-Geräte haben so immer noch nicht Zugriff auf das Internet. Über weitere Tipss wäre ich sehr dankbar!

Vielen herzlichen Dank
Michael

[Michael237]

Noch als Ergänzung: folgende Regeln wurden automatisch erzeugt:

Code Select Expand

Protocol    Source         Port  Destination      Port       Gateway  Schedule  Description
IPv4 UDP    *              68    255.255.255.255  67         *        *         allow access to DHCP server
IPv4+6 UDP  *              68    (self)           67         *        *         allow access to DHCP server
IPv4+6 UDP  (self)         67    *                68         *        *         allow access to DHCP server
IPv4+6 TCP  *              *     (self)           22 80 443  *        *         anti-lockout rule
IPv4 TCP    (re0:network)  *     192.168.3.0/24   *          *        *         pass traffic between statically routed subnets
IPv4 *      (re0:network)  *     192.168.3.0/24   *          *        *         pass traffic between statically routed subnets
IPv4 TCP    192.168.3.0/24 *     (re0:network)    *          *        *         pass traffic between statically routed subnets
IPv4 *      192.168.3.0/24 *     (re0:network)    *          *        *         pass traffic between statically routed subnets

re0 ist das LAN-Interface.

[banym]

Wie hatte denn deine Outbound-Rule ausgeschaut? Du müsstes die Outbound Rules auf Hybrid setzen und eine für das 192.168.3.0/24 erstellen vermute ich.

[Michael237]

Ja, ich habe NAT auf Hybrid gesetzt. Die Regel ist wie folgt (jetzt wieder aktiviert):

Code Select Expand

Interface  Source          Source Port  Destination  Destination Port  NAT Address       NAT Port  Static Port Description
WAN        192.168.3.0/24  *            *            *                 WAN address       *         NO           NAT for 192.168.3.0/24

Es funktioniert aber leider trotzdem nicht...

[Michael237]

Ich habe nun alles nochmals probiert. Statische Route entfernt, wieder hinzugefügt, Gateway entfernt und wieder hinzugefügt, weitere Regeln ausprobiert, auch in Floating und nicht nur in LAN. Bisher kein Erfolg. Was mir noch aufgefallen ist:

In Firewall -> Log Files -> Live View findet sich folgender (seltener) Eintrag vom 192.168.3.0/24-Netz. Generell sind dort tcp Einträge recht selten, was mich wundert. Auch fällt auf, dass udp-Packet akzeptiert werden, tcp aber nicht:

Code Select Expand

Interface  Time            Source              Destination         Proto  Label
LAN        Apr 2 22:25:44  192.168.3.60:57524  172.217.168.74:443  tcp    Default deny rule

Und folgend ein paar Einträge aus Firewall -> Log Files -> Plain View:

Code Select Expand

Date                 Line
2020-04-02T22:35:03  filterlog: 8,,,0,re0,match,block,in,4,0x0,,63,30893,0,DF,6,tcp,76,192.168.3.60,108.177.127.188,58083,5228,24,FPA,407915723:407915747,2483655420,677,,nop;nop;TS
2020-04-02T22:35:02  filterlog: 68,,,0,re0,match,pass,in,4,0x0,,63,12956,0,DF,17,udp,68,192.168.3.60,192.168.2.1,56890,53,48
2020-04-02T22:35:02  filterlog: 68,,,0,re0,match,pass,in,4,0x0,,63,12948,0,DF,17,udp,87,192.168.3.60,192.168.2.1,43779,53,67
2020-04-02T22:35:01  filterlog: 68,,,0,re0,match,pass,in,4,0x0,,63,12942,0,DF,17,udp,77,192.168.3.60,192.168.2.1,58822,53,57
2020-04-02T22:35:01  filterlog: 8,,,0,re0,match,block,in,4,0x0,,63,30892,0,DF,6,tcp,78,192.168.3.60,108.177.127.188,58083,5228,26,PA,407915697:407915723,2483655420,677,,nop;nop;TS

[Michael237]

Ich habe nun aufgegeben. Schade dass es nicht so offensichtlich ist, wie das funktioniert.  :(

Ich habe nun das Netz per USB-Netzwerkkarte an OPNsense angeschlossen, was auf Anhieb funktioniert hat. Leider habe ich dadurch einen Single Point of Failure. D.h. nicht nur Internet wird bei einem Ausfall der OPNsense Firewall betroffen sein sondern auch das interne Netz... Und der Durchsatz ist sicher auch nicht so berauschend.

Trotzdem Danke für die Hilfe!