Firewall blockiert (wahllos?) ausgehende Verbindungen

[meschmesch]

Hallo, die Firewall scheint wahllos ausgehende Verbindungen zu blockieren, darunter Verbindungen zu Port 443 die ich garantiert nirgendwo geblockt habe. Wenn ich im Log der Firewall auf das "i" gehe, wird mit irgendwas mit Default deny rule und rulenr 21 angegeben. Wenn das in der Reihenfolge der Rules für das Interface tatsächlich die Nr. 21 ist, dann lande ich bei einer Pass-Regel Ipv4 auf alles. Der Block von Ipv6 zeigt rulenr 22, was eine pass rule von IPv6 auf alles ist... (die letzte Regel in der Liste der Firewall-Regeln).

Irgendwas läuft hier schief...  Hat jemand eine Idee, wie ich der Ursache auf den Grund gehen kann?

[superwinni2]

Achtung... Die Regelnummer kannst du nicht einfach in der GUI durchzählen soweit ich weiß sondern musst du dir dann schon via CommandLine ausgeben lassen und durchzählen...

Poste bitte eine Zeichnung deines (relevanten) Netzwerkes und den kompletten Bereiche des Paketes.
Ich hatte sowas bereits öfters an den der TCP-State nicht gestimmt hatte und daher das Problem verursacht wurde

Gesendet von meinem OnePlus 8t mit Tapatalk

[meschmesch]

Fritzbox Wan ipv4 und ipv6 und als Failover LTE nur ipv4, über eine Gateway Gruppe. Dann 3 verschiedene interne Interfaces. Alle interne Kommunikation läuft über den Default Gateway, die letzten drei Firewall Regeln sind allow all ipv4 intern default gateway, allow all ipv4 extern Failover gateway, allow all ipv6 default gateway.

Ist das verständlich? 


Was genau musst du wissen?

[Patrick M. Hausen]

Ich hatte hier gerade ein ähnliches Phänomen. Ich schilder das mal, vielleicht hilft es Dir.

Ich habe hier in meinem Home-Office zwei Netze. Per VLAN, aber das spielt keine Rolle. In einem davon liegen alle privaten Systeme, der Daddel-Rechner vom Junior, das Apple-TV, das ganze WLAN sowieso.

Das andere ist nur kabelgebunden und hat einen permanenten IPsec-Tunnel in meine Firma. Da hängt dann der Laptop am Schreibtisch dran.

Nun will ich von meinem Laptop auf das Familien-NAS zugreifen, das in dem ersten Netz steht. Eigentlich stehen alle Regeln auf "allow". Trotzdem greift laut Logfile die "deny all" Regel.

Ursache: das NAS hat ein Interface in beiden Netzen. Weil es auch über das IPsec-VPN in die Firma muss - da steht ein zweites NAS, und da läuft Backup. Der SMB-Dienst auf dem NAS lauscht zwar nur auf dem "Familien"-Netz, aber das spielt keine Rolle, denn ...

TCP-Handshake.

Mein Laptop schickt ein SYN durch die OPNsense durch zum NAS.
Das NAS schickt ein SYN/ACK zurück. Mit der richtigen Source-Adresse des SMB-Dienstes. Also Familien-Netz.
Aber! Es schickt dieses Paket, das ja an meinen Laptop adressiert ist, trotzdem zu dem "Firma" Interface raus. Und damit an der OPNsense vorbei. Weil für Routing immer nur die Ziel-Adresse relevant ist.

Damit kriegt die OPNsense nicht mit, dass da ein ordentliches SYN-SYN/ACK stattgefunden hat, und lehnt alle weiteren Pakete von meinem Laptop zu dem NAS ab.

Guck Dir mal im Detail an, was da bei Dir passiert. Wahrscheinlich ist es etwas ähnliches.

[meschmesch]

Ok, ich bilde mir ein, dass das Problem erst besteht, seit ich zwei Gateways habe. Was im 'Detail' kann ich tun, um dem Problem auf den Grund zu gehen? Ich habe keine Ahnung wo ich anfangen soll?

[Patrick M. Hausen]

Mit tcpdump/Wireshark auf den beteiligten Endsystemen nachgucken, wo die Pakete lang fließen.

[meschmesch]

Offen gestanden habe ich keine Ahnung, wie ich das mache?

Unabhängig davon scheint das Problem tatsächlich am LTE-Interface und dem zugehörigen Gateway zu liegen. Ist dieses deaktiviert, läuft alles normal. Also, das LTE-Interface hat wie das WAN-Interface jeweils einen Gateway. Die beiden Gateways sind zusammen zu einer Gateway-Gruppe zusammengefasst, wobei der normale WAN-Gateway Tier1 und der LTE-Gateway Tier2 ist (Umschalten bei Packet-Loss). Unabhängig davon gibt es noch ein Ipv6 Gateway (WAN), der aber nicht Teil der Gateway-Gruppe ist.

Die Firewall-Regeln für IPv4 geben nun als letzte Regel an, dass auf dem LAN-Interface IPv4 IN all Source all Destination erlaubt ist, wobei als Gateway die oben genannte Gruppe eingetragen ist. Zusätzlich benötige ich davor noch eine Regel, wonach alle Lan zu Lan Kommunikation über den "Default-Gateway" erlaubt ist (welcher auch immer das ist, wo sehe ich das?). Vielleicht liegt das Problem dort?

Da meine Fritzbox (WAN) als Route das LAN-Netz eingetragen hat, benötige ich in Opnsense kein NAT. Für das LTE-Interface allerdings schon, sodass ich als Outbound NAT noch zusätzlich eingetragen habe: Interface LTE, Source Address LAN Net, Translation LET Net. Vielleicht liegt der Fehler hier?

[Patrick M. Hausen]

Lass doch den Gateway-Eintrag bei der Regel mal weg. Die OPNsense routet doch sowieso ...

[tiermutter]

Wenn man mit GW groups arbeitet braucht man diese Regel, soweit ich das verstanden habe.
Wenn man ohne GW groups arbeitet und den Gateways nur eine entsprechende Prio zuordnet, geht es ohne die "allow LAN to any" rule, welche die GW group per default routet.

Ich habe mein Failover ebenfalls mit GW Groups aufgebaut und habe ebenfalls ständige "Default deny" Einträge durch out of state packets seit der Einrichtung. Den Aufbau ohne GW groups habe ich noch nicht ausprobiert.

[meschmesch]

Das funktioniert auch, ich habe hierzu (weiß nicht ob notwendig?) unter Systems->Settings->General->Gateway switching aktiviert. In den Firewall-Regeln ist nun nichts, was spezifisch für irgend einen Gateway wäre. Outbound-Nat habe ich gelassen, wie oben angegeben, geht nicht anders.

Aber das Ergebnis ist dasselbe. Sobald der Gateway umgeschaltet wurde von WAN auf LTE und anschließend wieder zurück, läuft der Firewall-Log voll.

Und nun?

Nachtrag: Es scheint so, als ob eine halbe Stunde später wieder alles normal laufen sollte. Ich probiere das noch einige Male aus und berichte... Dennoch die Frage, ist es richtig, für das genannte Szenario unter Systems->Settings->General->Gateway switching zu aktivieren?

[meschmesch]

Also, Stand der Dinge ist, dass auch noch viele Stunden nach dem Zurückschalten des Gateways der Firewall-Log sporadische Blocks zeigt, die ich nicht nachvollziehen kann. Es handelt sich um Verbindungen, welche definitiv nicht blockiert werden dürften.

Und nun? Ignorieren?

[tiermutter]

Nach meinem Verständnis ist diese Option nur erforderlich wenn keine GW group verwendet wird und das Gateway "direkt" gewechselt werden soll, wenn das mit der höheren Prio ausfällt.
Was die Blocks in solch einem Failover Szenario angeht sehe ich eher die Optionen in den erweiterten FW Einstellungen bzgl. Multi WAN.
Unterm Strich sind solche sporadischen Blocks etwas ganz Normales, Stichwort "out of state packets" und treten auch ohne Multi WAN / Failover auf.