Zugriff aus einem Netz ins andere wird teilweise geblockt

Started by MatthiasQ, January 26, 2022, 08:20:15 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 26, 2022, 08:20:15 AM Last Edit: January 26, 2022, 10:33:16 AM by MatthiasQ
Moin zusammen,

mein Name ist Matthias, komme aus Garbsen bei Hannover, bin Fachinformatiker FR Anwendungsentwicklung und habe in meinem Job auch mit einer Stormshield und einer UTM zu tun. Durch die damalige Erfahrung habe ich mir auch eine UTM für zu Hause gebastelt und die dazugehörigen Access Points gekauft. Mittlerweile war mir die UTM zu langsam und eingeschränkt (max. 50 IP-Adressen) und wollte nun auf eine OPNsense wechseln.

Grundsätzlich hat das auch ganz toll funktioniert und ich kann nun meine beiden Anschlüsse (Vodafone Kabel 1GBit und Telekom DSL 100 MBit) gleichzeitig nutzen bzw. als Failover - Bin im HO und das war wir daher sehr wichtig.

Nun aber zu meinem Problem und dazu ein Ausschnitt aus meinem Netz im Anhang (Habe grad gesehen, dass sich da ein Fehler eingeschlichen hat. Ist natürlich 192.168.96.0/24 und nicht 192.168.96.250/24) . Der Home Assistant 192.168.96.206 soll per MQTT mit dem Raspberry 192.168.97.202 im WLAN kommunizieren. Mit ist klar, dass das derzeit nicht ganz sauber ist und die UTM eigentlich mit einem eigenen Netz direkt an der OPN hängen sollte, aber das kommt noch - Habe über die UTM noch IPSec mit einigen Fritzboxen am Laufen und die möchte ich ungern auf die OPN migrieren und warte hier auf Wireguard bei den Fritzen (leider erst im Leak der nächsten Labor).

Hier das Log aus der Firefall:

__timestamp__   Jan 26 07:55:39
ack   2648473450
action    [block]
anchorname   
datalen   0
dir    [in]
dst   192.168.97.202
dstport   44992
ecn   
id   0
interface   igb0
interface_name   LAN
ipflags   DF
ipversion   4
label   Default deny rule
length   60
offset   0
protoname   tcp
protonum   6
reason   match
rid   02f4bab031b57d1e30553ce08e0ec131
rulenr   9
seq   2641055544
src   192.168.96.206
srcport   1883
subrulenr   
tcpflags   SA
tcpopts   
tos   0x0
ttl   63
urp   65160

Greife ich von meinem Rechner auf den Raspberry per HTTP über Port 1880 zu, dann kriege ich ein Pass:

__timestamp__   Jan 26 08:09:43
ack   
action    [pass]
anchorname   
datalen   0
dir    [out]
dst   192.168.97.202
dstport   1880
ecn   
id   41601
interface   igb0
interface_name   LAN
ipflags   DF
ipversion   4
label   let out anything from firewall host itself
length   52
offset   0
protoname   tcp
protonum   6
reason   match
rid   fae559338f65e11c53669fc3642c93c2
rulenr   73
seq   1248887593
src   192.168.96.22
srcport   56849
subrulenr   
tcpflags   S
tcpopts   
tos   0x0
ttl   127
urp   64240

Ich habe nun schon alles in den Regeln versucht (letztes Beispiel siehe Anhang), aber mir erschließt sich einfach nicht, warum 1880 HTTP durchgeht und 1883 MQTT nicht.

Anstatt der Hosts in meiner Regel habe ich auch schon die kompletten Netze versucht - ohne Erfolg. Kann mich bitte jemand in die richtige Richtung stupsen. Die Kinder frieren schon, weil der Home Assistant die Heizung nicht einschalten kann :D.

VG

Matthias
January 26, 2022, 04:02:33 PM #1
Mir fällt nur auf, dass hier der DST Port nicht MQTT entspricht. Fehlt da eventuell die Regel für?



__timestamp__   Jan 26 07:55:39
ack   2648473450
action    [block]
anchorname   
datalen   0
dir    [in]
dst   192.168.97.202
dstport   44992
i want all services to run with wirespeed and therefore run this dedicated hardware configuration:

AMD Ryzen 7 9700x
ASUS Pro B650M-CT-CSM
64GB DDR5 ECC (2x KSM56E46BD8KM-32HA)
Intel XL710-BM1
Intel i350-T4
2x SSD with ZFS mirror
PiKVM for remote maintenance

private user, no business use
January 26, 2022, 04:33:35 PM #2
Ich habe die Ports in meinen Regeln überhaupt nicht eingeschränkt. Anbei mein aktueller Versuch und die dazugehörigen Aliases.
Print
Go Up Pages1
User actions