Eigene IP wird ins Internet geroutet

[matpet]

Hallo an Alle,

uns ist nach längerer Laufzeit aufgefallen, dass der Zugriff auf die OPNSense aus dem internen LAN nicht möglich ist.
Die Konfiguration ist nicht sonderlich kompliziert. Konfiguriert sind 4 Interfaces LAN (192.168.1.254), LAN-LTE (192.168.3.254), LAN-Gast (192.168.2.254) und WAN (192.168.140.1). Eingerichtet ist noch OpenVPN. Es gibt ein Paar Standard Regeln damit gewünscht Ports der 3 Schnittstellen ins Internet kommen.

Ein Ping aus dem Netz 192.168.1.0/24 ist nicht möglich. Der Trace auf die IP zeigt, dass die Pakete über die WAN Schnittstelle gesendet werden. Über eine VPN Verbindung kann aber  zugegriffen werden.
Wir finden die Ursache nicht. Ansonsten arbeitet die Firewall wie gewünscht.

In Hoffnung auf einen Tipp - VG

[Patrick M. Hausen]

Ist bei der entsprechenden Allow-Regel vielleicht explizit ein Gateway gesetzt?

Ist evtl. bei dem LAN-Interface ein Gateway gesetzt? Das ist normalerweise nur auf dem WAN-Interface nötig und sinnvoll.

[matpet]

Bei dem LAN Interface ist "Automatische Erkennung" eingestellt.
Was noch konfiguriert ist, ist Multi WAN um automatisch auf das LTE umzuschalten falls DSL ausfällt. Deshalb ist auf den LAN-LTE und dem WAN das entsprechende Gateway gesetzt.

[Maurice]

Wenn Du in Firewall-Regeln explizit ein Gateway oder eine Gateway-Gruppe setzt (policy-based routing), dann musst Du weitere Regeln mit höherer Priorität erstellen, um lokale Netze oder auch OPNsense selbst erreichen zu können.

Grüße
Maurice

[matpet]

Das war es was wir nicht wussten.
Es wurde eine Regel ganz oben platziert - LAN-Netz darf auf Firewall-IP mit https - funktioniert. Der Zugriff ist wieder möglich.
Vielen Dank Maurice und Grüße zurück