Kein Internet-Zugriff möglich (LAN -> WAN)

[lukesky333]

Hallo Leute,

ich komm mal mit einer absoluten Anfängerfrage. Ich kenne das Problem, finde aber absolut keine passende Lösung bzw. suche ich wohl nach dem falschen...

Und zwar habe ich folgendes Problem:

Ich möchte mein Netz WAN-seitig dicht machen und nur ausgehenden Traffic incl. dessen Antworten zulassen. Eigentlich war ich der Meinung, dass sollte "einfach so" funktionieren - dem scheint wohl nicht so zu sein.
Ich nehme mal an, dass entweder die passende Firewall-Rule fehlt oder/und die NAT-Rule.

Kann mir da vielleicht jemand flott auf die Sprünge helfen, wo es da haken könnte?

Vielen Dank und nochmal Sorry für diese "schwache" Frage!

[Patrick M. Hausen]

Ich möchte mein Netz WAN-seitig dicht machen und nur ausgehenden Traffic incl. dessen Antworten zulassen.

Das ist doch der Default-Zustand. Bei einer frisch installierten OPNsense ist genau das die Konfiguration. Wie bei jedem Consumer-Router auch.

[lukesky333]

Das ist doch der Default-Zustand.

Das hätte ich auch gedacht, aber es funktioniert nicht. Ich vermute stark, dass es am evtl. nicht funktionierenden NAT liegen könnte. ...bin echt ratlos!

[Patrick M. Hausen]

Frische Installation, PC an LAN hängen.

- bekommst du eine IP-Adresse aus 192.168.1.0/24?
- kannst du das UI unter https://192.168.1.1 aufrufen?

Wenn beides "ja", dann WAN anschließen und konfigurieren (PPoE für DTAG, DHCP, whatever ...)

Dann muss das ohne weitere Änderungen gehen und so sollte man auch vorgehen. Wenn es nicht funktioniert, ist die einzige Stelle, an der man vorläufig debuggen muss, die WAN-Konfiguration. Alles andere lass wie es ist.

[lukesky333]

Dann muss das ohne weitere Änderungen gehen und so sollte man auch vorgehen. Wenn es nicht funktioniert, ist die einzige Stelle, an der man vorläufig debuggen muss, die WAN-Konfiguration. Alles andere lass wie es ist.

LAN-mäßig läuft alles. Ich komme auf den Router und kann auch alles konfigurieren. Der Router hängt WAN-seitig auch im Netz und ich kann vom Router aus auch auf die IPs/Ports verbinden.

Versuche ich es aus dem LAN oder am Router unter "Interfaces: Diagnostics: Port Probe" mit einer LAN IP, dann geht nichts.

Deshalb meine Vermutung, dass irgendwas mit dem NAT nicht funktioniert...

[Patrick M. Hausen]

Mal bitte mal einen Plan mit IP-Adressen ...

[lukesky333]

Mal bitte mal einen Plan mit IP-Adressen ...

Code Select Expand


    **
     ****
        ****                                                                                                       ┌──────────────────────┐
             *                                                                                                     │                      │
             *                                                                                               ┌─────┤ PC1 (192.168.50.100) │
           ***                                                                                               │     │                      │
           **                                                                                                │     └──────────────────────┘
             **                                                                                              │
              **                **          ***                                                              │
                *             **  **      **   **                                                            │
                **            *    *******      *                       ┌────────────┐                       │     ┌──────────────────────┐
                 *          **                   *       192.168.10.238 │            │ 192.168.50.1          │     │                      │
                *───────────      Company-LAN     ──────────────────────┤ OPNsenseRT ├───────────────────────┼─────┤ PC2 (192.168.50.101) │
WAN             **        *                      *                      │            │                       │     │                      │
                  **       **                   **                      └────────────┘                       │     └──────────────────────┘
                    *        ***                  *                                                          │
                   **           *********   *** **                                                           │
                  **                    *****  *                                                             │
                *                                                                                            │     ┌──────────────────────┐
              **                                                                                             │     │                      │
             *                                                                                               └─────┤ PC3 (192.168.50.102) │
            *                                                                                                      │                      │
           **                                                                                                      └──────────────────────┘
  *****  ****
**     ***


[Patrick M. Hausen]

192.168.50.1 ist nicht die Default-Adresse. Mach eine Default-Installation und probier, ob danach alles geht. Danach kann man schrittweise weiter machen.

[lukesky333]

192.168.50.1 ist nicht die Default-Adresse. Mach eine Default-Installation und probier, ob danach alles geht. Danach kann man schrittweise weiter machen.

Kann ich erst am Montag machen, vorher komme ich nicht mehr dazu.

Aber glaubst Du wirklich, dass die IP daran Schuld sein kann? Ich kann sogar vom PC hinterm Router rauspingen, nur bei allen anderen Requests bekomme ich  nichts zurück.

[Patrick M. Hausen]

Es geht darum einen definierten Zustand herzustellen, von dem man weiß, dass er funktionieren *muss*.
Dann kann man nach jeder Änderung schauen, ob es danach immer noch funktioniert oder eben nicht.

Debug 101.

Es liegt natürlich nicht isoliert an den IP-Adressen. Aber bei einer frischen OPNsense passen IP-Adressen auf LAN und alle anderen Einstellungen zusammen. Ich habe aus der Ferne keine Ahnung, was bei dir vergurkt sein könnte und einfach wenig Lust, jede Möglichkeit zu durchdenken und abzufragen, wenn man auch systematisch vorgehen kann. Es gibt drölfzig Dinge, die kaputt sein könnten.

[amichel]

Was genau geht denn nicht?
Mir fällt nur auf, dass Deine WAN IP ja auch aus einem 192.168.x.x Netz ist, das sind ja die Private Netze und da gibt es soweit ich weiß ja am WAN Port eine Regel die automatisch alle privaten Netze blockt. Und wenn jetzt vor Deiner OPnsene noch ein  router steht der natted, dann hat der auch eine IP aus dem 192.168.10.x Netz und die Opnsense blockt dann diesen, und die Antwort aus dem Internet wird gedropped.

[lukesky333]

Das mit dem privaten Netzwerk am WAN Interface ist richtig so. Die entsprechenden Settings habe ich natürlich berücksichtigt.

Ich habe jetzt alles nochmals durchgeschaut und bin mir eigentlich sicher, dass beim Setup von OPNsense alles passen muss. Deshalb hab ich den Netzwerk-Admin kontaktiert und nach einigem hin und her ging es dann plötzlich.
Ich vermute also, dass da im "großen" Netz etwas firewall-mäßig geblockt wurde.

Auf jeden Fall vielen Dank für Eure Hilfe!