Internes Netzwerk Block Protokoll icmp durch automatische Regel

[Nordlicht]

Hallo,

ich bin bezüglich Opnsense gerade am Anfang und teste gerade mein System.

Opnsense ist als VM auf einer Proxmox installiert. Im LAN-Netzwerk von Opnsene befinden sich 2 LXC-Container mit einer IP Adresse 192.168.1.XXX. Die LAN-Schnittstelle selbst hat die IP 192.168.1.1.

Vor der Proxmox befindet sich eine Fritzbox mit einem eigenen Netzwerk im IP-Bereich 192.168.178.XXX.

Auf der Fritzbox habe ich ein zusätzliche IP4-Route definiert (192.168.1.0).

Aus der Web-GUI kann ich per Ping die Adressen 192.168.1.1, 192.168.1.101 etc. erreichen.

Von meinem Mac-Book wird die Anfrage auf die IP 192.168.1.101 durch eine automatische Regel geblockt; siehe Anhang (weiß nicht, wie ich den Anhang in den Post direkt einfügen kann). Der Ping auf die Adresse 192.168.1.1 geht durch.

Ich stehe gerade ein wenig auf dem Schlauch, da ich nicht weiß, wie ich den Block der automatischen Regel umgehen kann.

Viele Grüße

Nordlicht

[Maurice]

Dein Macbook ist 192.168.178.121 und hängt im LAN der Fritzbox? Hast Du denn schon irgendwelche Firewall-Regeln in OPNsense erstellt? Dann poste die mal.

Grüße
Maurice

[Nordlicht]

In einer weiteren Regel habe ich folgendes festgelegt:

- Protokoll: TCP/UDP
- Quelle: Alias Netz_Fritzbox (=192.168.178.0/24)
- Zile: LAN_Netzwerk

Die Zieladressen sind jetzt via Ping erreichbar. Laut Protokoll auch die IP 192.167.1.102 mit dem Port 9443 über TCP..

Aber: Rufe ich die Adresse 192.168.1.102:9443 auf, wird die Seite nicht geöffnet, da der Server nicht antwortet.Ich vermute hier ein Problem mit meinen Einstellungen, da Pfsense die Seite öffnet (ok, die Einstellungen passen nicht 1:1).

[Maurice]

Ggfs. in den Firewall-Regeln reply-to explizit auf das Fritzbox-Gateway setzen, um asymmetrisches Routing zu vermeiden.

[Nordlicht]

Ich habe unter "reply to" alle Möglichkeiten ausprobiert. Ohne Erfolg.

Testweise habe ich meinen Heimdall LXC-Container geclont und per DHCP eine Adresse vom Subnetz der Opnsense vergeben lassen.

Heimdall wird nur über die IP-Adresse mit http aufgerufen. Nach dem Protokoll von Opnsene alles im grünen Bereich. Auch via TCP mit Port 80.

Das Öffnen der Seiet schlägt trotzdem fehl. Per Ping klappt alles.

In Opnsense habe ich den Porttest mit der IP probiert. Die Verbindung wird hergestellt. Aber beim Aufrf über den Browser klappt das nicht. Mit Pfsense allerdings ja

[Monviech (Cedrik)]

Opnsense und Pfsense benutzen die gleichen Regelwerke im unterbau.

Einfach mal mit "pfctl -s rules" und "pfctl -s nat" auf beiden Seiten die Regeln vergleichen, vielleicht findest du dann heraus was der Unterschied ist.

[Nordlicht]

Ich habe meine Opnsense VM nochmal komplett neu aufgesetzt und Opnsense neu installiert.

Danach war mein Problem von gestern behoben. Die Verbindung zum Host 192.168.1.104 nebst Aufruf der Seite klappte ohne weitere Einstellungen. Ebenso klappt offenbar das Auflösen von DNS-Verbindungen ins Internet.

Ich war ein wenig überrascht, dass erstmal keine Regeln und Einstellungen (außer den automatischen) notwendig sind.

Jetzt werde ich erstmal die Konfiguration sichern, weiter einrichten und laufend die neuen Einstellungen Testen.

[Nordlicht]

Ich weiß jetzt, warum ich gestern Probleme hatte auf, auf meine Adressen im Subnetz (also 192.1.168.X) der Opnsene zuzugreifen.

Damit ich Zugriff auf die WebGUI habe - ohne die Firewall vorher auf der Konsole zu deaktivieren - habe ich eine Regel erstellt, die auf der WAN Schnittstelle den Zugriff über das Protokoll http auf das Ziel "Diese Firewall" ermöglicht.

Aber damit geht es dann nicht weiter. Also kein Zugriff auf 192.168.1.104 ... also dem Subnetz das die Opnsense aufbaut.

[Monviech (Cedrik)]

Eine gute Idee ist es den Port der OPNsense zu ändern, der für HTTPS und SSH verwendet wird. z.B. auf 8443 oder 4443. Damit ist der Port dann für interne Dienste hinter der Firewall frei.

System: Settings: Administration: Web GUI: TCP Port

[Nordlicht]

Danke für den Hinweis. Habe ich gerade umgesetzt.

Und nachdem ich die letzten Tage in meinem Eifer zu viele Änderungen auf einmal umgesetzt habe, werde ich jetzt Schritt für Schritt vorgehen, testen und in meiner Bookstack-Installation dokumentieren.

Mittlerweile gefällt mir Opnsene sehr gut. Baue mir das System auf dem Proxmox-Host nach und nach weiter aus.