Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Gelöst] FW LANseitig blockiert bei VLANs
« previous
next »
Print
Pages: [
1
]
Author
Topic: [Gelöst] FW LANseitig blockiert bei VLANs (Read 1598 times)
xCtrl
Newbie
Posts: 15
Karma: 1
[Gelöst] FW LANseitig blockiert bei VLANs
«
on:
November 30, 2023, 09:34:48 am »
Guten Morgen in die Runde, mein erster Beitrag hier mit Hoffnung auf etwas Hirnschmalz aus der Community
Ich setze bei Kunden seit einem Jahr OpnSense ein, i.d.R. mit klassischen LANs dahinter, /24, /22, keine VLANs.
Jetzt habe ich einen Kunden, wo der Vorgänger mit VLANs gearbeitet hat. Es kommen Aruba Switches zum Einsatz, wo die VLANs 10, 20, 30 vorhanden sind. Das Routing übernehmen die Switches. Das GW für die Clients im Netz ist 192.168.0.254/24
Die Uplinks sind entsprechend getagged. Alles an Datenverkehr wandert zum Switch im EDV-Raum (0.254/24) auf einen Port, welcher untagged ist. Dort hängt in einem eingenen Subnetz aktuell noch eine Fli4l, die weichen soll.
Der Aufbau sieht so aus:
Telekom Glas
:
:
:
.-----+-----.
| Gateway | Fibertwist
'-----+-----'
|
WAN
|
.-----+------.
| Fli4l | -> wird durch OpnSense ersetzt
'-----+------'
|
LAN | 198.51.100.254/24
|
| 198.51.100.1/24
| untagged Port
.-----+------.
| LAN-Switch | EDV-Raum
'-----+------'
| | | Tagged Ports /
| | | Routing über Switch
V10 V20 V30
...-----+------... (Clients/Servers)
Die Sense ist konfiguriert:
WAN PPPoE für Telekom Glas, VLAN7
LAN 198.51.100.254
FW LAN - default, keine weiteren Regeln
Zum ersten Test liegt mein Notebook im Netz 198.51.100.0/24. Internetverbindung steht, ich komme mit meinem Notebook raus ins Internet - Check...
Problem:
Jedes Datenpaket, was nun von den Subnetzen der VLANs über den untagged Port des EDV Raum Switches kommt, kommt an der Sense an, wird aber von der FW LANseitig geblockt mit der default deny rule. Ich sehe, aus welchem Subnetz die Pakete kommen, kein VLAN Tag oder sonst was.
ein Ping aus den Subnetzen zur Sense wird mit Timeout quittiert. Die ICMP Echos sehe ich auch in der Firewall geblockt. Ein Ping aus dem Netz, wo die Sense sitzen soll in die VLANs funktioniert.
Ich stehe auf dem Schlauch und bräuchte einen Gedankenanstoß. Ich freue mich auf Rückmeldungen
Gruß
Chris
«
Last Edit: January 13, 2024, 03:49:29 pm by xCtrl
»
Logged
Ich nutze IPU Systeme
IPU 451
IPU 613
Saarbremer
Sr. Member
Posts: 353
Karma: 14
Re: FW LANseitig blockiert bei VLANs
«
Reply #1 on:
November 30, 2023, 01:51:26 pm »
Hi,
hast du mal eine FW Regel auf LAN angewendet, die den Traffic aus deinen drei Subnetzen durchlässt? Bzw. ist die Allow All Regel auf LAN mit Source = any eingetragen?
Logged
xCtrl
Newbie
Posts: 15
Karma: 1
Re: FW LANseitig blockiert bei VLANs
«
Reply #2 on:
November 30, 2023, 04:35:09 pm »
Ich meine sowas gemacht zu haben, ist bereits ein paar Wochen her, als der Versuch gemacht wurde.
Ich prüfe das morgen noch einmal.
Logged
Ich nutze IPU Systeme
IPU 451
IPU 613
Saarbremer
Sr. Member
Posts: 353
Karma: 14
Re: FW LANseitig blockiert bei VLANs
«
Reply #3 on:
November 30, 2023, 05:31:00 pm »
Grundsätzlich ist es dann auch eine gute Idee, die betreffenden Regeln auf Logging zu stellen und dann in der Live Diagnose zu schauen, ob die Pass Regeln anschlagen bzw. andere blockieren. Das hilft dann meist schon weiter.
Logged
xCtrl
Newbie
Posts: 15
Karma: 1
Re: FW LANseitig blockiert bei VLANs
«
Reply #4 on:
December 01, 2023, 01:56:42 pm »
So, ich konnte testen, leider nicht vor Ort, sodass das Konstrukt erstmal wieder auf den funktionierenden Stand gebracht wurde.
Ich habe die LAN default Rules auf Source "Any" gestellt. Die Pakete aus den 0, 1, 2er Netz werden nun durchgelassen - yay, erstmal teilerfolg! Jetzt komme ich dennoch nicht raus ins Internet. Ggf. habe ich damals beim Routing verkackt. Das schaue ich mir am Montag noch einmal an. Ich meine aber, dass ich routen gesetzt habe.
Ein Gateway dürfte von mir auch vorhanden sein mit der IP Adresse vom Switch um 198er Netz, worauf das GW der Route gesetzt ist. Das fuchst mich jetzt, dass ich erst am Montag wieder dran komme...
Logged
Ich nutze IPU Systeme
IPU 451
IPU 613
Patrick M. Hausen
Hero Member
Posts: 6839
Karma: 574
Re: FW LANseitig blockiert bei VLANs
«
Reply #5 on:
December 01, 2023, 02:12:26 pm »
Auch die ausgehende NAT-Regel berücksichtigt nur das direkt am LAN angeschlossene Netz. Wenn du outbound NAT noch auf "automatisch" hast, musst du mindestens "hybrid" einstellen und eine Regel für die anderen Netze hinzufügen. Oder gleich "manuell" und alles selbst konfigurieren - was ich bevorzuge.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
xCtrl
Newbie
Posts: 15
Karma: 1
Re: FW LANseitig blockiert bei VLANs
«
Reply #6 on:
December 01, 2023, 02:30:22 pm »
Oh backe, danke für den Tipp. Bis dato habe ich Outbound hybrid nur im Einsatz, wo die Telefonie Probleme macht. Dort gibt es dann für die TK Anlage eine Outbound Regel. Muss prüfen, wie das bei meinem Problemkind konfiguriert ist.
Logged
Ich nutze IPU Systeme
IPU 451
IPU 613
xCtrl
Newbie
Posts: 15
Karma: 1
Re: FW LANseitig blockiert bei VLANs
«
Reply #7 on:
January 03, 2024, 04:50:19 pm »
Heiliges NATting Batman!
https://forum.opnsense.org/index.php?topic=22934.0
man sollte auch wissen, wonach man sucht, ich bin eben durch Zufall drauf gestoßen und dies beschreibt auch meine Problematik.
Durch Krankheit im Dezember bin ich leider nicht dazu gekommen, weiter zu machen. Jetzt bin ich dem Thread nach meine Einstellungen durchgegangen und das deckt sich auch mit der Aussage von Hausen mit dem Outbound NAT.
Ggf. am Freitag kann ich die Sense noch mal beim Kunden ins Netz hängen. Bin gespannt.
Logged
Ich nutze IPU Systeme
IPU 451
IPU 613
xCtrl
Newbie
Posts: 15
Karma: 1
Re: FW LANseitig blockiert bei VLANs
«
Reply #8 on:
January 11, 2024, 08:24:58 am »
Update: gestern in Betrieb genommen und es läuft. Es lag tatsächlich an der Outbound NAT Regelung. Merci für die Tipps
Gruß
Logged
Ich nutze IPU Systeme
IPU 451
IPU 613
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Gelöst] FW LANseitig blockiert bei VLANs