OPNsense verschluckt ICMP echo reply

Started by DrSchnitzel, August 14, 2024, 09:16:28 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 14, 2024, 09:16:28 AM
Hallo,

ich versuche gerade meinen Wireguard zu debuggen. Dabei ist mir aufgefallen dass manchmal ICMP echo reply nicht bei mir im LAN ankommen und mir ist nicht klar warum.

Ich habe im WGIN eine Regel erstellt um ICMP Echo Reply zuzulassen:
Code Select
Action: Pass
Quick: True
Protocol: ICMP
ICMP type: Echo Reply


Allerdings werden immer ca. 20 pings verschluckt.
Im Packet Capture auf dem Interface sehe ich sie allerdings.
Im Block log der Firewall sehe ich nichts. Wo sind sie hin?

Ändere ich den ICMP type auf "any" kommen die pings wie erwartet.
August 14, 2024, 09:24:13 AM #1
Du musst doch die Echo Requests zulassen - die dazugehörigen Replies werden dann automatisch erlaubt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 14, 2024, 09:39:23 AM #2
Ich hab auf dem LAN interface eine allow LAN to any Regel erstellt.
Vom LAN sende ich den ping auf das Gerät im Wireguard Netz (Site to Site).
Hier ist alles erlaubt.
Im Packet Capture sieht man ja auch dass die Echo Requests gesendet werden und auch dass die Entsprechenden Antworten kommen.
Könntest du bitte nochmal genau erläutern erläutern was du meinst - irgendwie stehe ich gerade auf dem Schlauch.
August 14, 2024, 09:50:22 AM #3
Wenn vom LAN in Richtung WG alles erlaubt ist, brauchst du keine Regel für die Antworten. OPNsense ist eine stateful Firewall.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 14, 2024, 10:22:40 AM #4
Du hast natürlich recht - hier ist noch was anderes im argen.

Trotzdem komisch dass es teilweise funktioniert wenn ich eine Regel dazu anlege.
August 14, 2024, 10:25:44 AM #5
> Trotzdem komisch dass es teilweise funktioniert wenn ich eine Regel dazu anlege.

Jein, wenn die Regel falsch ist, dann hat die nichts damit zu tun. Und laut deiner Aussage hast du Replys freigegeben, was eigentlich gar nichts tut, denn die Firewall braucht Request Erlaubnis, nicht Reply.

Wenn Requests hin gehen aber kein Reply kommt, wird das im Normalfall nicht verschluckt, sondern das Ziel gibt entweder keine Antwort - oder du hast Asymmetrie im Routing und die Antworten gehen einen anderen Weg und deshalb schief. Das ist zu >90% der Fälle das Problem, dass die Antworten einfach den falschen Weg gehen und deshalb auf dem falschen Interface, einem falschen Gerät oder einen ganz anderen Weg nehmen.

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
August 14, 2024, 11:42:33 AM #6
Ist das jetzt auf 24.7.1 wo es bekannte Probleme mit ICMP in FreeBSD 14.1-RELEASE-p3 gibt? Nur als Hinweis.


Grüsse
Franco
August 14, 2024, 11:59:41 AM #7
Das Problem war eine Fehlerhafte Wireguard Konfiguration an der Gegenstelle (Fritzbox macht wireguard ohne Transfernetz ::)).
Nach vielem try and error geht jetzt alles korrekt.
Print
Go Up Pages1
User actions