Firewall blockt Samba Port (445) obwohl eine Regel (alles offen) vorhanden ist

[NightmareX2]

Servus,

ich bin neu hier bei der OPNSense. Bin vor paar Tagen umgestiegen, da mir die FritzBox viel zu wenige Möglichkeiten geboten hat.
Auch ist mein Netzwerk schon so aufgeblasen, das ich das anders managen muss.

Meine Konfig ist:
Hardware:
OPNSense auf nem Intel N100 mini PC mit 4 2,5G Ports
Unraid Server
Manages Switch
WiFi AP

Hab bei mir 4 VLANs am laufen, diese bekommen alle von der OPNSense (DNS, DHCP,NTP) usw.
Hab jetzt meine ca. 45 Geräte schon ins neue Netz umgezogen und läuft eigentlich alles super.
Kann auch von unterschiedlichen VLANs auf alles zugreifen, wenn eine Firewall-Regel dafür erstellt wurde.

Nur eine Sache versteh ich nicht. Eine Verbindung zu einer SAMBA-Freigabe wird immer geblockt. Und das aber nicht auf allen Clients.

Mein "Home Assistant 10.20.20.201/24" will zu seinem Backuplaufwerk (Samba-Freigabe auf Server) das auf dem Server 10.20.1.200/2
4 liegt. Eine Regel dafür hab ich schon erstellt. Ich kann das Laufwerk auch in HomeAssistant einbinden, nur wenn ich ein Backup erstellen will, kommt er nicht auf dem Server, da wird irgendwas geblockt.

Im Firewall Log ist folgendes ständig zu sehen:

Nightmareworld_IoT   ->   2025-05-30T14:08:10   10.20.20.201:46918   10.20.1.200:445   tcp   Default deny / state violation rule

Ich hab schon zum testen auf beiden Interfaces wo diese beiden Adressen sind eine Regel erstellt, wo eigentlich alles freigegeben ist any_to_any, trotzdem hab ich ständig diese "deny" im Log. Denke da ist irgendwo mein Problem. Wenn ich in Home-Assistant über die Console den Port 445 auf dem Server abfrage, sagt er das der Port offen ist. Ping funktioniert auch.

Mir ist auch aufgefallen, wenn ich vom Handy über Samba-Freigabe vom Server ne große Datei ziehen will, bricht er nach ca. 140MB ab und hängt sich auf. Vom Laptop das im gleichen Netz wie das Handy ist kann ich die Datei ohne Probleme kopieren.

Hab ich da was übersehen? An den Routes kanns ja nicht liegen, das ist alles standart.

Wäre über nen Tipp sehr erfreut :)
Ansonsten läuft die Sense super.

Grüße
Marcus

[userbenutzer]

Moin,

Home Assistant ist komplett richtig eingestellt bzgl. Routing und Standardgateway?

Default Deny und solche Fehler hatte ich schon bei asynchronem Routing.


Ansonsten kannst du das Regelwerk bzw. Reihenfolge der Regeln nochmal überprüfen.
Hier ist es gut beschrieben:
https://docs.opnsense.org/manual/firewall.html#processing-order

Ich habe oft Regeln, die mehrere Interfaces auf derselben opnsense betreffen unter Floating, das wird zuerst abgearbeitet und da finde ich es direkt.
Best-Practice sieht aber vielleicht anders aus oder ist auch Geschmackssache.

Wenn du testest, bitte auch daran denken, dass unter Umständen Regeländerungen nicht sofort greifen. Du kannst die States sonst zurücksetzen unter Firewall / Diagnostic / States

Viel Erfolg!