Statische Route am LAN-Interface

Started by tonytonne, June 02, 2025, 02:22:45 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 02, 2025, 02:22:45 PM
Hallo,

ich habe ein kleines Problem. In unserer WG teilen wir und zwei Internetanschlüsse in einem gemeinsamen Netzwerk (192.168.178.0/24).
Damit ich mit meinen Computern nicht im gleichen Netz hänge, habe ich auf dem Fritzboxen des Internetanschlusses  eine statische Route für mein Netzwerk eingerichtet (10.0.0.0/16 via 192.168.178.10).  Meine OPNSense hat dann 3 Interfaces:
 - WAN: 192.168.178.10 (Gateways: 192.168.178.1,192.168.178.254)
 - LAN: 10.0.1.1/24
 - WLAN: 10.0.2.1/24
Dies funktioniert auch wie erwartet.

Jetzt wollte ich ein weiteres Netzwerk "hinter" meinem LAN anschliessen.
Testnetz: 10.0.3.0/24
Testnetz-Gateway: 10.0.1.3
Wenn ich NAT für das Testnetz verwende funktioniert es.
Allerdings wollte ich kein NAT. Das einrichten einer Route auf meiner OPNSense funktioniert jedoch nicht wie erwartet.
Ich wollte eine statische Route auf meinem OPNSense einrichten.
System / Gateway / Configuration:
 - Name: testnetz
 - Interface: LAN
 - Adressfamily: IPv4
 - IP-Address: 10.0.1.3
 - Disable Gateway Monitoring: aktiviert
):
 - Network Address: 10.0.3.0/24
 - Gateway: 'testnetz - 10.0.1.3'


Mein Problem:
 Zuerst war der Gateway-Eintrag nicht verfügbar (unter System/Routes/Configuration). (ich habe es dann temporär als 'Upstream Gateway' deklariert - diese Option dann wieder entfernt, nach dem ich das Gateway der Route hinzugefügt hatte)
Erst als ich Firewall-Regeln hinzugefügt hatte, dass ich vom LAN auf das  'Testnetz' zugreifen darf, funktionierten die Verbindungen.
Leider bin ich nicht in der Lage von meinem WLAN auf das 'Testnetz' zuzugreifen. Ich habe mittlerweile auch mal alles auf WLAN erlaubt (von Any to Any auf dem WLAN-Device in der Firewall (Firewall/Rules/WLAN).


Vielen Dank für eure Mühen

June 02, 2025, 06:26:11 PM #1
Hallo!

Quote from: tonytonne on June 02, 2025, 02:22:45 PMErst als ich Firewall-Regeln hinzugefügt hatte, dass ich vom LAN auf das  'Testnetz' zugreifen darf, funktionierten die Verbindungen.
Das sollte eigentlich gar nicht über die OPNsense laufen. Ohne NAT würde das zu asymmetrischem Routing führen. Daher ist die Regel nötig.

Der richtige Weg wäre direkt über das Testnetz-Gateway.

Quote from: tonytonne on June 02, 2025, 02:22:45 PMLeider bin ich nicht in der Lage von meinem WLAN auf das 'Testnetz' zuzugreifen.
Wenn
  • OPNsense das Default Gateway im WLAN ist,
  • das Testnetz-Gateway (interne IP) das Default Gateway am Zielgerät im Testnetz ist,
  • die Netzwerkkonfiguration von Quell- und -Zielgerät und den beiden Gateways korrekt ist (Gateways, Subnetzmaske) und
  • die Firewall Regeln auf OPNsense am WLAN, am Testnetz-Gateway am LAN und am Zielgerät es erlauben
sollte es eigentlich funktionieren.
Ansonsten kannst du den Traffic sniffen, um dem Problem auf den Grund zu gehen.

Grüße
June 02, 2025, 07:50:42 PM #2
Hallo und danke für Deine schnelle Antwort =)

Quote from: viragomann on June 02, 2025, 06:26:11 PMDas sollte eigentlich gar nicht über die OPNsense laufen. Ohne NAT würde das zu asymmetrischem Routing führen. Daher ist die Regel nötig.

Der richtige Weg wäre direkt über das Testnetz-Gateway.

Für die Geräte im LAN muss es doch über die OPNSense laufen, die kennen ja nur das "default"-Gateway 10.0.1.1. Daher sollte dann die OPNSense die Packete weiterrouten über 10.0.1.3 in das Testnetz 10.0.3.0/24 ?  Sonst müsste ich ja quasi jedem Gerät im LAN eine explizite Route nach 10.0.3.0/24 über 10.0.1.3 einrichten.


Für das WLAN sind die aufgeführten Punkte erfüllt
- die OPNSense ist mit 10.0.2.1 das Default-Gateway aller Geräte in diesem Netz
- das Zielgerät im Testnetz hat die 10.0.3.1 als Gateway (was die Testnetz-interne IP des Testnetz-Gateways ist)
- die Firewall regel habe ich jetzt auf Pass Any to Any gesetzt.

Ich werde jetzt mal mit tcpdump mein Glück versuchen. Gute Idee, Danke
June 02, 2025, 08:22:34 PM #3
Quote from: tonytonne on June 02, 2025, 07:50:42 PMFür die Geräte im LAN muss es doch über die OPNSense laufen, die kennen ja nur das "default"-Gateway 10.0.1.1. Daher sollte dann die OPNSense die Packete weiterrouten über 10.0.1.3 in das Testnetz 10.0.3.0/24 ?  Sonst müsste ich ja quasi jedem Gerät im LAN eine explizite Route nach 10.0.3.0/24 über 10.0.1.3 einrichten.

Das ist richtig. Im Regelfall wird die OPNsense dem Gerät nach dem ersten Paket ein ICMP Redirect schicken und das Gerät das unter Umständen auch befolgen, d.h. weitere Pakete gehen dann direkt an den Gateway.

Für solche Setups gibt es in der OPNsense die Funktion

Firewall > Settings > Advanced > Static route filtering

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions