Komme nicht durch die opnSense auf mein DSL-Modem

[Emma2]

Ich mache wohl besser einen neuen Thread dafür auf:
Ich stelle mich vielleicht irgendwie ungeschickt an und bitte um ein bisschen (Nach-)Hilfe.

Meine Konfiguration ist die Folgende:

LAN 192.168.0.0/24
    <->
  192.168.0.15
opnSense
  10.0.0.15
    <->
Modem-DMZ 10.0.0.0/24
(gleichzeitig PPPoE-Anschluss)

Ich möchte jetzt vom LAN auf das Modem zugreifen, um es zu verwalten. Auf der opnSense gibt es auf beiden Anschlüssen (LAN und DMZ) die "Alles zulassen"-Regel "IPv4 <LAN bzw. DMZ> net, Port * Dest *, Port *, Gateway *", aber dennoch kann ich das Modem weder per PING noch per HTTP erreichen. In ein anderes Subnetz 192.168.2.0/24 mit den selben Regeln funktioniert es problemlos. Woran könnte das liegen?

Auf dem Live View der Firewall sehe ich NICHTS bezüglich der Adresse 10.0.0.1 (der des Modems).
(Update: Manchmal sehe ich dort einen Eintrag, aber der ist dann grün.)

Es scheint mir so, als hätte die opnSense keine Route ins Netz 10.0.0.0/24, denn auch ein tracert vom LAN geht erst an die opnSense und dann sofort an eine externe Adresse.

Ein anderer Rechner, der direkt am Subnetz 10.0.0.0/24 hängt, der also nicht über die opnSense muss, kommt problemlos auf das Modem 10.0.0.1; es muss also an der opnSense liegen.

(BTW: Ich weiß, dass das Netz eigentlich 10.0.0.0/8 heißt, aber das ist in meinem Fall wohl unerheblich, oder?)

[Oxygen61]

Hi pichocki,

(BTW: Ich weiß, dass das Netz eigentlich 10.0.0.0/8 heißt, aber das ist in meinem Fall wohl unerheblich, oder?)

Das ist dein Subnetz. Das ist überhaupt nicht "unerheblich". Du solltest schon wissen ob, du dich nun in einem /8 oder in einem /24 Subnetz befindest.

Es scheint mir so, als hätte die opnSense keine Route ins Netz 10.0.0.0/24, denn auch ein tracert vom LAN geht erst an die opnSense und dann sofort an eine externe Adresse.

Da steht "Modem-DMZ" ... what?
Falls du tatsächlich zwischen Modem und WAN Interface der OPNsense noch eine DMZ aufgebaut hast und dort zufällig das Modem auch ein Router ist (z.b. eine FritzBox), dann fehlt (vielleicht?) eine Statische Route, je nachdem was zwischen deiner DMZ noch so angesteckt ist.
--> Alles was Directly Connected an deiner OPNsense angesteckt ist, muss nicht extra in einer statischen Route festgelegt werden. Alles andere schon.

Hast du Outbound NAT so konfiguriert, dass Geräte im 192.168.0.0/24 Netz ins 10.0.0.0/24 geNATed werden?
Hast du vielleicht private Networks (RFC1918) am WAN Interface ausgeschaltet? (Block private Networks) bei deinem WAN Interface. Das solltest du natürlich nicht machen.

Viele Grüße,
Oxy

[Emma2]

Das ist dein Subnetz. Das ist überhaupt nicht "unerheblich". Du solltest schon wissen ob, du dich nun in einem /8 oder in einem /24 Subnetz befindest.

Na klar, aber in diesem Netzt gibt es nur zwei Geräte, die opnSense auf 10.0.0.15 und das Zyxel-DSL-Modem auf 10.0.0.1. Deshalb ist es in meinem konkreten Fall wohl egal, welche Maske ich verwende.

Da steht "Modem-DMZ" ... what?
Falls du tatsächlich zwischen Modem und WAN Interface der OPNsense noch eine DMZ aufgebaut hast

Ok, ich habe meine Konfig etwas ungeschickt beschrieben, deshalb noch einmal:
- Die opnSense hat den Network Port hn0, der mit 192.168.0.15 am LAN 192.168.0.0/24 hängt.
- Sie hat den Network Port hn1, der per PPPoE mit meinem DSL-Modem verbunden ist und am Telekom-Anschluss hängt.
- Da ich das Modem administrieren möchte, habe ich dem Port hn1 nun ein weiteres Interface zugeordnet, das eben mit 10.0.0.15 am Netz 10.0.0.0 hängt (das Modem hat die 10.0.0.1).
- Für ein eigenes anderes Subnetz habe ich den dritten Port hn2 an ein drittes Interface gemappt, so dass die opnSense auch mit 192.168.4.15 im Netz 192.168.4.0/24 hängt.

Die beiden Interfaces "PPPoE" und "10.0.0.15" sind unabhängig voneinander. Korrekt?
Auf dem PPPoE sind private Netze verboten, auf dem 10.0.0.15 aber nicht.

Die beiden Interfaces "10.0.0.15" und "192.168.4.15" sind gleich konfiguriert (siehe Screenshot 1).
Auf dem Interface "10.0.0.15" erlaube ich alles (siehe Screenshot 2).
Dennoch komme ich von einem Rechner aus dem LAN (192.168.0.0/24) NICHT auf mein Modem 10.0.0.1.

Ge-NAT-tet wird nur an die PPPoE-Verbindung, also an das, was echt nach draußen geht.
Private Networks sind nur auf der PPPoE-Verbindung geblockt, nicht auf dem 10.0.0.15-Interface.

NB: Ich habe das Netz 10.0.0.0/24 hier "DMZ" genannt, weil es eben außerhalb meines LANs liegt.
Aber wenn ich es richtig verstanden habe, stimmt in meiner Beschreibung die Aussage "DMZ, gleichzeitig PPPoE" nicht, denn die PPPoE-Verwendung und die Verwendung als Netzwerkkarte sind wohl zwei getrennte, gleichzeitige Nutzungen.

UPDATE: Es funktioniert doch so, wie es soll und ich mir das vorgestellt habe ;-)
Lediglich scheint das DSL-Modem nur auf Anfragen aus dem eigenen Subnetz zu antworten.
Mit anderen Worten, wenn ich NAT von meinem LAN zum Modem-Subnetz EIN-schalte, dann funktionert der Zugriff.

Danke für Deinen Hinweis, Oxy.

[Oxygen61]

UPDATE: Es funktioniert doch so, wie es soll und ich mir das vorgestellt habe ;-)

Klingt doch erfreulich. Dann hat ja alles gefunzt. :-P

[JeGr]

> Deshalb ist es in meinem konkreten Fall wohl egal, welche Maske ich verwende.

NEIN ist es nicht. Subnetze, CIDR und Routing ist kein "wünsch dir was" Darum gibt es Subnetz Masken und CIDR Kürzel um GENAU zu definieren, in welchem Netz du bist und nicht "rate dein Routing" zu spielen.

> - Für ein eigenes anderes Subnetz habe ich den dritten Port hn2 an ein drittes Interface gemappt, so dass die opnSense auch mit 192.168.4.15 im Netz 192.168.4.0/24 hängt.

Und wofür ist nun das 4er Netz? Du verwirrst

> Lediglich scheint das DSL-Modem nur auf Anfragen aus dem eigenen Subnetz zu antworten.

Und das ist völlig normal, denn wie Oxy richtig schreibt:
> dann fehlt (vielleicht?) eine Statische Route, je nachdem was zwischen deiner DMZ noch so angesteckt ist.
Woher sollte dein Modem auch irgendeine Ahnung davon haben, wo bzw. wohin es Pakete für 192.168.x.y schicken soll - das liegt ja am Modem nirgends an. Das Modem hat nur eine Ahnung von 10.0.0.0/24 (sehr wahrscheinlich) und alles andere ist dafür böhmische Dörfer und würde ggf. an Upstream oder das Default GW - wenn überhaupt eines gesetzt - geschickt. Da du aufs Modem wohl keinen Zugriff bekommst um eine händische Route zu setzen, gehts also nicht anders als mit NAT

Das zur Erklärung und nach dem Satz ganz oben den dringenden Rat, dich etwas über Netzwerk, Netze, Rouiting, Sub- und Supernetting sowie CIDR zu belesen