[SOLVED] OPNsense - Unifi / Zugriff auf LAN aus OPT nicht möglich.

Started by roli.ko, June 07, 2021, 10:39:37 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 07, 2021, 10:39:37 AM Last Edit: June 09, 2021, 09:28:56 PM by roli.ko
Ich bin relativ neu bei OPNsense und stelle gerade mein Netzwerk von USG2 auf OPNsense um.

Folgende Struktur auf OPNsense angelegt. Im Unifi Controller übernommen. LAN wurde automatisch vom Controller als Corporate Network angelegt. Alle anderen wurden als VLAN only angelegt. Auch die Firewall Rules sind entsprechend angelegt.


  • LAN - Trusted / IP 192.168.1.x/24 - hier sind die IPs der Switches / AP und auch der verschiedenen NAS
  • OPT1 (MEDIA) - VLAN 200 / IP 192.168.200.x/24
  • OPT2 (IoT) - VLAN 100 / IP 192.168.100.x/24 - Alle IOT Device, welche ins Internet dürfen. Auch der Homeassistant server
  • OPT3 (NoT) - VLAN 110 / IP 192.168.110.x/24 - Alle IOT Device, welche NICHT ins Internet dürfen.

Was funktioniert:

  • OPT3 device dürfen auf OPT2/HomeAssistant zugreifen
  • OPT2 darf auf OPT3 zugreifen
  • OPT1 darf auf OPT2/HomeAssistant zugreifen
  • Ping auf 192.168.1.1 / .200.1 / .100.1 funktioniert von LAN, OPT1, OPT2 aus. PING aus OPT3 blockiert
  • Wlan

Was nicht funktioniert:

  • Ping auf 192.168.1.5 (z.B. NAS)
  • Zugriff auf 192.168.1.5 diverse Ports geplant, jedoch aktuell die gesamte IP freigegeben. Zugriff aktuell nicht möglich.
  • Ping allgemein auf 192.168.1.2 bis 192.168.1.xxx nicht möglich (auf 192.168.1.1 jedoch möglich)

Verwendete Unifi Systeme:

  • 2 x US-8-60W
  • 1 x UAP-nanoHD

Beobachtetes Verhalten

  • Ping von Wired Device OPTx auf Wired device in LAN nicht möglich
  • Ping von WLAN Device in OPT1 (MEDIA) auf WLAN Device in LAN  möglich
  • PING von WLAN Deivce in OPT1 (MEDIA) auf Wired Device in LAN nicht möglich

Fragen:

  • Kennt jemand dieses Verhalten?
  • Ist jemanden eine Lösung oder ein Lösungsansatz bekannt der mir weiterhilft?

Danke
Roland
June 07, 2021, 03:11:35 PM #1
Kannst du da mal einen Netzplan mit anhängen (bevor Mic das fragt ;) ). So ist das ein wenig unscharf. Und es wäre sinnvoller auch Screens zu zeigen, was du wo konfiguriert hast, statt nur aufzulisten was funktioniert und was du erwartest dass funktionieren soll. So kann niemand deine Frage(n) beantworten, weil wir schlicht nicht sehen und wissen, was du wo an Regeln und sonstigem Kram eingestellt hast.

Bitte ein paar Details, dann können wir sicher auch weiterhelfen :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 07, 2021, 04:12:00 PM #2
Alles klar. Folgt heute Abend.
June 07, 2021, 08:23:33 PM #3 Last Edit: June 07, 2021, 08:27:49 PM by roli.ko
Folgende Struktur

Code Select

      WAN / Internet
            :
            : Cable-Provider
            :
      .-----+-----.
      |  Gateway  |  CableModem
      '-----+-----'
            |
        WAN | IP v4
            |
      .-----+------.
      |  OPNsense  |
      '-----+------'
            |
        LAN | 192.168.1.1/24     
        OPT1| 192.168.100.1/24  - IoT
        OPT2| 192.168.110.1/24  - NoT
        OPT3| 192.168.200.1/24  - Media
        OPT4| 192.168.050.1/24  - Guest
            |
      .-----+----------------.
      |     LAN-Switch       | (192.168.1.20)
      '-+--+--+--+--+--+--+--.
        |  |  |  |  |  |  |
        |  |  |  |  |  |  .--... WLAN AP (LAN/OPT1/OPT2/OPT3/OPT4) - 192.168.1.22
        |  |  |  |  |  .-----... Backup NAS (LAN)
        |  |  |  |  .--------... NAS (LAN / 192.168.1.5)
        |  |  |  .-----------... HASSIO (OPT1 / 192.168.100.3)
        |  |  .--------------...
        |  .-----------------... Schreibtisch (LAN/OPT1/OPT2/OPT3/OPT4)
        .--------------------... Uplink Wohnzimmer (LAN/OPT1/OPT2/OPT3/OPT4)
     


Screenshots der Settings sind hier https://imgur.com/a/nDVqVWH zu finden

Versionsinfo:
OPNsense 21.1.6-amd64
FreeBSD 12.1-RELEASE-p16-HBSD
OpenSSL 1.1.1k 25 Mar 2021
June 08, 2021, 06:51:17 PM #4
Und was genau geht jetzt nicht? Zudem sehe ich nur 2 Interfaces. LAN und Media200. Die anderen nicht. Noch dazu kullert da noch eine Gruppe mit rum? Wo ist die Gruppe definiert und welche Regeln auf der Gruppe?

Was geht VON wo NACH wo nicht, dass jetzt in Regeln drin ist?
Ich sehe dazu auf der Gruppe ein DNS mit TCP statt UDP, das wird zu 99% mal nicht funktionieren.
Dann scheinen da Forwards noch definiert zu sein, gibts aber keinen Screen von.

Bitte mehr Details :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 08, 2021, 07:07:06 PM #5 Last Edit: June 08, 2021, 07:09:57 PM by mrk45k
Hast du die Netzte/Schnittstellen auch alle Gegenseitig freigegeben?
Wenn du ein anders Netz anpingst muss du in dem pingenden netz (firewall rules des interfaces) freigeben das er das ander Netz pingen darf und auch reverse. Oder hast du alle interfaces auf any (alles erlauben)?
Es hört sich für mich so an das du nicht alle Freigaben gegeben hast.

Btw:
Warum machst du kein LAGG anstelle der 5 Schnittstellen? Kann der Switch das nicht?
Ich werde aus deiner Beschreibung und deinem Netzwerkplan auch nicht schlau auf Anhieb. Wo sind die vlans im Netzwerkplan.
Das solle eine konstruktive kritik sein. Ich muss durch die Beiträge scrollen damit ich deine Konstellation zusammen bekomme. Da müsstes du nochmal nachbessern beim nächsten mal, würde es schon erleichtern zum supporten.
June 09, 2021, 12:03:37 AM #6
Ich habe die Struktur nochmals neu gezeichnet, zusammengeräumt (Gruppe gelöscht) und die Screenshots mit allen Regeln erstellt. Ich hoffe die Details sind jetzt ausreichender.

https://imgur.com/a/GKthlhe

Die Gruppe habe ich angelegt um Einträge zu sparen. Verwendet wurde sie, damit ich DNS Anfragen, die direkt nach aussen gehen local umgeleitet werden.

Mein Zielzustand is folgender:
- über eine Firewallregel will ich dem Rechner mit HomeAssistant (VLAN 100 / IoT100) den Zugriff auf gewisse Ports bei der Archivstation (LAN) erlauben
- über eine Firewallregel will ich dem Netzwerk Media200 (VLAN 200) den Zugriff auf gewisse Ports bei der Archivstation (LAN) erlauben

Mein erster Versuch war, dass ich die Regeln so gestalte, dass ich vollen Zugriff zwischen den Netzwerken habe und mal die verschiedensten Rechner anpinge. Danach limitiere ich auch einzelnen IPs und Ports.

Das Problem vor dem ich jetzt stehe dass mit den vorhanden Regeln vom LAN ins MEDIA200 ohne Problem zugreifen kann. Von MEDIA200 aufn LAN ist es jedoch nicht möglich.

Selbiges Verhalten bei IoT100.

Was ich beobachtet habe ist, dass wenn ich die OPNsense reboote der Ping von MEDIA200 auf LAN möglich ist. Nachdem die OPNSense wieder vollständig gestartet ist, wird der Ping geblockt.

June 09, 2021, 09:28:29 PM #7
ich habe heute nochmals alles genau durchgeschaut was sonst noch so herumkugelt und bin draufgekommen, dass ich, vermutlich, versehentlich das Captive Portal auch auf LAN gelegt habe.

Deaktiviert und 1 x  Apply und auf einmal geht alles.

Danke für die Schupser in Richtung sauberer Plan und so. Jetzt läufts es mal.
Roland
Print
Go Up Pages1
User actions