Webinterface intern nicht mehr erreichbar

[NDregger]

Hallo Freunde der OPNsense,

auf unserer OPNsense ist - wieso auch immer - das Webinterface aktuell intern nicht mehr erreichbar.

Umgebung:

- Hardware DEC3860
- Software OPNsense 23.4.1-amd64

Außer WAN und dem Auslieferungsinterface auf igb0 sind alle Interfaces auf AX0 per VLAN abgebildet, so auch das Verwaltungsnetz unserer Schule. Leider ist hierauf das Webinterface nicht mehr erreichbar und ich verstehe nicht warum (per VPN kommend geht es).

Firewall Regeln (momentan) auf Verwaltung any any any allow, unter System / Settings / Administration stehen die Listen interfaces auf all, also auch hier keine Limitierung die es mir erklären würde, der TCP Port steht auf Standard 443.

Mache ich via VPN einen Portscan auf unsere OPNsense sind die Ports 80 und 443 offen, mache ich das intern vom Verwaltungsnetz aus nur Port 80.

Da auch keine NAT Regeln auf dem Interface liegen (wir gehen ja darüber von der Verwaltung aus ins Internet) sehe ich aktuell keinen Grund wieso es nicht gehen sollte, es ist auch kein spezielles Gateway in der Allow Regel definiert wie wir es am anderen Standart haben um das richtige Kabelmodem anzusprechen....

Hat jemand eine schlaue Idee? Ich stehe leider komplett auf dem Schlauch und bin gerade am Ende mit meinem Latein :-(


Grüße aus dem regnerischen BaWü
Norbert

[Monviech (Cedrik)]

Ein paar Ideen:

- Vielleicht gibt es eine DNAT Regel, die den Port 443 aus dem Verwaltungsnetz auf eine andere IP umleitet.

- Ansonsten mal mit SSH auf die Firewall zugreifen und mit tcpdump überprüfen, ob Pakete ankommen wenn im Verwaltungsnetz versucht wird auf die Firewall mit Port 443 zuzugreifen.

- In Firewall - Rules - Floating können Regeln angelegt werden die über allen anderen Regeln gelten. Dort eine Regel anlegen für das Interface LAN - Source Any - Source Port Any - Destination "This Firewall" - Destination Port 443 - Logging aktivieren. Dann im Log schauen ob die Pakete ankommen und angenommen werden.