Seid Update auf OPNsense 25.1.8 Frirewall Probleme

Started by Fons11, June 16, 2025, 06:37:09 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 16, 2025, 06:37:09 PM
Hallo,
vor ein paar Tagen habe ich das Update auf OPNsense 25.1.8 durchgeführt. Seid dem werden meine Firewall-Regeln scheinbar teilweise ignoriert.
Ich habe folgende WAN-Regel angelegt:
You cannot view this attachment.

Trotzdem wird der Verkehr im Logfile über "Default deny / state violation rule" geblockt:
You cannot view this attachment.

Das Alias "Diskstation" sieht so aus und ist auch korrekt:
You cannot view this attachment.

Die Regel habe ich bereits vor Monaten angelegt und bis zum Update auf 25.1.8 hat sie immer problemlos funktioniert. Das Verhalten habe ich auch noch bei anderen WAN-Regeln.

Hat jemand eine Ahnung woran das liegen kann oder ist beim Update evtl. etwas schief gelaufen? Ein Backup habe ich schon erfolglos neu eingepielt.

Vielen Dank.
June 16, 2025, 07:08:36 PM #1
Klick mal auf das (i) bei einem der Log-Einträge und poste den Inhalt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 16, 2025, 07:25:33 PM #2
Der Inhalt sieht so aus:
You cannot view this attachment.
June 16, 2025, 09:31:58 PM #3
Nur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 16, 2025, 09:37:49 PM #4
Ist auf dem WAN-Interface ein Block Private Networks gesetzt? Sind NAT-Regeln aktiv? Netzmasken und Gateways richtig gesetzt?
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
June 16, 2025, 09:43:32 PM #5
Quote from: meyergru on June 16, 2025, 09:37:49 PMIst auf dem WAN-Interface ein Block Private Networks gesetzt?

Wenn das die Ursache wäre, würde eine andere Regel greifen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 17, 2025, 08:28:00 AM #6
Quote from: Patrick M. Hausen on June 16, 2025, 09:31:58 PMNur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?
Nein das hat er nicht. Läuft alles über die OPNsense und wie gesagt es lief ja seid Monaten alles stabil bis ich 25.1.8 eingespielt habe. Außer einspielen des Updates wurde auch nichts verändert. Die Probleme haben auch unmittelbar nach dem Update angefangen.
June 17, 2025, 01:21:33 PM #7
Jetzt hab ich in der OPNsense erst mal die SSD getauscht und mein CloneZilla-Backup der Version 24.7.12 auf die neue SSD wieder eingespielt. Damit läuft im Moment  wieder alles.
Jetzt würde ich das System gerne wieder aktualisieren, aber erst mal nur auf Version 25.1.7. Soweit ich weiß müsste das über die Konsole doch möglich sein? Über die GUI bietet OPNsense ja immer die neuste an. Gibt es eine Beschreibung wie ich die Version in der Konsole selbst wählen kann?
June 17, 2025, 04:13:58 PM #8
Quote from: Patrick M. Hausen on June 16, 2025, 09:31:58 PMNur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?

Ich mag mich täuschen, aber das Paket stimmt mich auf asymmetrischen Traffic. Da ist NUR ein Ack. Kein SYN. Die Firewall filtert aber per default nur SYNs und packt sie dann in die State Table. Wenn da Pakete abgelehnt werden, die NUR Ack sind, dann gabs entweder kein Syn oder über ein anderes Interface und der State passt nicht. Das sieht für mich nach Dreieck Routing aus. Da ich die Changelogs nicht auswendig im Kopf habe: gabs diesbezüglich eine Änderung beim State Tracking o.ä.?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 17, 2025, 04:24:08 PM #9
Wie gesagt nach dem Einspielen von 24.7.12 läuft alles wieder wie gewohnt. Ich kann mich auch nicht erinnern in den letzten 3 Monaten an der Konfiguration etwas geändert zu haben und der Fehler trat ja unmittelbar nach dem Update auf. Unmittelbar davor habe ich definitiv nichts geändert.
Allerdings habe ich mit der 24.7.12 jetzt ein anderes Thema. Es wird mir keine höhere Version zum Update mehr angeboten. Im Änderungsprotokoll sind zwar alle Versionen bis 25.1.8 aufgeführt aber als Update bietet er mir nur das Paket libinotify an, und das als Endlosschleife.
Print
Go Up Pages1
User actions