Host in anderem Netzwerk trotz "pass all" Regel nicht erreichbar

Started by Honkytonk, July 10, 2025, 04:28:51 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 10, 2025, 04:28:51 PM
Hallo zusammen,

nachdem ich bisher viele Jahre ipFire treu geblieben bin, möchte ich nun doch den Wechsel zu OPNsense wagen. Die Einrichtung hat nach etwas Umgewöhung bisher ganz gut geklappt. Allerdings bin ich nun auf ein Problem gestoßen, für das ich keine Erklärung finde:

Code Select
                                                                                                                                                                                   

                                                    +----------------------+                                                                                                       
                                                    |       Fritzbox       |                                                                                                       
                                                    |                      |                                                                                                       
                                                    +----------------------+                                                                                                       
                                                                |                                                                                                                   
                                                                |                                                                                                                   
                                                        +--------------+                                                                                                           
                                                        |     WAN      |                                                                                                             
                                                        |  IP per DHCP |                                                                                                           
                                                        +--------------+                                                                                                           
                                                                |                                                                                                                   
                                                                |                                                                                                                   
                                                    +----------------------+                                                                                                       
                                                    |                      |                                                                                                       
                                                    |      OPNsense        |                                                                                                       
                                                    |                      |                                                                                                       
                                                    +----------------------+                                                                                                       
                                                    |     |     |    |     |                                                                                                       
                    ---------------------------------     |     |    |     ----------------------------------                                                                       
                    |                                     |     |    |                                      |                                                                       
                    |                     -----------------     |    ------------------                     |                                                                       
                    |                     |                     |                     |                     |                                                                       
                    |                     |                     |                     |                     |                                                                       
           +-----------------+   +-----------------+   +-----------------+   +-----------------+   +-----------------+                                                             
           |       MGM       |   |       LAN       |   |       DMZ       |   |       IOT       |   |       GST       |                                                             
           | 192.168.10.0/24 |   | 192.168.20.0/24 |   | 192.168.30.0/24 |   | 192.168.40.0/24 |   | 192.168.50.0/24 |                                                             
           +-----------------+   +-----------------+   +-----------------+   +-----------------+   +-----------------+                                                             
                    |                     |                     |                     |                     |                                                                       
                    |                     |                     |                     |                     |                                                                       
           +-----------------+   +-----------------+   +-----------------+   +-----------------+   +-----------------+                                                             
           |      SWITCH*    |   |      SWITCH*    |   |      Server     |   |      SWITCH*    |   |      SWITCH*    |                                                             
           |                 |   |                 |   |  192.168.30.2   |   |                 |   |                 |                                                             
           +-----------------+   +-----------------+   +-----------------+   +-----------------+   +-----------------+                                                             
                    |                     |                                           |                                                                                             
                    |                     |                                           |                                                                                             
           +-----------------+   +-----------------+                         +-----------------+                                                                                   
           |   Access Point  |   |       PC        |                         | Home Assistant  |                                                                                   
           |   192.168.10.3  |   |  192.168.20.45  |                         |  192.168.40.5   |                                                                                   
           +-----------------+   +-----------------+                         +-----------------+   

* Ist insgesamt nur ein managed Switch, über den ich per tagged-VLAN verschiedene SSIDs auf die Netzwerke verteile. In OPNsense habe ich keine VLANs angelegt.
                                                                             


Vom WAN abgesehen, habe ich fünf weitere Netzwerke eingerichtet. Darunter auch LAN, IOT und DMZ. In der DMZ ist ein Server mit der IP 192.168.30.2 angeschlossen. Auf dem Server läuft Traefik als Reverse-Proxy für mehrere Dockercontainer. Die notwendigen Overrides habe ich in Unbound DNS angelegt.

Nun zu meinem eigentlichen Problem:

 Zu Testzwecken habe ich jeweils eine "pass all" Regel für DMZ und IOT angelegt (im finalen Setup sollen nur noch Port 80 und 443 auf dem Server erreichbar sein).




Aus LAN kann ich auf auf IOT bzw den Reverse-Proxy zugreifen.
Aus IOT habe ich trotz der der "pass all" Regeln keinen Zurgriff. Das Gateway von DMZ kann ich anpingen.

Ping aus IOT auf das DMZ Gateway:


Ping aus IOT auf das Server in DMZ:


Laut Logfiles geht der Ping an den Server durch, kommt jedoch nicht in IOT an:




Kann mir vielleicht jemand auf die Sprünge helfen, was ich übersehe?



Vielen Dank und beste Grüße
Honkytonk


July 10, 2025, 05:36:42 PM #1
Quote from: Honkytonk on July 10, 2025, 04:28:51 PMAus LAN kann ich auf auf IOT bzw den Reverse-Proxy zugreifen.
Auch pingen?

Quote from: Honkytonk on July 10, 2025, 04:28:51 PMLaut Logfiles geht der Ping an den Server durch, kommt jedoch nicht in IOT an:
Das Log zeigt die ausgehende Regel am DMZ Interface. Ich würde vermuten, dass auch das ICMP Paket da raus geht. Doch antwortet der Server auch?

Überprüfen kannst du das mittels Interfaces: Diagnostics: Packet Capture am DMZ Interface.
July 10, 2025, 05:58:43 PM #2
Bei Deinen Regeln ist das Loggin ausgeschaltet. Was auch immer da im Log steht, ist nicht das, was Du beschreibst.
July 10, 2025, 07:20:39 PM #3 Last Edit: July 10, 2025, 07:35:43 PM by Honkytonk
Vielen Dank für eure Hinweise.

Quote from: mooh on July 10, 2025, 05:58:43 PMBei Deinen Regeln ist das Loggin ausgeschaltet. Was auch immer da im Log steht, ist nicht das, was Du beschreibst.

Die Funktion habe ich vollkommen übersehen... Das Ergebnis bleibt aber auch bei aktiviertem Logging gleich:



Quote from: viragomann on July 10, 2025, 05:36:42 PM
Quote from: Honkytonk on July 10, 2025, 04:28:51 PMAus LAN kann ich auf auf IOT bzw den Reverse-Proxy zugreifen.
Auch pingen?

Quote from: Honkytonk on July 10, 2025, 04:28:51 PMLaut Logfiles geht der Ping an den Server durch, kommt jedoch nicht in IOT an:
Das Log zeigt die ausgehende Regel am DMZ Interface. Ich würde vermuten, dass auch das ICMP Paket da raus geht. Doch antwortet der Server auch?

Überprüfen kannst du das mittels Interfaces: Diagnostics: Packet Capture am DMZ Interface.


Habe wie vorgeschlagen mal einen Package Dump für DMZ gestartet und einen Ping aus LAN und IOT abgesetzt. Der aus LAN ging durch (Zeile 31-38). Für den Ping aus IOT wurden aber keine Antwortpakete gefunden.



Mein Verdacht war zunächst, dass der Reverse-Proxy die Anfragen aus dem 40er Netz dropped. In der Konfiguration ist aber 192.168.0.0/16 auf der Whitelist. Außerdem wird der Ping ja auch nicht vom Reverse-Proxy beantwortet.

Ich bin mir nun tatsächlich unsicher, ob es überhaupt an OPNsense liegt, oder ob noch eine längst vergessene Koniguration auf meinem Server schlummert.

EDIT: Es liegt nicht an OPNsense. Wenn ich ein anderes Gerät an DMZ anschließe, kann ich dieses ohne Probleme pingen. Vielen Dank für den Schubs in die richtige Richtung :)






July 10, 2025, 07:44:46 PM #4
Quote from: Honkytonk on July 10, 2025, 07:20:39 PMIch bin mir nun tatsächlich unsicher, ob es überhaupt an OPNsense liegt
Wohl eher nicht.
Nachdem Packet Capture am DMZ Interface sollte nichts mehr sein, was das Paket blockiert.

Die Ursache ist also am Zielhost zu suchen. Das kann eine falsche IP Konfiguration sein (Subnetzmaske) oder dessen Firewall, oder möglicherweise auch eine gesetzte statische Route, die auf ein anderes Gateway geht.
July 10, 2025, 09:00:16 PM #5
Dank euerer Hinweise habe ich mal einen traceroute vom Server in Richtung IOT abgesetzt. Wie viragomann vermutet hat, lag es tatsächlich an einer statischen Route, die ins Nichts führt:



Also noch mal vielen Dank! Nun funktioniert alles wie erwartet.
Print
Go Up Pages1
User actions