Problem mit dem Routing

[sivsert]

Hallo Forum,

ich habe folgendes Problem.
Bei einem Kunden habe ich eine OPNsense laufen, welche für Gäste der Pension das Gast-Netz zur Verfügung stellt. In dem LAN-Bereich sind mehrere Accespoints verfügbar. Diese haben eine feste IP-Adresse. z.B. die 192.168.200.5 /24.

Es handelt sich um eine OPNsense 19.1.4-amd64.
Hier habe ich ein CaptivPortal und einen OpenVPN-Server laufen. Beides macht seinen Job ohne Einwände.
Folgende Schnittstellen sind Konfiguriert:
WAN: 192.168.1.50 /24 (statisch)
LAN: 192.168.200.1 /24 (statisch)
Auf dem LAN-Interface ist ein DHCP-Server konfiguriert welcher Adressen von 192.168.200.10 - 254 vergeben darf.

Nun hat sich einer der Accesspoint wohl verändert. Warum weis natürlich wieder mal keiner
Der Accesspoint existiert noch mit dem richtigen Namen, nur wurde die Verschlüsselung aktiviert. Die IP-Adresse ist identisch geblieben, da ich sie über die OPNsense (Schnittstellen, Diagnose, Ping) Pingen kann.
Allerdings habe ich keine Möglichkeit diesen Accesspoint von meinem PC aus zu pingen.

Sprich ich verbinde mich via OpenVPN. Habe auch Zugriff auf die OPNsense. Nur leider keinen Zugriff in das Netz 192.168.200.0/24 (Ausnahme eben die OPNsense selbst mit der IP 192.168.200.1/24)

Über die Eingabeaufforderung habe ich mit dem Befehl: "tracert 192.168.200.5" die Route von meinem PC zum Accesspoint überprüft. Hier komme ich bis zu OPNsense und von da aus gibt es keine weiter Meldung. Somit verweigert wohl die OPNsense die Weiterleitung.

Konfiguriert habe ich das OpenVPN über den Assistent, somit sind die Einstellung komplett Standard.
Ich habe mich nun schon bemüht die Firewallregeln entsprechend an zu passen, jedoch ohne Erfolg. Ich habe wohl einen riesen Denkfehler drin, weshalb ich wohl immer Fehler reinbaue.

Normalerweise arbeite ich nur mit Securepoints. Da habe ich solche Probleme noch nie gehabt, da ich weis wie ich was konfigurieren muss. Jedoch ist die Konfiguration bei einer OPNsense doch etwas anders.

Als ich mit Firewalls angefangen habe, wurde mir beigebracht, dass sich Regeln einer Firewall immer von oben nach unten abarbeiten müssen. Daher habe ich z.B. bei einer Securepoint oder einer Sophos eine Firewall mit einem Regelwerk.
Was mich hier schon verwirrt ist, dass ich bei der OPNsense unter "Firewall->Regeln" jede Schnittstelle einzeln mit Freigaben versehen kann. Das bekomme ich nicht so ganz in den Kopf rein.

Danke fürs lesen. Ich hoffe hier kann mir jemand weiterhelfen.
LG sivsert

[lfirewall1243]

Hi,

schick uns doch mal die Regeln auf den einzelnen Schnitstellen, klingt für mich nämlich so, dass eine Regel das ganze blockiert (bzw. keine Regel das ist die den Verkehr explizit freigibt)

[JeGr]

> Somit verweigert wohl die OPNsense die Weiterleitung.

Nicht zwingend. Es kann auch sein, dass das andere Gerät schlicht nicht antwortet. Oder weil jemand dran rumgebastelt hat, es keinen Gateway mehr eingestellt hat und somit NUR noch aus Requests aus dem gleichen Netz antwortet. Die Firewall / OPNsense sollte auf dem OVPN Interface bei den Regeln ein any-any drin haben, sonst wäre das das Problem, allerdings kannst du ja die Sense selbst erreichen, so dass ich fast vermute, dass dies der Fall ist. Ansonsten wäre die Frage, was du als Route via VPN bekommst. Ich denke aber eher, da hat jemand den AP zerbastelt und dabei das Default GW gelöscht. Wäre nicht das erste Mal

[sivsert]

Danke schon mal für die beiden Denkweisen.
Ich muss mich entschuldigen, doch die letzten Tage war Stress bei uns auf Arbeit, daher komme ich erst jetzt dazu Euch zu antworten.

@ lfirewall1243
Im Anhang habe ich dir mal alle Schnittstellen mit den Regeln angefügt. Evtl. kannst du hiermit schon was anfangen. Wenn du mehr brauchst, lass es mich bitte wissen.
------------------------------------------------------------------------------------
@ JeGr
Ich war gestern bei dem Kunden vor Ort. Es stellte sich raus, dass sie der AccessPoint verabschiedet hatte, nach einer Trennung vom Strom lief er wieder, wie er sollte.
Somit kann ich eine Sabotage eines Gastes oder des Besitzers ausschließen. Das angesprochene Problem des Pingens, betrifft wirklich alle Geräte im Netz 192.168.200.0/24. Sprich, von der OPNSense aus, erreiche ich alles per Ping, von meinem PC aus, nicht. Auch ein Aufwählen über die Weboberfläche auf einen Funktionierenden Accespoint ist nicht gegeben.
Ich tippe da wirklich auf ein Routen- bzw. Firewallproblem.


Danke nochmal für Eure Antworten, forschen wir mal weiter

[JeGr]

Also auf OVPN ist die erste Regel eine any. Die anderen sind dann irrelevant. Somit definitiv kein Rechteproblem wenn du per VPN eingewählt bist.

Ergo zeige uns Routing/Routen/VPN Konfiguration des Servers/Clients, verb 3 oder 4 in der Client OVPN Konfiguration kann auch helfen zu sehen, was dein Client macht und vom Server bekommt.

[sivsert]

Juhuu JeGr,

meinst du diese Routen?
Route OPNSense:

Route von meinem PC:



Gruß

[JeGr]

Zum Verständnis: Was sagt dein OVPN Log nach dem (erfolgreichen) Login? Kannst du das auch nochmal posten? Und die OVPN Konfiguration wäre nett.

[sivsert]

Wie immer im Anhang. Und zwischendrin, DANKE für deine Hilfe =)
Logfile:

VPN_Bild1:

VPN_Bild2:

VPN_Bild3:

[superwinni2]

Klingt für mich irgendwie nach einem Problem mit der "Rückroute"...
Hast du ein Gateway bei den Accesspoint eingestellt? Oder nur IP und Netzwerkmaske?
Das andere was sein kann: Hat der AP eine interne FW die den verkehr nur erlaubt wenn es aus dem eigenen Subnetz kommt?
Hatte mal nen OpenWRT welches so nen Spaß hatte...


Probiere doch mal bitte folgendes aus:


Erstelle ein NAT Regel welche den Verkehr von der VPN zu dem Accesspoint NATtet...
Firewall -> Nat -> Ausgehend
Oben von Automatisch auf Hybrid stellen und Regel in etwa wie folgt anlegen:
Interface: LAN
Source address: 192.168.250.6
Destination address: 192.168.200.x (IP eines Accesspoints)
Translation / target: LAN Address


Dann mal probieren ob drauf kommst... Dann denkt der AP das ein Paket der FW drauf will und nicht aus dem Netzbereich 192.168.250.x

[sivsert]

Hi Superwinni2,
ich muss mich mal wieder für die lange Wartezeit entschuldigen.

Ich habe deinen Tipp befolgt und wie angegeben eine NAT-Regel hinzugefügt. Auch hier habe ich das selbe Problem. Ich muss dazu sagen, dass ich nicht wie von dir angegeben, die IP-Adressen eintragen konnte. Das hat die OpenSense verweigert, da sie jedes Mal meinte, dass die IP nicht vorhanden ist. Habe mich dann entschlossen das entsprechende netzwerk an zu geben, sprich:

Quelle: VPN-Netzwerk
Ziel: LAN-Netzwerk

Leider auch dies ohne Erfolg.
Könnt ihr den überhaupt so ein Problem bei Euch nachvollziehen, oder funktioniert solch ein Konstrukt bei Euch von Haus aus. Evtl habe ich ja schon einen Fehler in der Grundkonfiguration bzw. der Konfiguration des OpenVPN-Tunnels.

LG Pierre

[superwinni2]

Hi Pierre

Naja solch ein Problem wie du hatte ich bisher noch nicht groß... Bei mir ging es immer von Haus aus... Liegt aber vielleicht auch an der Erfahrung...
Mach dir nichts draus, irgendwie bekommen wir das schon in den Griff

Kannst du mir mal bitte die NAT Regel posten?


Nochmals zum allgemeinen Verständnis :
Du willst via VPN auf den Accesspoint zugreifen.
Wenn man lokal im gleichen Netz (192.168.200.xyz) ist kann man auf den AP zugreifen?
Kann man den über die VPN auf andere Geräte zugreifen? Wurde dies getestet?

Grüße

Gesendet von meinem LG-H815 mit Tapatalk