Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Fehlkonfiguration Interfaces
« previous
next »
Print
Pages: [
1
]
Author
Topic: Fehlkonfiguration Interfaces (Read 1436 times)
johnab
Newbie
Posts: 6
Karma: 0
Opnsense and Proxmox
Fehlkonfiguration Interfaces
«
on:
June 24, 2020, 12:20:31 pm »
Hallo,
mein Netzwerk sieht wie folgt aus.
Hardware Firewall (OPNSense):
Netzwerke:
LAN: 10.0.0.0/16
DMZ: 192.168.0.0/16
Interfaces:
WAN_SERVER; Public IP; Upstream Gateway gesetzt; Block Private und Bogon Nw
WAN_FO_1; Public IP; Upstream Gateway gesetzt; Block Private und Bogon Nw
WAN_FO_2;Public IP; Upstream Gateway gesetzt; Block Private and Bogon Nw
LAN; 10.0.0.10; Upstream: Auto Detect;
DMZ; 192.168.0.10; Upstream: Auto Detect
zu den WAN-Interfaces:
WAN_FO_1 und WAN_FO_2 sind in einem Tier zusammengefasst. Als Failover Leitung dient das Interface WAN_SERVER. Alle drei WAN Interfaces haben einen öffentliche IP. Für jedes WAN Interface gibt es ein eigenes Upstream Gateway. Alle drei WAN Interfaces sind zusammengefasst in einer Gruppe WAN_GRUPPE. TIER 1 dient somit als Hauptleitung zum Surfen, etc. WAN Server ist meine Failover Leitung falls beide WAN_FO ausfallen
zu dem LAN Interface:
Es ist zusätzlich noch ein DHCP Server konfiguriert. Range: 10.0.0.1 - 10.0.255.254. Der DNS Server ist eine VM unter Proxmox (IP: 10.0.0.9).
Firewall-Regeln:
WAN_SERVER:
Protocol: IPv4 TCP --- Source * --- Port * --- Destination WAN_SERVER_address --- Port 443
Protocol: IPv4 UDP --- Source * --- Port * --- Destination WAN_SERVER_address --- Port 1194
Diese Regeln dienen für zwei OPenVPN Server Instanzen.
WAN_FO_1:
keine zusätzliche Regeln
WAN_FO_2:
Protocol: IPv4 TCP --- Source * --- Port * --- HA_Proxy_Server_Address --- Port 443 --- Port Forward
Protocol: IPv4 TCP --- Source * --- Port * --- HA_Proxy_Server_Address --- Port 80 --- Port Forward
Diese Regelen dienen für die Portweiterletung and meinen Reverse Proxy Server. Dieser läuft auch direkt auf der Firewall, mittels HA Proxy Plugin.
Server (Proxmox VE 5.4):
Mein Server hängt hinter der Firewall.
NICS:
Linux Bridge#1: 10.0.0.3/16; GW: 10.0.0.10; Direkt verbunden mit der LAN NIC von OPNsense Firewall
Linux Bridge#2: 192.168.0.3/16; Direkt verbunden mit der DMZ NIC von Opnsense Firewall
Folgendes Problem:
Der Ping von meiner Firewall an den Proxmox Server funktioniert einwandfrei:
ping 10.0.0.3
Wenn ich jedoch von meinem Proxmox Server die Firewall pingen möchte, kommt kein Response.
Ich habe mittels traceroute nachgeforscht, dabei ist mir aufgefallen:
Hop 1: 10.0.0.10
Hop 2: Public IP von WAN_FO_1 oder WAN_FO_2
HOP x. * * *
Danach ist es aus.
Im Live Log von Opnsense wird das Paket durchgelassen, jedoch was mir komisch vorkommt ist, dass die Source IP die Public IP eines WAN Interfaces ist und nicht die lokale IP vom Proxmox Server. Die Windows Clients erreichen die Firewall auch nicht. Deshalb vermute ich, dass irgendetwas beim Routing der pakete nicht passt. Hier seitihr gefragt? (Hat es möglicherweise was mit NAT zu tun? Da die interne Source IP durch einen Public IP ersetzt wird, und somit nach außen geroutet wird...)
Zusatz: Internet Zugang, OpenVPN und Reverse Proxy funktionieren einwandfrei.
Weiß jemand was bei meiner Konfiguration nicht passt?
Danke!
«
Last Edit: June 25, 2020, 09:32:38 am by johnab
»
Logged
opns_neuling
Jr. Member
Posts: 68
Karma: 2
Re: Fehlkonfiguration Interfaces
«
Reply #1 on:
October 14, 2020, 10:47:46 pm »
Hi!
Firewall: NAT: Outbound
NAT Regeln für WAN erstellt ?
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Fehlkonfiguration Interfaces
«
Reply #2 on:
October 14, 2020, 11:11:16 pm »
Schau Dir mal „disable reply-to“ in den entsprechenden Firewall Regeln an.
Vielleicht liegt es daran.
Logged
„The S in IoT stands for Security!“
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Fehlkonfiguration Interfaces