Zugriff z.B. von GREEN auf BLUE funktioniert nicht

[opnbnuser]

Situation mit OPT3 ist die Gleiche.
In OPT3 funktioniert der Internetzugriff mit ALLOW ALL rule, der Zugriff/Ping auf LAN aber nicht.
Ebenso kein Zugriff/Ping von LAN auf OPT3.

Sonst noch jemand eine Idee was hier noch fehlt? Z.B. für den Zugriff von LAN auf OPT3?

[Gauss23]

Firewall:Logfiles:Live View

Siehst Du da Deine Pakete blockiert?

Du kannst jede Regel einzeln für das Logging aktivieren. Geblockte Pakete (die von keiner Regel erfasst wurden) werden immer geloggt. Um das zu Logging zu aktivieren einfach auf auf das kleine "i" drücken, zum ein/ausschalten. In der Legende steht wie es aussehen muss, um eingeschaltet zu sein.

[chemlud]

Welche Version benutzt du eigentlich?

Ich habe mit 20.7-vga eine frische Box mit 5 NICs aufgesetzt, WAN, LAN und OPT1 definiert, eine "Allow any" rule auf dem OPT1 Interface erstellt (default, so wie man es angeboten bekommt mit "ADD") und siehe da, ich kann von LAN zu OPT1 und zurück pingen ohne Probleme.

[Gauss23]

Bist du wirklich 100% sicher, dass die anzupingenden Systeme keine Firewall aktiviert haben?

Wenn ich meine Windows 10 Testbox in ein neues Netz hänge, erkennt Windows das als neues Netz und setzt dies auf "öffentlich" mit entsprechend aktivierter Firewall = kein ping möglich.

Ist mir sonst ein Rätsel

[opnbnuser]

Originalinstallation war aktuell, also 20.7.3-amd64. Allerdings oft geupdated über mehrere Versionen.

Zur Zeit läuft eine neue nano-Version via USB-Stick:

Code Select Expand

System Information
Name OPNsense.workgroup
Versions OPNsense 20.7.3-amd64
FreeBSD 12.1-RELEASE-p10-HBSD
OpenSSL 1.1.1g 21 Apr 2020

Hilft aber auch nichts, geht auch nicht. Oder ich konfiguriere immer etwas gleich falsch. Kann ich mir aber nicht vorstellen.

Bzgl. Laptop:
Ich kann doch den Laptop 192.168.20.100 in OPT1 von der OPNSense aus anpingen. Wenn es ein Problem mit der lokalen Windowsfirewall gäbe, dann ginge das doch auch nicht:

Code Select Expand

login as: root
Keyboard-interactive authentication prompts from server:
| Password:
End of keyboard-interactive prompts from server
----------------------------------------------
|      Hello, this is OPNsense 20.7          |         @@@@@@@@@@@@@@@
|                                            |        @@@@         @@@@
| Website:      https://opnsense.org/        |         @@@\\\   ///@@@
| Handbook:     https://docs.opnsense.org/   |       ))))))))   ((((((((
| Forums:       https://forum.opnsense.org/  |         @@@///   \\\@@@
| Lists:        https://lists.opnsense.org/  |        @@@@         @@@@
| Code:         https://github.com/opnsense  |         @@@@@@@@@@@@@@@
----------------------------------------------

*** OPNsense.workgroup: OPNsense 20.7.3 (amd64/OpenSSL) ***

LAN (em0)       -> v4: 192.168.10.2/24
OPT1 (em1)      -> v4: 192.168.20.2/24
OPT2 (em2)      -> v4: 192.168.30.2/24
OPT3 (re0)      -> v4: 192.168.40.2/24
WAN (em3)       -> v4: 192.168.8.101/24

  0) Logout                              7) Ping host
  1) Assign interfaces                   8) Shell
  2) Set interface IP address            9) pfTop
  3) Reset the root password            10) Firewall log
  4) Reset to factory defaults          11) Reload all services
  5) Power off system                   12) Update from console
  6) Reboot system                      13) Restore a backup

Enter an option: 7


Enter a host name or IP address: 192.168.20.100

PING 192.168.20.100 (192.168.20.100): 56 data bytes
64 bytes from 192.168.20.100: icmp_seq=0 ttl=128 time=0.864 ms
64 bytes from 192.168.20.100: icmp_seq=1 ttl=128 time=0.513 ms
64 bytes from 192.168.20.100: icmp_seq=2 ttl=128 time=0.505 ms

--- 192.168.20.100 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.505/0.627/0.864/0.167 ms

Press ENTER to continue.


Von LAN aus geht es nicht. Ich verstehe es nicht und bin ratlos.

[chemlud]

"Falsch" konfigurieren kann man am Anfang höchstens das DNS, aber das braucht's ja für einen Ping zwischen den Subnetzen eigentlich nicht...

Nach dem Zuweisen der Interfaces aber immer ein Reboot, zur Sicherheit.

Welche Hardware?

Letzter Versuch: pfSense und/oder eine Linux Distribution probieren...

[opnbnuser]

Hardware ist ein ASrock Board mit HP/Intel 4x GLAN.

Code Select Expand

CPU Type Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz (4 cores)

[opnbnuser]

Netzwerkkarte(n) getauscht: 4xGLAN raus, 2 x 1GLAN rein. Neu konfiguriert.
Gleiches Ergebnis. Geht nicht: Internet OK, aber kein Zugriff von LAN auf OPT1 oder OPT1 auf LAN.

Nächster Schritt: pfSense

[opnbnuser]

Da das Ganze ja irgendwie nicht mit Logik zu erklären ist, habe ich, bevor ich pfSense installiere, den Laptop mit Ubuntu gebootet. Und nun reagiert er auf den Ping.  :o

Es ist also tatsächlich Windows mit eingeschalteter lokaler FW, das nicht auf den Ping antwortet, wenn der Ping nicht aus dem selben Subnetz kommt. Auf den Ping von der PFSense antwortet er ja. Krasser Sch€1$$.  :-X

Mit vollständig deaktivierter Windows-Firewall funktioniert der Ping ebenfalls.  :-\

Tja, so einfach kann es sein. Und großes Danke an @Gauss23, dem Windows direkt suspekt war. Wieder etwas gelernt. Und einen Tag weggeschmissen  :-[

***
Hier kann zu.
***