PING auf Firewall geht nicht (Standardgateway)

Started by thron, November 20, 2020, 09:57:46 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 20, 2020, 09:57:46 AM Last Edit: November 25, 2020, 07:50:10 AM by thron
Hallo,

ich habe ein Problem und komme nicht weiter. Vielleicht kann mir ein schlauer Kopf helfen. Es handelt sich um einen Testaufbau (siehe Anhang).

Dabei ist die OPNSesne01 der Standardgateway und die OPNSesne02 ein "Bypass"!
Die Rules in der OPNSense02 sind any any an beiden Interfaces, da es hier nur um Routing geht.
Wenn ich vom der Adresse 192.168.20.10 eine PING nach 192.168.178.10 send funktionier alles ohne Probleme.

Von 192.168.178.10 zu 192.168.20.10 ging nicht, was klar ist, weil die Rückroute fehlt! Also in der OPNSense02 als GW am LAN-Interface die OPNSense01 eingetragen und eine Route in der OPNSense01 und alles kappt!

Außer der PING auf die OPNSense02 selbst, der geht nicht mehr! Warum, verstehe ich nicht!

Habe ein Capture auf der OPNSense02 auf der LAN-Schnittelle mit ICMP gemacht uns sehe, das die PING-Pakete zwischen OPNsense01 und OPNSense02 hin und her gehen!?

Viele Dank für Eure Hilfe schon jetzt im Voraus.
November 20, 2020, 10:54:43 AM #1
Wenn du auf Interfaces : WAN ein upstream gateway hast dann werden AAAAAAALLE pakete dahin geschickt, auch wenn in dem Netz ein anderer Host ist.

Lösung:
- Upstream gateway raus und nur mit System : Gateways arbeiten
- Eine Regel erstellen und dort explizit das disable-replyto setzen

Ersteres wäre für einen Testaufbau ratsam
November 20, 2020, 03:21:22 PM #2
Das Gateway ist kein Upstream-Gateway, sondern ein normales.
November 20, 2020, 05:36:16 PM #3
Nein, in Interfaces : WAN, ganz unten ist ein Punkt upstream gateway, auto-detext oder Gateway drin?
November 23, 2020, 08:53:30 AM #4
Dort steht Auto-detect drin und im LAN steht 192.168.27.254 drin.
Jetzt weiß ich was du meinst mit Upstream-Gateway. Es gibt ja auch noch die Checkbox unter System --> Gateways --> Single --> GatewayName --> Upstream Gateway (Checkbox). Diese ist deaktiviert, es ist als kein default Gateway sondern eben nur das Gateway an der Schnittstelle, was ja nur die unbekannten Pakete an die hinterlegte Adresse weiter leitet!

VG
November 23, 2020, 02:00:26 PM #5
Hm dann kann ich mir das Verhalten nicht wirklich erklären ...
November 24, 2020, 11:19:24 AM #6
was ich gerade an deinem bild nicht verstehe, warum ist die eine pc mit 2 sense verbunden?
kannst du nochmal genau erklären was dein ziel ist.
aus deinem ersten post ist nur erklärt was du gemacht hast, aber nicht dein ziel.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 25, 2020, 07:53:26 AM #7
Es soll eine Datenschleuse realisiert werden, bzw. an dem ByPass ein Rechner angeschlossen werden, der sich in einem komplett anderen IP Bereich befindet und per Replikation Daten überspielen. Dort wo aktuell nur ein Rechner zwischen den Firewalls steht sind später 70 Rechner.

VG
November 25, 2020, 08:19:35 AM #8
System: Routes: Status

Bitte von beiden OPNsense Boxen
,,The S in IoT stands for Security!" :)
November 26, 2020, 08:12:23 AM #9
Das könntest du doch auch mit einer Sense und einem vlan mit entsprechend Regel realisieren oder nicht?


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 26, 2020, 09:03:32 AM #10
Quote from: micneu on November 26, 2020, 08:12:23 AM
Das könntest du doch auch mit einer Sense und einem vlan mit entsprechend Regel realisieren oder nicht?


Gesendet von iPad mit Tapatalk Pro

Mir erschließt sich leider der gesamte Sinn des Aufbaus nicht. Ich verstehe auch nicht, warum man dazu 2 OPNsense Boxen braucht. Eine Box und Switches mit VLAN Unterstützung würden das auch abdecken.
,,The S in IoT stands for Security!" :)
Print
Go Up Pages1
User actions