Routen zwischen LAN und LAN2 nur mit DHCP LAN2 Interface möglich (Gelöst)

[_Alchemist_]

Hallo zusammen,

ich möchte mit Clients in LAN auf Clients in LAN2 zugreifen.
Allerdings geht das nur, wenn das Interface, was mit LAN2 verbunden ist, vom DHCP Server in LAN2 eine IP-Adresse bekommt.
Sobald ich die IP-Adresse vom LAN2 Interface von DHCP auf Statisch IPv4 umstelle, funktioniert gar nichts mehr.



LAN2 Statische IP:      192.168.178.254/24
LAN2 Dynamische IP: 192.168.178.49/24

Woran kann das liegen?
Außer der IP-Adresse hat sich nichts geändert - oder generiert OPNsense bei DHCP irgendwelche Einstellungen?
Einen Gateway und eine Route habe ich bei DHCP und Statischer IP.

[_Alchemist_]

Ich glaube ich habe das Problem gefunden:

Wenn dem LAN2 Interface eine IP-Adresse vom DHCP Server zugeteilt wird, wurden unter "Firewall: NAT: Ausgehend" automatisch Regeln erstellt.

Wenn ich dem LAN2 Interface aber manuell eine Statische IP zuegteilt habe, wurden unter Firewall: NAT: Ausgehend" gar keine Regeln erstellt.

Der Modus stand auf "Automatische ausgehende NAT Regelgenerierung - (keine manuellen Regeln können verwendet werden)"

Jetzt habe ich es auf "Hybride Erstellung ausgehender NAT Regeln - (automatisch generierte Regeln werden nach den manuellen Regeln angewandt)" gestellt.

Ist das so vorgesehen dass die Automatischen NAT Regeln nur erstellt werden, wenn OPNsense am Interface selbst alles vom DHCP her einstellt?

[_Alchemist_]

Hat das vielleicht etwas mit diesem Post zu tun? https://forum.opnsense.org/index.php?topic=10183.0
Dort wurde ebenfalls ein Problem mit der Automatischen ausgehenden NAT Regelgenerierung beschrieben - ist das ein Bug?

[Domi741]

Also von LAN nach LAN2 muss in der Regel nix genatted werden, da sollte Outbound NAT egal sein.

Wie lautet denn die IP deiner Interfaces an der Opnsense?

Anhand deiner Angaben und Zeichnung würde ich es wie folgt vermuten:
LAN: 192.168.1.1
LAN2: 192.168.178.254


Nach deinen Angaben hast du dem Client im LAN2 ebenfalls die 192.168.178.254 gegeben.
Dann wird es wohl eher an doppelt vergebener IP als am NAT liegen.



Bitte etwas genauere Angaben dann kann man dir besser helfen.


Gesendet von iPhone mit Tapatalk Pro

[_Alchemist_]

Hier noch ein paar Informationen:

OPNsense
LAN    192.168.1.1 / 24
LAN2    192.168.178.254 / 24

Client 1
Eth0    192.168.1.176/24

Client 2
Eth0    192.168.178.253/24

Automatische Regel bei DHCP + Automatische ausgehende NAT Regelgenerierung


Manuelle Regel bei Statischer IP + Hybride Erstellung ausgehender NAT Regeln

[Domi741]

Kannst du mal bitte dein LAN2 Interface posten, also die Konfig.


Ich habe 3 LANs eingerichtet und habe keinerlei NAT dafür im Einsatz lediglich für den Zugriff ins WAN...

[_Alchemist_]

Hier ist meine config:


Grüße :)

[Domi741]

Wie mir auffällt ist dein LAN 2 Subnetz das Fritzbox Default Netz. Hängt noch eine Fritzbox mit im LAN2?
Was ist das Gateway deines Clients mit der 192.168.178.253? Ist das die evtl. vorhandene Fritzbox?


Da du was geschrieben hast, dass LAN2 etwas bei dir via DHCP bezieht, wer ist der DHCP Server?


Unter dem Aspekt einer vorhandenen Fritzbox:
Gibt es in der Fritzbox eine Route, dass das Netz 192.168.1.0/24 via 192.168.178.254 erreichbar ist?

[_Alchemist_]

Sorry, hätte ich besser erklären sollen. :P

"LAN" ist das Lokale Netzwerk von OPNsense
"LAN2" ist das Lokale Netzwerk der FritzBox
Der DHCP Server ist der von der FritzBox.
Beine Router haben eine eigene Internetverbindung



Der "Client" im LAN Netzwerk ist mein PC.
Der "Client" im LAN2 Netzwerk ist ein NAS.

Was ich machen wollte, ist dass ich mit meinem PC auf das NAS im LAN2 verbinden kann, was jetzt auch funktioniert.
Der Grund warum ich LAN2 nicht in OPNsense angelegt habe, ist weil das nur eine Testumgebung zu lernen ist.

[Domi741]

Was ich machen wollte, ist dass ich mit meinem PC auf das NAS im LAN2 verbinden kann, was jetzt auch funktioniert.
Der Grund warum ich LAN2 nicht in OPNsense angelegt habe, ist weil das nur eine Testumgebung zu lernen ist.

Wie stellst du dir das dann vor?
Du willst LAN2 nicht anlegen aber drauf zugreifen?

[_Alchemist_]

Wie stellst du dir das dann vor?
Du willst LAN2 nicht anlegen aber drauf zugreifen?

Exakt, und das hat auch schon die ganze Zeit funktioniert, nur nicht sobald ich dem Interface von OPNsense, was im FritzBox LAN2 Netz hängt, eine Statische IP-Adresse gegeben habe.
Für OPNsense macht es ja kein Unterschied, ob das Netzwerk am opt3 (LAN2) Interface jetzt in einem RFC 1918 Netz oder im Internet (WAN) hängt.
PC --> [LAN] --> (lan, igb1) [OPNsense] (opt3, igb3) --> [LAN2] --> Server

[JeGr]

Woran liegt das? Naja weil dein ganzes LAN2 eigentlich das FB Netz ist, von der FB das DHCP bekommt und jedes Gerät in LAN2 ergo alle Pakete nach extern an die Fritzbox schickt? Die ggf. eben keinerlei Route kennt zu LAN1 Geräten? Oder hast du der FB beigebracht, dass alles was aus LAN kommt (deren Netz) via der Sense in LAN2 geroutet werden soll? Wahrscheinlich nicht.

Warum gehts mit DHCP? Weil du NAT auf automatic outbound hast und bei DHCP die FB der Sense nen Default GW pusht und damit das Interface LAN2 kein LAN mehr ist sondern ein WAN Uplink. Dadurch gelten auch automatic outbound NAT rules und jedes Paket wird ausgehend geNATtet wenns rausgeht - was dazu führt, dass wundersamerweise die Pakete wieder den Rückweg zur Sense finden, weil die Pakete alle von der Sense LAN2 IP zu kommen scheinen. Wenn du ne statische IP vergibst, dann wohl ohne Gateway FB in LAN2 und damit auch kein "WAN" Style Interface. Dadurch kein Auto-NAT, dadurch kein Rückweg der Pakete weil in FB keine Route zu 192.168.1.0 bekannt, daher Pakete verloren.

Das ist einfach Routing Logik :)

[Patrick M. Hausen]

Um @JeGr zusammenzufassen: leg auf der Fritzbox eine Route für das LAN 192.168.1.0/24 an und alles wird gut.

[_Alchemist_]

Woran liegt das? Naja weil dein ganzes LAN2 eigentlich das FB Netz ist, von der FB das DHCP bekommt und jedes Gerät in LAN2 ergo alle Pakete nach extern an die Fritzbox schickt? Die ggf. eben keinerlei Route kennt zu LAN1 Geräten? Oder hast du der FB beigebracht, dass alles was aus LAN kommt (deren Netz) via der Sense in LAN2 geroutet werden soll? Wahrscheinlich nicht.

Warum gehts mit DHCP? Weil du NAT auf automatic outbound hast und bei DHCP die FB der Sense nen Default GW pusht und damit das Interface LAN2 kein LAN mehr ist sondern ein WAN Uplink. Dadurch gelten auch automatic outbound NAT rules und jedes Paket wird ausgehend geNATtet wenns rausgeht - was dazu führt, dass wundersamerweise die Pakete wieder den Rückweg zur Sense finden, weil die Pakete alle von der Sense LAN2 IP zu kommen scheinen. Wenn du ne statische IP vergibst, dann wohl ohne Gateway FB in LAN2 und damit auch kein "WAN" Style Interface. Dadurch kein Auto-NAT, dadurch kein Rückweg der Pakete weil in FB keine Route zu 192.168.1.0 bekannt, daher Pakete verloren.

Das ist einfach Routing Logik :)

Danke für die ausführliche Erklärung, jetzt verstehe ich auch genau was das Problem war :)
Bin leider noch ein Anfänger was Routing angeht, wo kann man sich denn am besten dazu schlau machen?

Um @JeGr zusammenzufassen: leg auf der Fritzbox eine Route für das LAN 192.168.1.0/24 an und alles wird gut.

Danke für den Tipp, habe es eben gemacht und es geht jetzt ohne meiner Ausgehenden NAT Regel :D

[JeGr]

> Bin leider noch ein Anfänger was Routing angeht, wo kann man sich denn am besten dazu schlau machen?

Puh schwierig, würde mir aus dem Stehgreif jetzt auch kein Beginners Guide zu einfallen aber ggf. einfach nochmal fragen wenn unklar :) Habs ja deshalb auch versucht ausführlich zu schreiben, damits klar wird wo die Sachen herkommen.

Oder Patrick fragen, der macht dann die TL;DRs von meinen Posts zukünftig!
Hab ich gehört!
So nebenbei :P