[GELÖST] Ungewöhnliches Routing Verhalten

[lfirewall1243]

Hallo zusammen,

ich bin aktuell dabei einen alten Router durch die OPNsense abzulösen

Der "Router ALT" soll ersetzt werden. Klappt auch soweit alles.

Allerdings habe ich für eine Archiv Software einen extra VPN Router im Netz, um diesen zu erreichen ist im bestehenden Router eine Route für das 80.80.80.80/32 an die 192.168.1.254/24 eingetragen.

Übernehme ich nun diese Einstellungen in die OPNsense und änder das Gateway des Clients auf die OPNsense bekomme ich in der Archiv Software einen "Socket Timeout". Ein tracert auf dem Client zeigt aber das gleiche Verhalten wie wenn ich den "Router ALT" benutze.
Erst an den Router/OPNsense danach an die 192.168.1.254

Als würde in der OPNsense das Routing komisch laufen, oder nicht für alle Pakete
Der Haken "Umgehe Firewall Regeln für Verkehr auf der gleichen Schnittstelle" ist bereits gesetzt.

Und hier einmal der Netzwerkplan

Code: [Select]

           +----------+   +------------+                                                                         
           |          |   |            |                                                                         
           | OPNsense |   | Router ALT |                                                                         
           |          |   |            |                                                                         
           +-----|----+   +--/---------+                                                                         
          192.168.1.10/24 192.168.1.1/24                                                                         
                 |         /                                                                                     
                 |        |                                                                                     
                 |        /                                                                                     
                 |       /                   +-----------+                                                       
                 |      /                    |           |                                                       
 Switch----------|-----|----------------------VPN Router |----------------- 80.80.80.80/32                       
      +----------|----------+                |Archiv     |                                                       
                 |                           +-----------+                                                       
                 |                         192.168.1.254/24                                                     
                 |                                                                                               
                 /                                                                                               
                |                                                                                               
                |                                                                                               
                |                                                                                               
                |                                                                                               
                |---------------+                                                                               
                |               |                                                                               
                |               |                                                                               
                |  Windows Cient|                                                                               
                |               |                                                                               
                |               |                                                                               
                +---------------+                                                                               

[lfirewall1243]

Muss ich vielleicht "Disable force Gateway" aktivieren?
Und was gäbe es da zu beachten, möchte mich ungern aussperren oder das Internet zerschießen

[Gauss23]

Ich glaube der Router mit der .254 antwortet an die falsche IP.
Bzw schau mal, ob am alten Router sogar Outbound NAT dafür genutzt wird.

Was passiert, wenn Du dem Client direkt die Route zu 80.80.80.80/32 über die .254 einträgst? Kommt damit eine Verbindung zustande?

[lfirewall1243]

Ich glaube der Router mit der .254 antwortet an die falsche IP.
Bzw schau mal, ob am alten Router sogar Outbound NAT dafür genutzt wird.

Was passiert, wenn Du dem Client direkt die Route zu 80.80.80.80/32 über die .254 einträgst? Kommt damit eine Verbindung zustande?

Maskierung wie sich das beim Lancom nennt ist für die Routen nicht aktiv.
Sobald ich die Route auf dem Client manuell eintrage läuft es.

Wenn der Router an die falsche IP geht, dürfte ein tracert oder Ping ja eigentlich nicht durchgehen - oder?

Komisch das es mit der OPNsense nicht klappt

[lfirewall1243]

Hatte sowas ähnliches bei einem anderen Netzwerk schonmal. Auf jeden Fall gab es da Probleme mit dem Routing der OPNsense.

Dort habe ich es über manuelles Eintragen der Routen gelöst, dies ist hier aber nicht Produktiv umsetzbar.

NAT Regeln sind auf der OPNsense nur die automatischen auf dem WAN-Interface hinterlegt, da sollte das Routing aber eh nicht drüber gehen.

[Gauss23]

Ich glaube dennoch, dass das Antwortpaket die falsche Route nimmt:
Du schickst von einem Client 192.168.1.100 ein Paket an den Default GW (192.168.1.10 Router neu). Dieser leitet es an 192.168.1.254 weiter, dort ins VPN und das Antwortpaket will dann von 192.168.1.254 direkt an den Client zurück. Da diese beiden Geräte keine direkte Verbindung hatten, wird das Antwortpaket verworfen. Warum das am Lancom ging, kann ich mir auch nicht erklären, außer, dass die die Problematik erkennen und automatisch die Paketheader verändern.

Versuche doch mal es mit Outbound NAT auf der OPNsense für diese eine Route.

[lfirewall1243]

Ich glaube dennoch, dass das Antwortpaket die falsche Route nimmt:
Du schickst von einem Client 192.168.1.100 ein Paket an den Default GW (192.168.1.10 Router neu). Dieser leitet es an 192.168.1.254 weiter, dort ins VPN und das Antwortpaket will dann von 192.168.1.254 direkt an den Client zurück. Da diese beiden Geräte keine direkte Verbindung hatten, wird das Antwortpaket verworfen. Warum das am Lancom ging, kann ich mir auch nicht erklären, außer, dass die die Problematik erkennen und automatisch die Paketheader verändern.

Versuche doch mal es mit Outbound NAT auf der OPNsense für diese eine Route.

Werde ich morgen Mal testen

Klingt auf jeden Fall schlüssig

Danke dir

[ascii]

ich sehe das auch so wie Gauss23. Du hast damit ein A-syncrones Routing. Sprich Hin und Rückweg sind nicht gleich. Je nach Applikation kann das zu Problemem führen.

Ich denke du hast 3 Möglichkeiten

1. IP vom Backup Router ändern und die OPNSense mit einem Transfernetz versorgen und darüber routen.
2. Ein NAT auf der OPNSense um alle Pakete die zum VPN Router gehen "hinter der OPNSense" zu verstecken. (Outbound NAT)
3. Auf den Clients eine Route für 80.80.80.80/32 eintragen die zum Backup Router geht.

Jetzt kommt es drauf an über wieviel traffic wir reden und wie viele Interface deine OPNSense hat. Wenn es immer mal nur ein bisschen ist dann würde ich mit Option 1 gehen.
Option 2 würde ich ganz sein lassen. Macht nur "Last" und ist beim debuggen immer mist.
Bei Option 3 bin ich mir nicht sicher ob man die Route per DHCP pushen kann. Das wäre dann sehr komfortabel und du müsstest kaum etwas ändern.

Persönlich würde ich mit Option 1 gehen.

[lfirewall1243]

Danke euch beiden

Habe jetzt Lösung 2 genommen, da ich keinen Zugriff auf den Backup Router habe sowie die Clients nicht alle anpassen kann.
So funktioniert es, ist auch nicht viel Traffic was da rüber geht.


Also war es ehr der Lancom der da ungewöhnliche Dinge einfach so gemacht hat?