OPNsense Regeln ohne Funktion. Bitte um Hilfe.

Started by lptests, April 13, 2021, 06:07:18 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 13, 2021, 06:07:18 PM
Hallo zusammen,
ich habe das Problem, dass die Regeln welche ich auf meiner OPNsense Firewall einstelle nichts bewirken.
Sprich ich erstelle eine Regel welche ICMP auf einen bestimmten Rechner in einem 192er Netzwerk blockieren soll. Trotz Bestätigung der Regel kann ich den Rechner weiterhin pingen. Wenn ich jedoch von diesem besagten Rechner einen Rechner in meinem 10er Netz pingen möchte funktioniert dies nicht.
Kurz zu meiner Situation:
Ich habe eine virtuelle OPNsense Firewall mit VMware erstellt, auf VMware habe ich ein neues VLAN konfiguriert. Das VLAN hat das 192er Netz. Mein Hauptnetzwerk liegt im 10er Bereich. Ich habe dieser virtuellen OPNsense zwei Netzwerkadapter zugewiesen, einen mit einer IP im 10er Netz und einen mit einer IP im 192er Netz. In der OPNsense habe ich das gewünschte VLAN der richtigen Schnittstelle zugewiesen. Die Übersicht unter Firewall --> Regeln zeigt mir also jetzt meine beiden Schnittstellen an. Soweit so gut, wenn ich allerdings jetzt eine Regel einstelle funktioniert diese nicht mehr. Wichtig hierbei ist noch, dass heute bei den Gateways der OPNsense etwas verändert wurde.
Woran kann das liegen und wie kann ich es beheben? Vielen Dank schonmal im Voraus.
April 13, 2021, 06:21:38 PM #1
Bitte einen Netzwerkplan
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
April 13, 2021, 07:54:47 PM #2
Anbei der Netzwerkplan, die IP der OPNsense für den 192er Bereich ist die 192.x.x.254 am Ende. Diese ist als Standardgateway bei dem PC im 192er Netz eingerichtet.
April 13, 2021, 09:20:02 PM #3
Du musst die beiden Netze schon auf zwei verschiedene Interfaces Deiner OPNsense legen ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 14, 2021, 10:32:39 AM #4
Quote from: pmhausen on April 13, 2021, 09:20:02 PM
Du musst die beiden Netze schon auf zwei verschiedene Interfaces Deiner OPNsense legen ...
Muss er nicht zwingend er verwendet ja VLAN's :)
Um aber die Frage zu beantworten, wäre ein konkretes Beispiel einer Regel hilfreich, die nicht funktioniert.
April 14, 2021, 10:55:35 AM #5
Quote from: goodomens42 on April 14, 2021, 10:32:39 AM
Quote from: pmhausen on April 13, 2021, 09:20:02 PM
Du musst die beiden Netze schon auf zwei verschiedene Interfaces Deiner OPNsense legen ...
Muss er nicht zwingend er verwendet ja VLAN's :)
Um aber die Frage zu beantworten, wäre ein konkretes Beispiel einer Regel hilfreich, die nicht funktioniert.

Und bitte einmal das Logging der jeweiligen Regeln aktivieren und im LiveLog schauen was dort passiert.
Vielleicht laufen die Pakete auch garnicht über die OPNsense
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
April 14, 2021, 11:01:27 AM #6
Quote from: goodomens42 on April 14, 2021, 10:32:39 AM
Muss er nicht zwingend er verwendet ja VLAN's :)
Um aber die Frage zu beantworten, wäre ein konkretes Beispiel einer Regel hilfreich, die nicht funktioniert.
Vielen Dank schonmal für eure Antworten.

Hier mal eine Regel, welche nicht funktioniert.
Protokoll       Quelle                  Port   Ziel         Port   Gateway   Zeitplan   Beschreibung
IPv4 ICMP       192.168.220.101   *   10.0.2.3   *   *                *              Ping

Nochmal kurz zum Aufbau:
Ich habe zwei Schnittstellen, diese sind unterschiedlichen Netzwerkadaptern zugeordnet. 10er Netz auf der vmx0
192er Netz auf der vmx1. Meine Regeln habe ich nur bei dem 192er Netz erstellt.

In das Logging schaue ich gleich rein.
April 14, 2021, 11:13:15 AM #7
Quote from: lfirewall1243 on April 14, 2021, 10:55:35 AM
Und bitte einmal das Logging der jeweiligen Regeln aktivieren und im LiveLog schauen was dort passiert.
Vielleicht laufen die Pakete auch garnicht über die OPNsense

Das einzige passende was er mir im LiveLog zeigt ist folgendes:
Er blockiert diesen Verkehr 192.x.x.101:57518   192.x.x.255:1947   udp   Default deny rule
April 14, 2021, 11:45:42 AM #8
Quote from: goodomens42 on April 14, 2021, 10:32:39 AM
Quote from: pmhausen on April 13, 2021, 09:20:02 PM
Du musst die beiden Netze schon auf zwei verschiedene Interfaces Deiner OPNsense legen ...
Muss er nicht zwingend er verwendet ja VLAN's :)
Um aber die Frage zu beantworten, wäre ein konkretes Beispiel einer Regel hilfreich, die nicht funktioniert.
Naja, dann sind das zwei Interfaces und die gehören auch mit zwei Linien in seinen Netzplan ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 14, 2021, 11:51:12 AM #9
Ein Kollege und ich haben festgestellt, dass die Regeln immer nur nach einem Reboot der OPNsense greifen. Kann das ein Problem in der neusten Version sein?
April 14, 2021, 11:52:38 AM #10
Also entweder müsste bei aktiviertem logging dort der Ping erlaubt oder blockiert werden.
Steht dort nichts drin liegt dein Problem woanders.

Entweder geht der Traffic einen anderen Weg oder wird schon vorher irgendwo geblockt
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1
User actions