OPNsense portiert - lässt mich nicht mehr raus

[Emma2]

Hallo.

Ich habe es nun endlich in die "Filiale" geschafft und will dort meinen Win2k12/HyperV-Host gegen Ubuntu/Virtualbox tauschen. Das muss ich jedoch (mehr oder weniger) im laufenden Betrieb tun. Allerdings habe ich hier den "Luxus", dass ich beliebig viele öffentliche IPs (per DHCP) bekomme.

Ich habe also meine (gut funktionierende!) OPNsense heruntergefahren, die VHD-Datei in eine VDI geklont und dann als Virtualbox-VM wieder gestartet. Die WAN-Schnittstelle habe ich "ans Internet" gehängt, und auf der LAN-Schnittstelle habe ich anstatt der produktiven 192.168.2.14 die temporäre 192.168.2.214 vergeben.

Ich sehe im Web-Interface, dass die geklonte OPNsense im Netz ist, sie hat eine IP bekommen, und wenn ich sie "von außen" auf dieser IP anpinge, sehe ich auch Traffic im Dashboard. Mehr geht jedoch nicht.

Per SSH auf die neue OPNsense verbunden, geht dort in der Shell nicht einmal ping 8.8.8.8. Die beiden OPNsense können sich gegenseitig anpingen, und von der alten aus funktioniert auch ping 8.8.8.8. Ich schließe daraus, dass die Schnittstellen richtig zugewiesen sind.

Selbstverständlich kommt dann ein Client, auf dem ich die 192.168.2.214 (neue OPNsense) als Gateway eingetragen habe, auch nicht ins Internet. Regeln habe ich NICHT verändert. Trotzdem funktioniert "irgend etwas" nicht.

Übrigens habe ich im ersten Versuch, die originale OPNsense heruntergefahren und die geklonte mit der "produktiven" LAN-Adresse 192.168.2.14 gestartet, aber das Ergebnis war das Gleiche (meine ich zumindest). Ich habe deshalb die Befürchtung, dass beim Klonen etwas "auf der Strecke geblieben" ist. (Vielleicht ähnlich wie bei Windows-VMs, die nach der Portierung immer "neue Netzwerkkarten" haben und ihre IPv4-Settings verlieren...)

Wo fange ich am besten das Suchen an? Oder in welche Protokolle sehe ich am besten zuerst? Oder habt Ihr vielleicht schon jetzt eine Idee? Muss ich z.B. der OPNsense irgendwo mitteilen, wie und wo sie ins Internet routet? Ich freue mich mal wieder auf Eure Hilfe... 

[Emma2]

Hmm, ich bleibe ratlos und brauche bitte Eure Hilfe:

Ich habe nun zwei OPNsense-Installationen, die aus meiner Sicht völlig gleich sind. Ich nenne sie "Funkt" und "Nicht", Beide "sind im Internet", "Funkt" funktioniert wie gewünscht, aber über "Nicht" kommt ein Client nicht dorthin.

Was habe ich getan, damit beide "gleich" sind?

• Ich habe die Konfiguration von "Funkt" exportiert, darin die Namen der Interfaces angepasst und die internen IPs geändert (von x.2.14 auf x.12.14)
• Ich habe bei "Nicht" die internen Kabel gezogen, auf der Shell sind "ping 8.8.8.8." und "ping amazon.de" erfolgreich, die IST also im Netz
• Ich habe einem Win7-Client eine feste IP gegeben und die x.12.14 ("Nicht") als Gateway eingetragen
• "ping 8.8.8.8" meldet "Zeitüberschreitung"
• "ping amazon.de" wird verständlicherweise nicht einmal aufgelöst.
• "tracert 8.8.8.8" meldet ebenfalls "Zeitüberschreitung".

Woran kann das denn bloß liegen?

In der Firewall gibt es für das LAN-Interface eine Regel "mit nur Sternchen", dann sollte ich doch "nach draußen kommen", oder wo fehlt es hier noch?

Ich weiß nicht, wo ich noch suchen sollte - die beiden sind doch gleich (dachte ich zumindest...)...

[lfirewall1243]

Kannst du denn vom Client aus auf deine OPNsense zugreifen, oder passt das schon was nicht ?

[Emma2]

Kannst du denn vom Client aus auf deine OPNsense zugreifen, oder passt das schon was nicht ?

Ja, das geht problemlos. Da die "Nicht" ja mittlerweile sogar im anderen Subnetz (192.168.12.0 statt 192.168.2.0) hängt, muss ich das sogar tun. (Einzig muss ich den Port 81 wählen, weil ich die lokale Umleitungsregel nicht geändert habe.)

Ich werde nacher einmal die "Funkt" herunterfahren und die "Nicht" mit exakt den gleichen Einstellungen (bis auf die Interface-Namen) starten, erwarte aber nicht, dass das dann funktioniert. Ich werde berichten.

Bis dahin lese ich gern weitere Vorschläge oder Ideen... Danke schon jetzt!

[lfirewall1243]

Also zuerst wurde ich prüfen, wenn die nicht funktionierende aktiv ist.

1. Prüfen ob man vom Client auf die OPNsense kommt.
Wenn nicht dort suchen (evtl Schnittstellenzuordnung), sonst Punkt 2

2. WAN Schnistelle auf Zuordnung prüfen

3. Gateway Einstellungen der opnsense prüfen, evtl. Ping auf 1.1.1.1 von der OPNsense aus.

4. Outbound NAT prüfen, manchmal werden trotz "Automatisch" keine regeln angelegt, dann manuell anlegen.

[Emma2]

Also zuerst wurde ich prüfen, wenn die nicht funktionierende aktiv ist.

Aktuell sind beide aktiv, aber auf verschiedenen Subnetzen, und der Client ist nur auf dem Subnetz der "Nicht".

1. Prüfen ob man vom Client auf die OPNsense kommt.

Geht (s.o.)

2. WAN Schnistelle auf Zuordnung prüfen

Hat identische Einstellungen wie bei "Funkt": IPv4-DHCP.

3. Gateway Einstellungen der opnsense prüfen, evtl. Ping auf 1.1.1.1 von der OPNsense aus.

Geht (s.o.). Geht auch mit einer anderen antwortenden Adresse.

4. Outbound NAT prüfen, manchmal werden trotz "Automatisch" keine regeln angelegt, dann manuell anlegen.

Ist auf "Funkt" und auf "Nicht" identisch: "Manuelle Erstellung", LAN - Quelle jeglich; Quellport, Ziel, Zielport *; NAT Adresse Schnittstellenadresse; NAT Port *; Statischer Port JA. Dito für WAN.
(Ich weiß nicht, ob das schon immer so war, oder - wenn nicht - warum ich das umgestellt hätte (eventuell wegen VoIP?), aber wie gesagt ist es auch auf "Funkt" genau so eingestellt und funktioniert.)

Was mich wundert, und da kommt mir wieder mal eine schreckliche Idee: Auf "Funkt" sehe ich in Firewall/Protokoll/Live den Ping nach 1.1.1.1, auf "Nicht" sehe ich den gar nicht erst, so als würde der Client nicht das richtige Gateway fragen, sein IPCONFIG antwortet aber passen "Standardgateway... 192.168.12.14".

[lfirewall1243]

Also zuerst wurde ich prüfen, wenn die nicht funktionierende aktiv ist.

Aktuell sind beide aktiv, aber auf verschiedenen Subnetzen, und der Client ist nur auf dem Subnetz der "Nicht".

1. Prüfen ob man vom Client auf die OPNsense kommt.

Geht (s.o.)

2. WAN Schnistelle auf Zuordnung prüfen

Hat identische Einstellungen wie bei "Funkt": IPv4-DHCP.

3. Gateway Einstellungen der opnsense prüfen, evtl. Ping auf 1.1.1.1 von der OPNsense aus.

Geht (s.o.). Geht auch mit einer anderen antwortenden Adresse.

4. Outbound NAT prüfen, manchmal werden trotz "Automatisch" keine regeln angelegt, dann manuell anlegen.

Ist auf "Funkt" und auf "Nicht" identisch: "Manuelle Erstellung", LAN - Quelle jeglich; Quellport, Ziel, Zielport *; NAT Adresse Schnittstellenadresse; NAT Port *; Statischer Port JA. Dito für WAN.
(Ich weiß nicht, ob das schon immer so war, oder - wenn nicht - warum ich das umgestellt hätte (eventuell wegen VoIP?), aber wie gesagt ist es auch auf "Funkt" genau so eingestellt und funktioniert.)

Was mich wundert, und da kommt mir wieder mal eine schreckliche Idee: Auf "Funkt" sehe ich in Firewall/Protokoll/Live den Ping nach 1.1.1.1, auf "Nicht" sehe ich den gar nicht erst, so als würde der Client nicht das richtige Gateway fragen, sein IPCONFIG antwortet aber passen "Standardgateway... 192.168.12.14".

Was sagt folgendes auf dem Client

tracert 1.1.1.1. ?

[Emma2]

Was sagt folgendes auf dem Client

tracert 1.1.1.1. ?

Routenverfolgung zu 1.1.1.1 über maximal 30 Abschnitte
"*   *   *   *   Zeitüberschreitung der Anforderung" - 30 mal, und auf dem Liveprotokoll ist NICHTS davon zu sehen.


Ich fahre nun mal die "Funkt" herunter und konfiguriere die "Nicht" absolut identisch (also auch gleiche IPs) bis auf die Namen der Schnittstellen. Bin gleich wieder da.

[Emma2]

Na, das ist jetzt seltsam (aber vielleicht auch nur für mich als Nicht-Experte seltsam?):

Ich habe die "Funkt" heruntergefahren und die "Nicht" mit der "Original"-Konfiguration gestartet (bis auf Interface-Namen), und damit komme ich dann sofort wieder ins Netz (zumindest mehr oder weniger, siehe unten).

Nun ist es so, hatte ich nicht erwähnt, dass aufgrund der vorhandenen Ausrüstung beide Subnetze physisch auf dem selben Draht liefen. Ist es da vielleicht denkbar, dass sich die beiden OPNsense-Instanzen irgendwie "beharkt" haben? (Schließlich waren die ja bis auf die IPs gleich, also auch die Namen...) Jedenfalls SCHEINT die geklonte Instanz nun zu laufen.

Warum nur "scheint"? Ich bin nicht ganz sicher, denn es gab nach wie vor Probleme, die könnten allerdings timing-bedingt sein und in der zugegeben "hemdsärmeligen" Hardwaresituation begründet liegen: Der temporäre Linux/VB-Host ist über Kabel an den Glasfaserswitch angebunden. Da dieser "Host" jedoch nur ein Notebook ist, geschieht seine Anbindung ans LAN über seinen WLAN-Adapter. Ich könnte mir vorstellen, dass das ein paar Timeouts verschuldet hat. Wenn ich es direkt am "Host" versucht habe (auf dem die OPNsense-VM lief, dann sah es deutlich besser aus...  )

Ich werde, um ein bisschen "Restsicherheit" zu haben, morgen folgendes tun:

• Ich fahre die "Funkt" herunter und deinstalliere Hyper-V auf dem W2k12-Host.
• Ich installiere Virtualbox auf dem Host und starte darin die "Nicht".
• Wenn sie Probleme macht, kann ich schnell zurückrudern.
• Wenn sie läuft (was ich fast erwarte), dann töte ich das Win2k12 und installiere Ubuntu mit Virtualbox neu.

Ich werde berichten. Vielen Dank bis hier - hat wie immer geholfen, wenn auch nicht ganz konkret, aber es hat mich auf alle Fälle zum weiteren Nachdenken gebracht.