Verkehr von den OPTx Netzwerken in das LAN Netzwerk standardmäßig verhindert?

[Patrick M. Hausen]

Mach bitte ein tcpdump auf der OPNsense ...

[h_frank]

Hallo Patrick,

ich habe jetzt mal, wie von dir gewünscht, ein tcpdump von der Console der OPNsense auf das Interface em0 (LAN) gemacht. Ich denke, dass ist grundsätzlich das, was auch die OPNsense über die Option Schnittstellen > Diagnose > Paketaufzeichnungen macht, aber ok. Das Ergebnis war erwartungsgemäß gleich.

Zuerst für meinen Test7: ping von 192.168.252.211 auf 192.168.1.17 (mit Regel in OPT2):

20:49:32.517174 IP 192.168.252.211 > 192.168.1.17: ICMP echo request, id 10569, seq 1, length 64
20:49:33.539135 IP 192.168.252.211 > 192.168.1.17: ICMP echo request, id 10569, seq 2, length 64
20:49:34.563024 IP 192.168.252.211 > 192.168.1.17: ICMP echo request, id 10569, seq 3, length 64

Es fehlt eben das reply.
Dann wieder zum Vergleich an der OPNsense über Schnittstellen > Diagnose > Ping vom Interface LAN ein Ping auf 192.168.1.17 im LAN, ohne vorher irgendetwas zu ändern (mein Test 5):

20:54:12.755950 IP OPNsense.localdomain > 192.168.1.17: ICMP echo request, id 12645, seq 0, length 64
20:54:12.756671 IP 192.168.1.17 > OPNsense.localdomain: ICMP echo reply, id 12645, seq 0, length 64
20:54:13.771409 IP OPNsense.localdomain > 192.168.1.17: ICMP echo request, id 12645, seq 1, length 64
20:54:13.772325 IP 192.168.1.17 > OPNsense.localdomain: ICMP echo reply, id 12645, seq 1, length 64
20:54:14.831416 IP OPNsense.localdomain > 192.168.1.17: ICMP echo request, id 12645, seq 2, length 64
20:54:14.832299 IP 192.168.1.17 > OPNsense.localdomain: ICMP echo reply, id 12645, seq 2, length 64

Jetzt wie gehabt mit reply.

Wie schon erwähnt handelt es sich bei der 192.168.1.17 um einen Windows 10 PC. Im LAN Netz gibt es noch ein NAS, dass auf Linux Basis läuft. Zur Sicherheit habe ich von 192.168.252.211 auf 192.168.1.13 (das NAS) mein ping auch nochmal am LAN Interface der OPNsense aufgezeichnet:

21:31:22.372077 IP 192.168.252.211 > 192.168.1.13: ICMP echo request, id 36480, seq 1, length 64
21:31:23.393749 IP 192.168.252.211 > 192.168.1.13: ICMP echo request, id 36480, seq 2, length 64

Auch hier fehlt das reply.

Beste Grüße,
Frank

[Patrick M. Hausen]

Dem System 192.168.1.17 fehlt wahrscheinlich die Defaultroute zur OPNsense. Du siehst ja im tcpdump, dass die Echo Requests das LAN Interface verlassen.

[h_frank]

Hallo Patrick,

Du schreibst "Dem System 192.168.1.17 fehlt wahrscheinlich die Defaultroute zur OPNsense. Du siehst ja im tcpdump, dass die Echo Requests das LAN Interface verlassen."

Die Idee hatten wir schon weiter oben und ja, das würde das Verhalten erklären. Dem ist aber leider nicht so. Bei diesem Windows PC ist als Standardgateway die 192.168.1.101, also die Schnittstelle der OPNsense eingetragen.

Übrigens habe ich auch mal getestet, vom OPT2 Netz ein Ping auf eine Maschine in OPT1 zu machen. Das war kein Problem, was ja auch mit der Regel:
  IPv4 *    OPT2 Netzwerk    *    *    *    *    *
in OPT2 so sein sollte. Aber Ping aus irgendeinem OPTx Netz mit entsprechender Regel an Maschinen im LAN funktionieren nicht.

Gruß,
Frank

[superwinni2]

Firewall oder ähnliche Sicherheitseinrichtungen aktiv auf dem Gerät das nichts zurück schickt?

[Patrick M. Hausen]

Na dann als nächstes einen Packet-Trace auf dem Zielgerät, von dem nichts zurück kommt ...

Noch ein Nachtrag: Du siehst im Trace die ICMP echo requests, wie sie die OPNsense zum LAN Interface hinaus verlassen. Du siehst keine echo replies.

Was bitte soll das mit der OPNsense zu tun haben?

Du würdest im tcpdump auch alle Pakete sehen, die von Firewall-Regeln geblockt werden. Du siehst tatsächlich alle Pakete, die irgendwie zu dem Interface rein oder raus gehen. Tcpdump setzt komplett unterhalb der Firewall an.

Also hör bitte auf, irgendwas von irgendwelchen Bugs anzudeuten, die definitiv nicht existieren. Ich hab ein Dutzend OPNsense-Installationen und alle Interfaces werden absolut gleich behandelt. Es hängt ausschließlich von den Regeln ab, was mit den Paketen am Ende passiert.

Du betreibst hier substanzlosen FUD - fear, uncertainty and doubt.

Auch bist Du uns immer noch einen Plan Deines Netzes schuldig. Vielleicht hast Du ja eine merkwürdige Topologie, die zu asymmetrischem Routing führt.

Tatsache ist: OPNsense behandelt OPT1-N keinen Deut anders als LAN oder WAN. Tatsache. Dank Open Source für jeden nachvollziehbar.

Du kannst hier gerne Hilfe bekommen, wenn Du folgendes lieferst:

- Netzplan
- alle Interface-Konfigurationen
- alle Firewall-Regeln
- vollständige IP-Konfiguration der Systeme, zwischen denen das "ping" nicht funktioniert

Beste Grüße
Patrick

[h_frank]

Hallo Patrick,
ich verstehe gut, dass ich hier langsam nerve! Alles, was du geschrieben hat, ist plausibel. Und , wenn ich an deiner Stelle wäre, hätte ich vermutlich auch geantwortet: „Was soll das mit OPNsense zu tun haben?“.
Ja wie soll man remote so etwas lösen, wenn ich davorsitze und nicht hinbekomme? Also erst mal sorry und vielen Dank für die Unterstützung bis hierher! Ich werde nochmal in mich gehen und vielleicht noch ein paar Tests machen, bei denen ich eine Maschine direkt mit dem LAN Interface der OPNsense verbinde. Und ich melde mich erst wieder hier, wenn ich verstanden habe, warum die Maschinen im LAN auf ping aus den OPTx Netzen nicht antworten.
Gruß,
Frank

[h_frank]

Hallo Patrick,

es wäre jetzt an der Zeit, dir mal ein Bier auszugeben, für die Nerven, die ich dir gekostet habe! Unser Problem ist, dass wir zu wenig Windows machen! Und ich habe immer weniger Lust dazu, ganz ehrlich!
Also, Problem gelöst! Es war die Windows Firewall, die ICMP aus anderen Subnetzen nicht mag. Nachdem ich die Maschine bei meinen Versuchen weiter mit Ping traktiert habe, hat sie noch nicht mal auf solche aus dem eigenen Netz reagiert. Wenn ich Windows Defender für Private Netzwerke komplett ausschalte, funktioniert wieder alles. So ein Sch…
Warum nun das NAS genau so reagiert hat, wie die Windows Büchse, kann ich nicht sagen und will ich auch nicht mehr ergründen.
Auf jeden Fall nochmal vielen Dank für deine Geduld. Wenn in Zukunft wieder jemand mit so einem Problem ums Eck kommt, soll er einfach Windows Defender mal abschalten!
Das Gute an der Sache: Jetzt habe ich OPNsense schon mal an einigen Stellen gut kennenlernen können. Ich hatte viele Jahre eine IPCop Firewall am Laufen. Die hat prima funktioniert, allerdings hat sie schon ein paar Jahre keinen Support mehr und jetzt hat auch meine alte Hardware ihr Lebensende erreicht. Außerdem waren das auch Stromfresser. Deshalb habe ich jetzt zwei Fujitsu Futro S920 als Ersatz. Die funktionieren bisher perfekt für den Zweck und brauchen wenig Strom. Ist eine Empfehlung!
Dann noch einen schönen Abend und standhaft bleiben, wenn mal wieder jemand hartnäckig wie ich…

Beste Grüße von der Ostsee,

Frank

[h_frank]

Firewall oder ähnliche Sicherheitseinrichtungen aktiv auf dem Gerät das nichts zurück schickt?

Ja, das war das Problem! Hattest absolut recht!
Wie so oft: "Error was in front of console."

Besten Dank,

Frank!