Verkehr von den OPTx Netzwerken in das LAN Netzwerk standardmäßig verhindert?

[h_frank]

!Anmerkung! Problem ist gelöst! Bitte meinen letzten Post beachten!

Hallo in die Runde! Ich brauche Hilfe für ein eher triviales Problem mit meiner neuen OPNsense, die problemlos macht, was sie soll...
...mit einer Ausnahme.

Kurzfassung meiner Frage:
Gibt es einen Standard-Mechanismus, der Verkehr von den  OPTx Netzwerken in das LAN Netzwerk verhindert? Wenn ja, was ist der Sinn dahinter und wie kann man das umgehen?

Langfassung:
Ich habe 5 Interfaces WAN, LAN, OPT1, OPT2, OPT3. Für alle internen Netze (außer WAN) habe ich eine Regel in der Firewall eingerichtet, so dass jeder überall hindarf. Jetzt kann ich mit ping aus allen  internen Netzwerken Maschinen  in allen Netzwerken erreichen, außer Maschinen, die sich im LAN befinden. Maschinen im LAN erreiche ich nur aus dem LAN selbst. Das Interface der OPNsense im LAN erreiche ich allerdings aus allen OPTx Netzen mit ping. Somit sollte das Routing zwischen den Netzen ok sein und die Firewall nichts blockieren.
Die einzige plausible Erklärung für das Verhalten ist aus meiner Sicht irgendein Standardmechanismus, den ich nicht kenne???

Nun macht mir mal Licht ans Fahrrad! :o Vielen lieben Dank im Voraus!!!

Frank

[superwinni2]

Hallo Frank

Ist überall (und vorallem bei den LAN Geräten) das richtige Gateway eingerichtet?

Gruß

Gesendet von meinem OnePlus 8t mit Tapatalk

[Patrick M. Hausen]

Gibt es einen Standard-Mechanismus, der Verkehr von den  OPTx Netzwerken in das LAN Netzwerk verhindert? Wenn ja, was ist der Sinn dahinter und wie kann man das umgehen?

Natürlich. Im Auslieferzustand hat die Firewall ein WAN und ein LAN Interface und vom LAN aus ausgehend ist über eine Regel alles erlaubt.

Wenn Du nun neue Interfaces hinzufügst, existieren für die keine Regeln - also greift die "Default Deny" Regel, die alles blockt, was nicht ausdrücklich erlaubt ist.

Guck mal unter Firewall > Rules > LAN ... da siehst Du die "Pass" Regel, wenn Du sie nicht verändert hast.
Nun guck unter Firewall > Rules > OPT1 ... wenn Du möchtest, dass auch Geräte in OPT1 irgendwelche Dinge dürfen, musst Du dafür eine Regel anlegen. Z.B. indem Du die vom LAN Interface kopierst - dafür gibt es extra einen Knopf rechts neben der Regel im UI.

Gruß
Patrick

[h_frank]

Hallo Patrik!
Ich habe für alle Interfaces eine pass Regel eingefügt, so dass jeder aus dem Netzwerk überall hin darf. Das funktioniert prinzipiell auch. Über Schnittstellen>Diagnose>Ping kann ich jetzt z.B. von jedem OPNsense Interface aus ein erfolgreiches ping an jedes andere Interface machen, auch an das LAN Interface von OPNsense. Damit ist bewiesen, dass die Firewall den Verkehr durchlässt. Ich bekomme aber kein ping von einem der OPTx Interface zu einer Maschine im LAN hin. Zu Maschinen in anderen OPT Netzen klappt das aber.

Es sieht wirklich so aus, als ob generell kein Verkehr von den OPTx Netzwerken zum LAN möglich ist, unabhängig von den eingerichteten Regeln. In der Firewall Protokolldatei sehe ich übrigens auch, das mein Verkehr ins LAN durchgelassen wird.
???

[h_frank]

Hallo superwinni2,

im ersten Moment habe ich gedacht, da könntest du recht haben. Hab gleich die Meschine im LAN überprüft, an die ich immer das ping gesendet habe. War aber korrekt das LAN Interface der OPNsense eingetragen.
Ja, das hätte sein können!

[Patrick M. Hausen]

Dass da generell kein Verkehr möglich ist, ist definitiv nicht so. Die Firewall arbeitet einzig auf der Basis ihrer Regeln.

Du könntest uns damit wir weiter helfen können
- einen Netzplan erstellen
- ein konkretes "ping", das nicht funktioniert mit allen beteiligten Adressen nennen
- die lokale IP-Konfiguration der beiden Rechner, zwischen denen das funktionieren sollte, posten

Dann kann man vielleicht aus der Ferne ahnen, was klemmen könnte.

Zur Selbsthilfe: schon mal mit tcpdump die Pakete auf den beiden betroffenen Interfaces angeschaut?

[h_frank]

Hallo Patrick,
erst mal vielen Dank für die schnellen Antworten! Gut, wenn der Verkehr von OPTx auf LAN funktionieren müsste, ist das ja schon mal gut zu wissen! Hätte ich auch nicht anders erwartet. Ja, ich kann mal mit tcpdump auf das LAN Interface schauen. Vielleicht installiere ich einfach die OPNsense nochmal neu und teste mal, bevor ich ein Backup einspiele mit der Original Installation. Das sollte ja dann eigentlich gehen.
Ich mache das morgen mal und poste was rausgekommen ist. Also, nichts für ungut und nochmals besten Dank!!!
Frank

[h_frank]

So, jetzt habe ich auf einer neuen Maschine OPNsense 21.7.1 neu installiert und kann das Problem erneut reproduzieren. Ich glaube fast, wir haben einen Bug in dieser OPNsense Version? Vielleicht kann das nochmal jemand reproduzieren?
Nochmal, was habe ich gemacht?
-   OPNsense 21.7.1 installiert
-   Per GUI angemeldet und Interface konfiguriert
o   WAN 192.168.250.101
o   LAN 192.168.1.101
o   OPT1 192.168.251.101
o   OPT2 192.168.252.101
o   OPT3 192.168.253.101
-   Per GUI Grundkonfiguration über System>Assistent
-   Eine Maschine habe ich ins LAN gestellt mit 192.168.1.17
-   Eine Maschine habe ich ins OPT2 gestellt mit 192.168.252.211
-   Test1: ping von 192.168.1.17 auf 192.168.252.211 war ok, korrekt!
-   Test2: ping von 192.168.1.101 auf 192.168.1.17 war ok, korrekt!
-   Test3: ping von 192.168.252.211 auf 192.168.1.101 war nok, korrekt!
-   Test4: ping von 192.168.252.211 auf 192.168.1.17 war nok, korrekt!
-   Firewall>Regeln>OPT2 eine neue Regel, die alle überall hinlässt (gleiche Regel wie Default rule in LAN)
-   Test5: ping von 192.168.1.101 auf 192.168.1.17 war ok, korrekt! (zur Sicherheit)
-   Test6: ping von 192.168.252.211 auf 192.168.1.101 war ok, korrekt!
-   Test7: ping von 192.168.252.211 auf 192.168.1.17 war nok, das ist NICHT(!) korrekt
Anmerkung: ping vom LAN OPNsense Interface habe ich über das GUI Schnittstellen>Diagnose>ping gemacht

Zusammenfassend kann ich das bereits gestern mit anderer Hardware und gleicher OPNsense Version gesehene Verhalten bestätigen. Aus irgendeinem Grund verhindert OPNsense Verkehr von den OPTx Netzen in das LAN.
Schaut es euch an. Hat jemand eine Idee?
Beste Grüße von der Ostsee,
Euer Frank!

[Patrick M. Hausen]

Welche Regeln hast Du denn für die OPT Netzwerke angelegt? Wenn Du das nicht ausdrücklich tust, sind dort keine vorhanden und keine Regel bedeutet "deny". Das schrieb ich aber schon.

Poste doch mal Deine Firewall-Regeln für diese Interfaces.

[h_frank]

Für LAN gibt es nur die Default rule:
IPv4 *    LAN Netzwerk    *    *    *    *    *

Und das gleiche jetzt zusätzlich für OPT2:
IPv4 *    OPT2 Netzwerk    *    *    *    *    *

[Patrick M. Hausen]

Mit der Regel funktioniert es dann doch wohl? Tut es hier zumindest. Ansonsten ein tcpdump auf dem OPT2, eines auf dem LAN, gucken, was da an Paketen rumfliegt und wo keine kommen, die eigentlich kommen sollten.

Außerdem Firewall > Log Files > Live View ...

[KHE]

Hi,

So, jetzt habe ich auf einer neuen Maschine OPNsense 21.7.1 neu installiert und kann das Problem erneut reproduzieren. Ich glaube fast, wir haben einen Bug in dieser OPNsense Version? Vielleicht kann das nochmal jemand reproduzieren?
Nochmal, was habe ich gemacht?
-   OPNsense 21.7.1 installiert
-   Per GUI angemeldet und Interface konfiguriert
o   WAN 192.168.250.101
o   LAN 192.168.1.101
o   OPT1 192.168.251.101
o   OPT2 192.168.252.101
o   OPT3 192.168.253.101
-   Per GUI Grundkonfiguration über System>Assistent
-   Eine Maschine habe ich ins LAN gestellt mit 192.168.1.17
-   Eine Maschine habe ich ins OPT2 gestellt mit 192.168.252.211
-   Test1: ping von 192.168.1.17 auf 192.168.252.211 war ok, korrekt!

Das ist eigentlich nicht korrekt. Wenn du ohne eine Regel in OPT2 auf einen Rechner in OPT2 eine Antwort mit ping bekommst ist was falsch. Der ping sollte hier die IP 192.168.252.211 zwar erreichen, aber zurück sollte nichts durch die Firewall gehen. Sprich das erwartete Ergebnis ist nok.

Ich kann Patrick nur zustimmen, ohne Netzwerkplan wird das schwierig. Sind die Rechner direkt an die OPNsense angeschlossen?

KH

[h_frank]

Hi KHE,
Du schreibst: ,,Das ist eigentlich nicht korrekt. Wenn du ohne eine Regel in OPT2 auf einen Rechner in OPT2 eine Antwort mit ping bekommst ist was falsch. Der ping sollte hier die IP 192.168.252.211 zwar erreichen, aber zurück sollte nichts durch die Firewall gehen. Sprich das erwartete Ergebnis ist nok."
Ist das wirklich so? Ich denke für den Rückweg braucht es keine Regel. Das macht die Firewall automatisch.?

Ja, Thema Netzwerkplan: Zum Testen macht man das immer so simpel wie möglich. Die beiden Maschinen in LAN und OPT2 sind jeweils über einen kleinen, nicht konfigurierbaren Switch an OPNsense angeschlossen. Im LAN hatte ich noch ein NAS stehen, welches genau das gleiche Verhalten zeigte, also trotz Regel in OPT2 von dort nicht mit ping erreichbar war, vom LAN Port der OPNsense aber immer.
Ja das ist schon etwas spooky, deshalb hatte ich ja die Eingangsfrage gestellt, ob die OPNsense irgendeinen ungewöhnlichen Mechanismus hat, durch den so etwas entstehen kann? Ich könnte problemlos meine Architektur so umstellen, dass ich das Problem umgehen kann, jetzt interessiert mich die Ursache aber schon. Ich schau mir mal etwas genauer an, was auf den Interfaces passiert. Ich hab nur nicht immer gleich die Zeit dazu.
Ansonsten, ich bin jetzt nicht der absolute Netzwerkprofi, habe aber ein gewisses Grundverständnis für die Dinge. Ich bedanke mich auf jeden Fall für jeden Replay und jeden Tipp und werde weiter hier posten, falls ich zu neuen Erkenntnissen komme!  :)

[h_frank]

So, jetzt habe ich mir mal in OPNsense über Schnittstellen > Diagnose > Paketaufzeichnungen angeschaut, was auf den Interfacen passiert.

Zuerst für meinen Test7: ping von 192.168.252.211 auf 192.168.1.17 (mit Regel in OPT2):

LAN
em0   19:28:46.324343 00:15:17:7a:cb:dd > 90:1b:0e:3e:fd:07, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 63, id 9019, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.252.211 > 192.168.1.17: ICMP echo request, id 58522, seq 1, length 64
    192.168.252.211 > 192.168.1.17: ICMP echo request, id 58522, seq 2, length 64
LAN
em0   19:28:47.331457 00:15:17:7a:cb:dd > 90:1b:0e:3e:fd:07, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 63, id 9083, offset 0, flags [DF], proto ICMP (1), length 84)
OPT2
em2   19:28:46.324293 90:1b:0e:49:c6:5b > 00:15:17:7a:cb:df, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 9019, offset 0, flags [DF], proto ICMP (1), length 84)
OPT2
em2   
    192.168.252.211 > 192.168.1.17: ICMP echo request, id 58522, seq 1, length 64
    192.168.252.211 > 192.168.1.17: ICMP echo request, id 58522, seq 2, length 64
OPT2
em2   19:28:47.331407 90:1b:0e:49:c6:5b > 00:15:17:7a:cb:df, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 9083, offset 0, flags [DF], proto ICMP (1), length 84)


Man sieht, dass der Request über beide OPNsense Interface OPT2 und LAN geht, also nicht(!) von der Firewall blockiert wird! Es fehlt jedoch das Reply von der Maschine 192.168.1.17 im LAN. Warum auch immer?
Dann habe ich zum Vergleich an der OPNsense über Schnittstellen > Diagnose > Ping vom Interface LAN ein Ping auf dieselbe Maschine 192.168.1.17 im LAN gemacht, ohne vorher irgendetwas zu ändern (mein Test 5) und siehe da, sie antwortet:

LAN
em0   19:30:49.493892 00:15:17:7a:cb:dd > 90:1b:0e:3e:fd:07, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 15219, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.1.101 > 192.168.1.17: ICMP echo request, id 3125, seq 0, length 64
    192.168.1.17 > 192.168.1.101: ICMP echo reply, id 3125, seq 0, length 64
    192.168.1.101 > 192.168.1.17: ICMP echo request, id 3125, seq 1, length 64
    192.168.1.17 > 192.168.1.101: ICMP echo reply, id 3125, seq 1, length 64
LAN
em0   19:30:49.494721 90:1b:0e:3e:fd:07 > 00:15:17:7a:cb:dd, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 128, id 57024, offset 0, flags [none], proto ICMP (1), length 84)
LAN
em0   19:30:50.495341 00:15:17:7a:cb:dd > 90:1b:0e:3e:fd:07, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 35036, offset 0, flags [none], proto ICMP (1), length 84)
LAN
em0   19:30:50.496444 90:1b:0e:3e:fd:07 > 00:15:17:7a:cb:dd, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 128, id 57025, offset 0, flags [none], proto ICMP (1), length 84)


Spooky, oder? Und das liegt nicht(!) an der Maschine 192.168.1.17 im LAN. Ich habe das mit einer weiteren Maschine im LAN getestet, gleiches Verhalten! Wie gesagt, das Verhalten war reproduzierbar nach kompletter Neuinstallation von OPNsense auf anderer Hardware! Ja, ok, war schon identische Hardware, aber eben eine andere Maschine. Und, um's nochmal zu erwähnen, als Standardgateway ist natürlich auf der Maschine 192.168.1.17 im LAN die 192.168.1.101 eingetragen.

Hat jemand da draußen eine bessere Idee als ich???

[h_frank]

So Leute, jetzt habe ich mal angeschaut, was am Interface der LAN Maschine 192.168.1.17 passiert, wenn ich an sie ein Ping sende. Da es eine Windows Maschine ist, habe ich hier mal den Microsoft Netzwerk Monitor 3.4 installiert und dann die beiden Tests von oben nochmal gemacht.

Zuerst wieder meinen Test7: ping von 192.168.252.211 auf 192.168.1.17 (mit Regel in OPT2):

17   21:53:01 20.01.2022   6.3335084      192.168.252.211   192.168.1.17   ICMP   ICMP:Echo Request Message, From 192.168.252.211 To 192.168.1.17   {IPv4:1}


Also, der Request kommt an der LAN Maschine an. Es gibt aber kein Reply!
Dann erneut zum Vergleich an der OPNsense über Schnittstellen > Diagnose > Ping vom Interface LAN ein Ping auf dieselbe Maschine 192.168.1.17 im LAN, ohne vorher irgendetwas zu ändern (mein Test 5):

23   21:58:27 20.01.2022   1.1816041      192.168.1.101   192.168.1.17   ICMP   ICMP:Echo Request Message, From 192.168.1.101 To 192.168.1.17   {IPv4:11}
24   21:58:27 20.01.2022   1.1819959      192.168.1.17   192.168.1.101   ICMP   ICMP:Echo Reply Message, From 192.168.1.17 To 192.168.1.101   {IPv4:11}


Hier sehe ich auch ein Reply.

Fazit: Am Interface der LAN Maschine sehe ich das Gleiche, was ich auch am LAN Interface der OPNsense sehe. Der Request kommt immer an der LAN Maschine an. Wenn er jedoch aus dem OPT2 Netz kommt, gibt es kein Reply.

???