Kein Internet auf dem LAN Interface

[jimjohn]

Hallo,

ich bin mit meinem Latein am Ende. Ich habe kein Internet auf dem LAN Interface. Am LAN IF hängt ein MikroTik Switch, auf der OPNsense läuft der DHCP Server. IP, DNS-Server (Bind) und Router sind korrekt durch DHCP übermittelt.

Am Rechner hinter dem Switch kann ich mit nslookup DNS Anfragen auflösen. Am DNS liegt es also schonmal nicht. Auch mit der ANY ANY Regel komme ich im Browser auf keine Webseite. traceroute funktioniert nicht. Updates von OPNsense funktionieren. ping ins Internet mit dem WAN Interface aus der OPNsense GUI heraus funktioniert, vom LAN Interface aus der OPNsense GUI heraus wiederum nicht. Ich vermute hier liegt irgendwo das Problem.

Ich habe ein Single-Gateway aufgesetzt, welches ja offensichtlich funktioniert. Im Firewall Log sehe ich keine Pakete, weder für die Catchall Regel (DENY ALL ganz am Ende) noch für irgendeine ALLOW Regel.

Der Aufbau ist Fritzbox <> OPNsense <> Mikrotik Switch <> PC.

Was mache ich falsch?

[jimjohn]

Ich habe hier vielleicht den Grund, kann es mir aber nicht wirklich erklären ...

Ich habe ein einziges Gateway mit dem Namen "WAN_IPv4" angelegt. In den Status Logs der Gateways taucht aber noch ein zweites Gateway auf, welches "WAN_GWv4" heißt. Das könnte ich irgendwann in der Vergangenheit mal angelegt haben. Komischerweise sehe ich aber nur das "neue" Gateway "WAN_IPv4" in der Übersicht der OPNsense GUI. Kann das irgendeine Karteileiche sein, die mir hier in die Suppe spuckt?

[lfirewall1243]

Hi,

bitte einmal Screenshots der folgenden Dinge:

- Übersicht der Gateway Seite
- Übersicht der Seite Outbound NAT
- Übersicht der LAN Firewall Regeln

[jimjohn]

Gerne, bin echt verzweifelt, das ist nicht die erste OPNsense, die ich konfiguriere ... 

Habe derweil einfach mal auf dem LAN Interface alle Schotten aufgemacht für UDP, TCP und ICMP.

ping von LAN net => OPNsense address: Funktioniert
ping von LAN net => !RFC1917 auf mehrere IPs versucht: Funktioniert nicht
nslookup XYZ.de von LAN net => OPNsense address: Funktioniert

Die Anfragen kommen im Firewall Log an und werden durchgelassen (grün). Zunächst meine Regel vom LAN Interface (ALLOW HTTPS) und direkt danach die "let out anything from the firewall host itself" Regel.

Komisch wie gesagt, dass die OPNsense selbst Verbindung hat, kann also nach Updates suchen etc. Wie beschrieben funktioniert ein Ping über die OPNsense GUI mit dem WAN Interface zu bspw. 8.8.8.8, wenn ich im Dropdown dann das LAN Interface auswähle funktioniert es wiederum nicht. Auf allen anderen Interfaces (außer WAN) ist das Verhalten genauso. Liegt also definitiv an der OPNsense und entsprechend sehr sicher auch nicht an den Firewall-Regeln.

Kann ich in irgendeinem Config-File in der Konsole die Gateways auslesen? Kann im FreeBSD noch irgendwas sein, was in der OPNsense GUI nicht angezeigt wird?

Übrigens: Neustart hat auch nicht geholfen ... 

[lfirewall1243]

Gerne, bin echt verzweifelt, das ist nicht die erste OPNsense, die ich konfiguriere ... 

Habe derweil einfach mal auf dem LAN Interface alle Schotten aufgemacht für UDP, TCP und ICMP.

ping von LAN net => OPNsense address: Funktioniert
ping von LAN net => !RFC1917 auf mehrere IPs versucht: Funktioniert nicht
nslookup XYZ.de von LAN net => OPNsense address: Funktioniert

Die Anfragen kommen im Firewall Log an und werden durchgelassen (grün). Zunächst meine Regel vom LAN Interface (ALLOW HTTPS) und direkt danach die "let out anything from the firewall host itself" Regel.

Komisch wie gesagt, dass die OPNsense selbst Verbindung hat, kann also nach Updates suchen etc. Wie beschrieben funktioniert ein Ping über die OPNsense GUI mit dem WAN Interface zu bspw. 8.8.8.8, wenn ich im Dropdown dann das LAN Interface auswähle funktioniert es wiederum nicht. Auf allen anderen Interfaces (außer WAN) ist das Verhalten genauso. Liegt also definitiv an der OPNsense und entsprechend sehr sicher auch nicht an den Firewall-Regeln.

Kann ich in irgendeinem Config-File in der Konsole die Gateways auslesen? Kann im FreeBSD noch irgendwas sein, was in der OPNsense GUI nicht angezeigt wird?

Übrigens: Neustart hat auch nicht geholfen ... 

Da fehlt wohl im Outbound NAT die passende Regel.

Stell dort mal auf Hybrid und erstell eine mit den folgenden Daten.

Interface: WAN
Quelle: lokale Netze (LAN,...)
Ziel: ANY
Map Adress: WAN Adresse

Damit sollte es gehen.

[jimjohn]

Ja, das funktioniert, danke. Kannst du mir erklären warum und was dahinter steckt? Ich habe mich bisher auch bei identischen Setups nie mit NAT beschäftigt. Hat es da eine Änderung hinsichtlich dessen in den letzten Updates gegeben, dass man das nun manuell einstellen muss?

[lfirewall1243]

Ja, das funktioniert, danke. Kannst du mir erklären warum und was dahinter steckt? Ich habe mich bisher auch bei identischen Setups nie mit NAT beschäftigt. Hat es da eine Änderung hinsichtlich dessen in den letzten Updates gegeben, dass man das nun manuell einstellen muss?

Also
Ohne NAT kommen die Pakete mit der lokalen IP der Clients raus ins Internet, werden dort dann eben nicht geröstet.

Mit der erstellten Regel wird die Quell IP auf dem WAN eben durch die WAN IP ersetzt. Diese wird im Internet geroutet, somit kommen auch Antwortpakete an.

Die Regel erstellt sich normalerweise automatisch, manchmal komischerweise aber auch nicht.

[jimjohn]

Danke dir, letzteres klingt genau nach dem, was ich auch beobachtet habe. Denn auf meiner parallel eingerichteten Appliance funktioniert es auch ohne die NAT Regeln ...

Kann hier jemand etwas dazu sagen, warum es manchmal funktioniert und manchmal nicht? Hat sich in den letzten Updates irgendein Verhalten verändert?

[RenWin]

Kann hier jemand etwas dazu sagen, warum es manchmal funktioniert und manchmal nicht? Hat sich in den letzten Updates irgendein Verhalten verändert?

Vielleicht übernimmt hier das NAT auch einfach deine FritzBox.
Wenn du Doppel NAT fährt, also FritzBox und dann OpenSense, hast du ja quasi zwei WAN Schnittstellen hintereinander.

Außerdem hast du vielleicht bei einer Appliance diese wunderschönen Häkchen nicht gemacht bei:
Block private networks
und
Block bogon networks

Die bewirken nichts anderes als das deine Privaten Source Adresse (RFC 1918) nicht durch das Gateway dürfen.
Wenn du nun diese NAT Regel hast funktioniert es natürlich, da die Source Adresse durch deine WAN
Adresse ersetzt wird. Ich bin mir nicht sicher, ob Firewallregeln nach einem NAT noch nach außen wirken.
Würde aber zumindest das Phänomen erklären.

[jimjohn]

Bei beiden Appliances habe ich "Block bogen networks" aktiviert, das ist auch nicht das Problem.

Es liegt in der Tat am NAT.

Die Appliances verhalten sich nicht identisch. Bei einer Appliance kann ich "Outbound NAT" auf "Automatic" stellen und bekomme zwei NAT regeln autogeneriert. Bei der anderen (bei der ich das o.g. Problem hatte) gibt es trotz "Automatic" keine autogenerierten Regeln. Stelle ich auf "Hybrid" und füge die Regeln wie ihr mir es gesagt habt selbst hinzu funktioniert alles wie es soll. Nun die Frage: kann ich die "Neu-Generierung" der automatischen Regeln erzwingen? Ich möchte die Appliances eigentlich gerne komplett identisch konfigurieren ...