Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
« previous
next »
Print
Pages: [
1
]
Author
Topic: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich (Read 3043 times)
vovo
Newbie
Posts: 21
Karma: 1
aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
on:
October 20, 2022, 09:00:26 pm »
Hallo zusammen,
um ein Problem in meinem Heimnetzwerk (Struktur siehe Anhang) zu lösen, habe ich festgestellt, dass keiner der Clients die LAN Schnittstelle der OPNsense (192.168.1.1) anpingen kann. Selbst mit dem Cisco Switch, der sich mit der Schnittstelle 192.168.1.3 im Subnetz der OPNsense befindet, schlägt der Ping fehl.
Im Grunde wäre es mir nicht aufgefallen, da der Internetverkehr problemlos funktioniert.
Nun bin ich mir nicht ganz sicher, ob es ein Problem ist oder nicht, da alles zu funktionieren scheint.
Meiner Erfahrung nach, sollte der Ping möglich sein. Aber vielleicht ist es bei OPNsense nun mal so.
Würde mich über eure Aufklärung freuen !!!
Logged
micneu
Hero Member
Posts: 1913
Karma: 59
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #1 on:
October 20, 2022, 09:13:34 pm »
hast du denn eine regel auf dem LAN interface die icmp erlaubt?
Gesendet von iPad mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Tuxtom007
Hero Member
Posts: 502
Karma: 25
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #2 on:
October 21, 2022, 08:19:31 am »
Firewall: Floating-Rule. Allow ICMP. fehlt dir.
Grundregel Nr.1 bei Firewall: "es ist verboten, was nicht erlaubt wurde"
Logged
vovo
Newbie
Posts: 21
Karma: 1
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #3 on:
October 21, 2022, 12:11:34 pm »
Danke für die Tipps. Daran habe ich nicht gedacht. Habe diese Regel auf der LAN Schnittstelle erstellt.
Dennoch war kein Ping möglich. In der Live-LogFile der Firewall habe ich gesehen, dass bei mir diese Verbindung geblockt wird - und zwar durch die in der Firewall hinterlegte Blockliste von FireHol (Level 1). Und nicht nur diese Verbindung, sondern viele innerhalb meines internen Netzwerks. Habe die ICMP Regel vor der FireHOL Regel platziert und schon ging es.
Logged
tiermutter
Hero Member
Posts: 1099
Karma: 61
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #4 on:
October 21, 2022, 12:19:01 pm »
Firehol Level 1 auf LAN?!?!
Das kann nicht gutgehen! Level 1 nur auf WAN anwenden, und auch nur wenn kein weiterer Router am WAN der Sense hängt. Selbst bei CGNAT kannst Du Probleme kriegen. Die Regel dann in jedem Fall aber auch nur auf die Quelle anwenden, nicht als Ziel angeben. Oder Level 1 gleich weglassen
Logged
i am not an expert... just trying to help...
vovo
Newbie
Posts: 21
Karma: 1
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #5 on:
October 21, 2022, 12:29:14 pm »
Verstanden. Danke !
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #6 on:
October 21, 2022, 05:15:10 pm »
> Firehol Level 1 auf LAN?!?!
> Das kann nicht gutgehen! Level 1 nur auf WAN anwenden, und auch nur wenn kein weiterer Router am WAN der Sense hängt. Selbst bei CGNAT kannst Du Probleme kriegen. Die Regel dann in jedem Fall aber auch nur auf die Quelle anwenden, nicht als Ziel angeben. Oder Level 1 gleich weglassen
DOCH. Das klappt sogar sehr gut. Firehol_level1 ist wie level2 absolut geeignet für IN und OUT Traffic. Und sinnvoll dazu. Natürlich gibts da noch andere die dann zusätzlich Sinn machen, gerade ausgehend für die ganzen Malware IPs aber davon abgesehen ist das absolut gängig.
Was man aber natürlich lesen(!) sollte dazu ist die Doku. Und da steht - u.a. auch ganz groß bei der firehol_level1 - drin, dass man aufpassen muss, weil bei level1 auch Bogon, RFC1918, Multicast und anderer Kram wie der CGN Range 100.64.64.x geblockt wird. Was aber überhaupt kein Problem vom LAN aus ist, da man den eh nicht erreichen muss/will.
Aber: man muss auf dem/den internen Interfaces wo man das mit draufklebt natürlich schauen, ob man sich damit (gerade bei mehreren VLANs) Traffic abgräbt. Damit kann man jetzt entweder hergehen und das als INbound Regel auf dem WAN anlegen (mit firehol als Source Alias) und als OUTbound ebenfalls (aber mit Destination firehol!).
Oder man arbeitet transparent ohne Floating und in/out mischmasch und legt sich dann für ausgehenden Traffic ein zweites Alias an, in welchem man die nötigen Netze die man braucht excluded. Das wiederum ist alles in der Doku erklärt. Dazu einfach Host- und/oder Netz-Aliase anlegen die dann negierte IPs/Netze haben und die zusammen mit der Firehol1 zu einem Alias zusammenmixen. Damit holt man dann die negierten Aliase aus dem Level1 Netset raus und hat dann eines, das man intern eingehend als Regel ganz normal sauber verwenden kann. Oder man passt eben die Regelreihenfolge an und erlaubt erstmal internen Traffic wohin man möchte etc. und blockt dann diverse Blocklisten und hat danach noch eine Allow Any wenn man das möchte.
Ansätze gibt es da also mehrere, man muss sich aber vorher klar sein, was man denn genau möchte. Die Lösung hängt immer davon ab, wie die Regeln aktuell aussehen
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
vovo
Newbie
Posts: 21
Karma: 1
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #7 on:
October 23, 2022, 11:40:18 pm »
Vielen Dank für den Lösungsansatz, JeGr. Werde es ausprobieren.
Logged
vovo
Newbie
Posts: 21
Karma: 1
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #8 on:
October 24, 2022, 08:21:30 pm »
Habe jetzt einen Network-Alias mit FireHOL_Level_1 erstellt und die VLANs, sowie das LAN-Netz, rausgenommen (mit einem ! vor dem jeweiligen Netz z.B. !192.168.10.0/26). Es funktioniert gut! Danke nochmals! Wieder was dazugelernt.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #9 on:
October 26, 2022, 03:38:10 pm »
Gern. Das IP (und DNS) Blocking vom LAN ausgehend ist inzwischen eine der besten Möglichkeiten geworden, sich da etwas besser abzusichern. Eingehend erlaubt man oft ja eh kaum mehr irgendwas (wofür auch), so dass Blocking da nicht mehr viel bringt. Ausgehend kann das aber nochmal ganz andere Dimensionen abdecken, wenn man sich im schlechtesten Fall mal Malware eintritt und diese dann aber die Payload oder Control Server nicht erreichen kann um Murks nachzuladen, kann man da manchmal noch mit blauem Auge davon kommen. Und zusätzlich kann man mit den DNS Blocklisten etliches an nicht nur aufdringlicher und nerviger, sondern teils auch gefährlicher (drive-by Malware) Werbung wegdrücken. Zudem schont das oft bei Mobilgeräten noch den Akku weil die zu den geblockten Systemen - dank DNS - gar keine Verbindung aufzubauen versuchen und damit auch keine Daten senden oder Volumen verschwenden und die Apps teils schneller werden.
Den Kids ist das selbst aufgefallen, dass sie hier viel weniger Werbung und Kram auf Handy oder Tablet sehen und die Akkus länger halten als wenn sie woanders im WLAN waren. Jedes bisschen kann da helfen
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
tiermutter
Hero Member
Posts: 1099
Karma: 61
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #10 on:
October 26, 2022, 03:52:20 pm »
So kann man den Planeten auch grüner machen
Was Malware angeht habe ich es selbst mal erlebt, wie ausgehend allerhand geblockt wurde. Da wären Logindaten etc abgegraben worden (war eine VM auf der nichts ist und ich habe schon geahnt, dass Böses folgt)...
Das sah dann so aus:
Logged
i am not an expert... just trying to help...
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #11 on:
October 26, 2022, 03:57:37 pm »
Ja absolut. Und mit DNS Blocklisten im Unbound am Start läuft es noch besser, weil dann gar keine Verbindung erst aufgebaut wird - da keine IP bekannt ist. Natürlich gibts da immer wieder ein paar Problemchen mit Overblocking aber meistens sind das dann auch keine großen Verluste
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
tiermutter
Hero Member
Posts: 1099
Karma: 61
Re: aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich
«
Reply #12 on:
October 26, 2022, 04:01:57 pm »
Was seitens DNS Blocking noch so hängen geblieben ist, habe ich mir gar nicht angeschaut...
Ob großer Verlust oder nicht liegt aber im Auge des Betrachters... Meine Frau bekommt hier eine Sonderbehandlung, weil es sie nervt, wenn sie den ganzen Tracking Kram in den google suchergebnissen nicht aufrufen kann
Logged
i am not an expert... just trying to help...
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
aus dem Heimnetzwerk kein Ping an die LAN-IP der OPNsense möglich