Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
pf scheint nichts mehr zu tun
« previous
next »
Print
Pages: [
1
]
Author
Topic: pf scheint nichts mehr zu tun (Read 1048 times)
paulinuska
Newbie
Posts: 2
Karma: 0
pf scheint nichts mehr zu tun
«
on:
October 21, 2022, 05:13:32 pm »
Hallo zusammen,
hier läuft eine OpnSense 22.7.6-amd64 unter FreeBSD 13.1 REL p2 und ich bekomme es nicht mehr hin, meine VLANS zu trennen. Wo kann man da was falsch machen?
Extrembeispiel: Ich erstelle ein neues VLAN und binde es an eine physikalische Schnittstelle, auf der weitere VLANs gebunden sind und aktiviere die Schnittstelle. Eingestellt ist statisches IP und ein 24er Subnetz, das es sonst noch nicht gibt in dem Netz. Ich gehe in die Schnittstellen-Diagnose und setze einen Ping ab auf beliebige Geräte in anderen VLANs. Der Ping geht durch, obwohl ich in der Firewall für das VLAN noch gar nichts frei geschaltet habe. Selbst eine Regel, in der in diesem VLAN alles von überall her geblockt werden soll hilft nicht weiter.
Hat jemand eine Idee, was da verkonfiguriert sein könnte?
VG, Paul
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: pf scheint nichts mehr zu tun
«
Reply #1 on:
October 21, 2022, 05:18:58 pm »
> Der Ping geht durch, obwohl ich in der Firewall für das VLAN noch gar nichts frei geschaltet habe. Selbst eine Regel, in der in diesem VLAN alles von überall her geblockt werden soll hilft nicht weiter.
Weil du von der Firewall selbst testest. Hast du als Source denn das neue VLAN eingestellt? Ansonsten ist der Test wertlos, denn bei automatischer Source wird immer die dem Ziel nächste IP genutzt. Wenn du also bspw.
neuesVLAN10
VLAN5
VLAN2
hast und einfach nur in eine IP auf VLAN2 pingst, wird die Sense den Ping von ihrer eigenen Source IP im VLAN2 absenden und nicht aus dem VLAN10.
Dazu kommt, dass im Normalfall die Sense Regeln in place hat, dass ausgehender Traffic von localhost für Diagnose erstmal natürlich erlaubt wird, denn die Firewall soll ja selbst in die Netze kommen. Der Test müsste also wie gesagt mit Source IP neuesVLAN10_Address nach irgendeiner IP in VLAN2 sein und dann wird er im Normalfall auch nicht funktionieren.
Wenn "pf nicht mehr funktionieren" würde, ginge auch kein NAT etc. mehr - das würde man merken. Einfach mal die automatisch erstellten Regeln genauer anschauen (auch die von localhost und Co) dann wird das ggf. klarer.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
paulinuska
Newbie
Posts: 2
Karma: 0
Re: pf scheint nichts mehr zu tun
«
Reply #2 on:
October 21, 2022, 05:38:56 pm »
Hallo und Danke für die Antwort.
Das neue VLAN hat den Tag 5. Als Quelladresse stelle ich das VLAN 5 ein. Und bei Host kommt die IP von einem Gerät im Admin-VLAN (1) rein. Der Ping geht durch, was nicht sein darf. Damit hätte jeder im VLAN 5 Zugriff aufs Admin-LAN. Das ist auch bei allen anderen VLANs so, die Firewall blockt anscheinend nichts, auch wenn es explizit eingestellt ist.
Auf einer parallel installierten neuen OpnSense funktioniert es so, wie es soll. Aber die bestehende hat eine seit zwei Jahren gewachsene Konfiguration mir RADIUS und diversen VLANs, die will ich wenns geht nicht komplett neu aufsetzen.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: pf scheint nichts mehr zu tun
«
Reply #3 on:
October 25, 2022, 05:40:21 pm »
> Auf einer parallel installierten neuen OpnSense funktioniert es so, wie es soll.
Dann bleibt nur alle Regeln durchsehen denn dann liegt es an der Konfiguration. Da kann man jetzt von außen schwer hellseherisch tätig werden
Ohne das Regelwerk durchzukämmen wird man nicht finden, warum der Traffic erlaubt ist. Bei sowas sind es zu >90% Floating- oder Gruppenregeln, die auf mehr greifen als eigentlich "gedacht" war. Oder es wurden mal wild in/out gemixte Regeln gebaut oder eine der gern mal empfohlenen "!<alias>" Ziele genutzt, die dann beim Hinzufügen von neuen Interfaces gern mal explodieren, weil man nicht mit neuen Netzen gerechnet hat und das NOT dann nicht so funktioniert wie gedacht.
Das wären zumindest die üblichen Verdächtigen, die ich abklappern würde
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
pf scheint nichts mehr zu tun