MultiWAN und NAT Outbound

Started by XeroX, March 01, 2023, 04:52:11 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 01, 2023, 04:52:11 PM Last Edit: March 01, 2023, 04:54:23 PM by XeroX
Hallo zusammen,
mein normaler DSL Anschluss geht über einen Vigor 165 von Draytek.

Damit ich das WebInterface vom Vigor erreichen kann, habe ich eine NAT Outbound Regel auf dem physischen Interface der OPNSense in Richtung des Modems konfiguriert.

Funktioniert auch wunderbar.

Nun habe ich meine OPNSense mit einem LTE Modem ergänzt und eine Gateway Group erstellt mit Prio 1 DSL und Prio 254 LTE. Soweit so gut.

Sobald ich nun in der Default LAN Rule im "Gateway", statt Default, die WANGROUP verwende, erreiche ich das Modem (Vigor) und auch den NTP (auf OPNSense) nicht mehr.

Quasi sobald ich "Step 4" anwende.

https://docs.opnsense.org/manual/how-tos/multiwan.html

Jemand eine Idee, wie sich das lösen lässt?



March 01, 2023, 07:51:02 PM #1
Nimm die outbound NAT für den Zugriff aufs Modem raus und erstelle eine allow Regel auf dem LAN mit der Modem IP / Adressbereich als Ziel und trage hier das Gateway vom DSL ein.
i am not an expert... just trying to help...
March 01, 2023, 07:52:55 PM #2
Diese Regel muss natürlich vor die default allow, die auf die GW group routet.
Das gleiche dann halt auch für LTE.
i am not an expert... just trying to help...
March 02, 2023, 12:34:31 AM #3 Last Edit: March 02, 2023, 12:47:04 AM by XeroX
Danke schön, das funktioniert tatsächlich.

Kannst du mich noch erleuchten, wieso ich den NTP auf der Firewall nicht mehr erreiche?

Explizite Regel eingetragen und es geht wieder, aber warum ist das so? Ich würde es gerne verstehen.

DNS geht vermutlich, da ich Regeln fürs Pi-Hole eingetragen habe.
March 02, 2023, 06:25:42 AM #4
Quote from: XeroX on March 02, 2023, 12:34:31 AM
Kannst du mich noch erleuchten, wieso ich den NTP auf der Firewall nicht mehr erreiche?

Das hatte ich beim ersten Lesen übersehen... und beim zweiten Lesen hatte ich gehofft, dass es sich dann einfach erledigt hat :D
Prinzipiell wird ja nun auch Traffic an die GW group geroutet, der für die Firewall bestimmt ist. Ausgenommen hiervon ist nur das, was (idR) durch die vordefinierten Regeln anderweitig behandelt wird, also DHCP, bei Dir auch DNS sowie GUI und SSH Zugriff (anti lockout).
NTP Anfragen sind hier aber nicht enthalten und gehen demnach an die GW Group, weil ja der Routing Table nicht mehr greift.
Eigentlich müssten dann aber noch andere Dinge betroffen sein, wie ICMP bzw. Ping.

Ich habe bei mir ein sehr ähnliches Setup, NTP funktioniert hier aber ohne extra Regel, ich finde auch nichts, was die NTP nicht an die GW Group routet. SNMP hingegen musste ich ebenfalls explizit erlauben und für DNS habe ich ebenfalls "sowieso" Regeln.

Kurzum: So richtig erklären kann ich es nicht... wobei Deine Situation plausibler klingt als das was bei mir passiert :D
i am not an expert... just trying to help...
March 02, 2023, 02:15:48 PM #5
Es steht sogar in Step 5.

QuoteAdd a rule just above the default LAN allow rule to make sure traffic to and from the firewall on port 53 (DNS) is not going to be routed to the Gateway Group that we just defined.

Das betrifft dann natürlich alles Dienst. Genauso wie du sagst.

Vielen Dank nochmal, das macht alles Sinn. :)
Print
Go Up Pages1
User actions