[Gelöst] Router und OpnSense ohne NAT

[kesch]

Hallo liebe Freunde der gepflegten IP Kommunikation.

Seit geraumer Zeit bin ich jetzt schon als Leser im Forum unterwegs und habe eigentlich auch immer eine Lösung gefunden. Aktuell stehe ich aber voll auf dem Schlauch und hoffe, dass ihr mich von dem Schlauch schubsen könnt.

Der Aufbau ist eigentlich nicht kompliziert:

Code: [Select]

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (FritzBox 192.168.84.1)
      '-----+-----'
            |
        WAN | 192.168.84.0/24
            |
      .-----+------.
      | LAN-Switch | Mikrotik CSS610-8G-2S+
      '-----+------'
            | VLAN 84
            |
            | 192.168.84.2 (static)
      .-----+------.
      |  OPNsense  |
      '-----+------'
            | 192.168.70.1 (static)
        LAN | 192.168.70.0/24
            |
      .-----+------.
      | LAN-Switch | Mikrotik CSS610-8G-2S+
      '-----+------'
            |
    ...-----+------... (Clients/Servers)
Ich habe eine Fritzbox für's Internet und dahinter eine OpnSense. Zwischen der OpnSense und der Box steht noch ein Switch für ein VLAN, damit ich die Box mit der OpnSense verbinden kann ohne zwei Kabel zu ziehen und ich trotzdem getrennte Netze habe. Die Box steht nämlich im Büro, wo auch noch weitere Geräte stehen, die im 70er Netz unterwegs sein sollen und die Sense in einem anderen Raum.

Das funktioniert natürlich erwartungsgemäß. Wurde ja auch schon sehr häufig hier thematisiert.

Jetzt bin ich aber auf die fixe Idee gekommen, man könnte mal das NAT der OpnSense aus machen, damit es kein doppeltes NAT gibt und hier fängt der Spaß an.

Nachdem die Fritzbox eine Route àla 192.168.70.0/24 via 192.168.84.2 bekommen hat und ich in der OpnSense einfach mal über Firewall -> Settings -> Advanced die Option "Disable all packet filtering." aktiviert hatte, war ich der Meinung NAT ist aus und es stört auch erst einmal keine Fehlkonfiguration der Firewall-Regeln und es sollte nun eigentlich passen. Die OpnSense hat als Gateway die Fritzbox drin und die Fritzbox kenn den Weg zurück.
Leider funktioniert das aber nicht wie gedacht. Wenn ich aus dem 70er Netz hinter der OpnSense versuche die Fritzbox .84.1 anzupingen, scheitert das schon. Wenn ich den WAN der Sense anpinge (.84.2) kommt eine Antwort.

Die Routing-Table sieht aktuell so aus:

Code: [Select]

Destination        Gateway            Flags     Netif Expire
default            192.168.84.1       UGS    vlan0.84
10.30.0.0/24       192.168.70.211     UGS        igb1
10.99.10.0         link#9             UHS         lo0
10.99.10.0/24      link#9             U           wg1
10.99.10.2         link#9             UHS         wg1
127.0.0.1          link#4             UH          lo0
192.168.70.0/24    link#2             U          igb1
192.168.70.1       link#2             UHS         lo0
192.168.84.0/24    link#8             U      vlan0.84
192.168.84.1       link#8             UHS    vlan0.84
192.168.84.2       link#8             UHS         lo0

Soweit ich das bisher hier im Forum und so gelesen habe, müsste das doch passen oder?

Jetzt seid ihr dran. Bitte schubst mich von meinem Schlauch

Vielen Dank schon mal an jeden, der sich das hier überhaupt durchliest.

[chrs]

Fritzbox eine Route àla 192.168.70.0/24 via 192.168.84.2 bekommen hat

Tippfehler oder Problem 192.168.84.2?

Ansonsten weiß ich nicht, ob man auf der Fritzbox Packet Capture hat, mal gucken ob die ICMP Pakete ankommen und wo sie hingehen.

Grüße, chris

[Tuxtom007]

Ansonsten weiß ich nicht, ob man auf der Fritzbox Packet Capture hat, mal gucken ob die ICMP Pakete ankommen und wo sie hingehen.

Ja, bei meiner Cable-Box geht es noch über die Adresse:   http://fritz.box/html/capture.html
Evtl. fritz.box durch die IP ersetzen.

[Monviech (Cedrik)]

Ich verstehe nicht warum PF ausgemacht wird wenn man einfach Outbound NAT auf manuell oder deaktiviert schalten kann.

[Saarbremer]

Hallo,

was genau bedeutet " die Fritzbox kenn den Weg zurück"?

Ansonsten hilft ein Packet Capture auf Fritzbox und OPNsense um die ICMP Pakete zu tracken.

[kesch]

Guten Morgen zusammen.

Vielen Dank für eure Antworten.

@chrs:

Tippfehler oder Problem 192.168.84.2?

Die .84.2 ist die IP der OpnSense WAN Schnittstelle. Die .84.1 ist die Fritzbox selbst.
@Saarbremer: Das meine ich auch mit dem "die Fritzbox kennt den Weg zurück". Also das die Box weiß wohin mit Paketen ins 70er Netz.
Soweit mein Verständnis geht, kommen die Pakete aus dem 70er Netz, gehen ins 84er und dann ins Inet. Aus dem Inet kommen die dann zurück ins 84er (durch das NAT der Fritzbox), die dann ein Paket für das 70er Netz erhält und es entsprechend der Route an die .84.2 weiterleitet. Die OpnSense routet es dann an das Ziel-/Quell-Gerät. Stimmt doch soweit oder hab ich hier schon einen Knoten im Gehirn?
@Monviech:

Ich verstehe nicht warum PF ausgemacht wird wenn man einfach Outbound NAT auf manuell oder deaktiviert schalten kann.

Im Prinzip nur aus dem genannten Grund, dass ich Fehler in Firewall-Regeln als Ursache ausschließen wollte. Ich hätte jetzt auch Outbound NAT deaktivieren und eine ANY to ANY Regel erstellen können, aber einen Haken setzen geht einfacher 
Outbount NAT deaktivieren hatte ich einzeln auch schon getestet, aber ohne die ANY Rule. Ich werde mal beides testen.

Mit dem Packet Capture auf der Box teste ich auch mal. Bis vor 5 Sekunden dachte ich noch, dass es Umständlich ist, da ich nicht auf die Box komme, wenn NAT aus ist und ich ja keinen Ping aus dem 70er Netz senden kann, wenn ich im 84er Netz bin. Aber ich Kloppi kann ja einfach vom Handy aus dem 70er Netz einen Ping senden und mit dem PC das Capture auf der Box machen ^^
Da war wieder die Sache mit dem Wald und den Bäumen :facepalm:

Danke noch mal für eure Hilfe. Manchmal benötigt man einfach ein paar Denkanstöße um weiter zu kommen.

Ergebnisse der Tests folgen...

[kesch]

Sooo...

Es spielt in meinem Szenario aktuell keine Rolle ob Outbound NAT deaktiviert und ANY to ANY Regel aktiv oder ob "Disable all packet filtering." aktiviert ist. Funzt beides nicht. Normalerweise habe ich keine Floating Rules daher habe ich eine Floating Rule für WAN und LAN erstellt (also eine Regel, die WAN und LAN beinhaltet). Die Floating Rules greifen doch vor den Interface Rules, wenn "Quick" aktiviert ist, oder?

Bzgl. Package Capture: das war jetzt auch irgendwie ernüchternd. Ich habe in Wireshark einen Filter auf ICMP gesetzt und bekomme dann nur Pakete àla

Code: [Select]

66 2.952057 192.168.70.67 192.168.84.1 ICMP 98 Echo (ping) request  id=0x0163, seq=1/256, ttl=63 (no response found!)
Jetzt habe ich wieder keine Ideen mehr 
Woran könnte es liegen, dass es keinen Response auf den Ping gibt?

Ich habe euch mal noch ein "Sceenshot" der Fritzbox Route mit angehängt, falls das noch irgendwie hilft.

[Patrick M. Hausen]

Mach da mal 192.168.70.0 draus. Es sollte mit einer Maske von 255.255.255.0 zwar keine Rolle spielen, aber wer weiß, was die Fritzbox daraus macht.

[kesch]

@Patrick M. Hausen:
Du bist mein HELD 
Tatsächlich. Das hab ich voll übersehen. Warum hab ich da denn die 1 rein gehauen? Oh man. Da gucke ich stundenlang auf die selbe Konfig und sehe das nicht. Vor allem habe ich im initialen Post ja auch die Route mit 0 beschrieben

Jedenfalls läuft es jetzt wie es soll.

Ich danke euch allen für die Unterstützung.