[Gelöst]Routing Problem

Started by mooh, May 27, 2024, 12:41:44 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 27, 2024, 12:41:44 PM Last Edit: May 29, 2024, 11:49:56 AM by mooh
Ich habe ein Routing Problem, bei dem Pakete, die an eine VPN Gateway gehen müssen, an das Default Gateway geschickt werden, wenn der ping oder traceroute auf der Firewall ausgeführt wird. Von einem LAN Client aus funktioniert alles wie erwartet. OPNsense 24.4_7

Die Routing Tabelle auf der OPNsense: Die 77.* und 185.* Routen wurden manuell eingefügt und zeigen auf 192.168.2.154
Code Select
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            192.168.2.1        UGS        igb1
77.76.214.0/23     192.168.2.154      UGS        igb1
127.0.0.1          link#6             UH          lo0
185.47.125.0/24    192.168.2.154      UGS        igb1
185.47.126.0/24    192.168.2.154      UGS        igb1
185.47.127.0/24    192.168.2.154      UGS        igb1
192.168.2.0/24     link#2             U          igb1
192.168.2.1        link#2             UHS        igb1
192.168.2.2        link#2             UHS         lo0
192.168.2.154      link#2             UHS        igb1

Traceroute von der Firewall aus geht zum Default Gateway
Code Select

traceroute -n 185.47.127.16
traceroute to 185.47.127.16 (185.47.127.16), 64 hops max, 40 byte packets
1  192.168.2.1  0.564 ms  0.188 ms  0.235 ms
2  62.155.247.112  5.239 ms  4.532 ms  4.923 ms
3  217.239.42.170  13.290 ms

Von einem Client im 192.168.140.0/24 Netzwerk aus geht's zur OPNSense und dann zum VPN Gateway:
Code Select

tracert -d 185.47.127.16

Routenverfolgung zu 185.47.127.16 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  192.168.140.1
  2     1 ms     1 ms     1 ms  192.168.2.154
  3    16 ms    16 ms    16 ms  213.214.12.123
  4    17 ms    15 ms    15 ms  185.47.127.16


Was übersehe ich?
May 27, 2024, 12:42:41 PM #1
Probiers mal mit der Source-Adresse von deinem LAN ..
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 27, 2024, 12:49:29 PM #2
Geht auch in die falsche Richtung
Code Select

traceroute -n -s 192.168.140.1 185.47.127.16
traceroute to 185.47.127.16 (185.47.127.16) from 192.168.140.1, 64 hops max, 40 byte packets
1  192.168.2.1  0.645 ms  0.189 ms  0.243 ms
2  62.155.247.112  5.599 ms  5.242 ms  5.431 ms
3  217.239.42.133  13.995 ms
May 27, 2024, 03:20:02 PM #3
Beginnt das VPN auf der Sense? Ist die Tunnel-IP der Sense mit im zugelassenen Bereich für den Tunnel?
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
May 27, 2024, 05:57:34 PM #4
Nein. Das WAN der OPNsense ist über einen Switch mit dem Router des ISP verbunden und mit einem VPN Gateway eines Vertragspartners, also 3 Geräte.

Wie gesagt: Ich verstehe nicht, warum Kommunikation durch die OPNsense funktioniert, aber nicht von ihr. Es gibt doch bloß eine Routing-Tabelle, oder?
May 28, 2024, 05:54:17 PM #5
Ich habe die Lösung gefunden, aber daraus ergibt sich gleich wieder eine Frage.

Das Problem verschwindet, wenn man Firewall: Settings: Advanced: Disable force gateway aktiviert.

Zum Einen scheint mir da die Bezeichnung nicht optimal zu sein ("Disable forced gateway"), denn man will ja kein "force gateway" abschalten, sondern die Policy-Routing Regel, die die normale Routing Tabelle außer Karft setzt.

Gleich viel: Warum gibt es die automatische FW Regel überhaupt, dass der gesamte Traffic des WAN Interface (zB igb1) an ein Gateway geschickt wird?
Print
Go Up Pages1
User actions