Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense verschluckt ICMP echo reply
« previous
next »
Print
Pages: [
1
]
Author
Topic: OPNsense verschluckt ICMP echo reply (Read 493 times)
DrSchnitzel
Newbie
Posts: 19
Karma: 1
OPNsense verschluckt ICMP echo reply
«
on:
August 14, 2024, 09:16:28 am »
Hallo,
ich versuche gerade meinen Wireguard zu debuggen. Dabei ist mir aufgefallen dass manchmal ICMP echo reply nicht bei mir im LAN ankommen und mir ist nicht klar warum.
Ich habe im WGIN eine Regel erstellt um ICMP Echo Reply zuzulassen:
Code:
[Select]
Action: Pass
Quick: True
Protocol: ICMP
ICMP type: Echo Reply
Allerdings werden immer ca. 20 pings verschluckt.
Im Packet Capture auf dem Interface sehe ich sie allerdings.
Im Block log der Firewall sehe ich nichts. Wo sind sie hin?
Ändere ich den ICMP type auf "any" kommen die pings wie erwartet.
Logged
Patrick M. Hausen
Hero Member
Posts: 6313
Karma: 537
Re: OPNsense verschluckt ICMP echo reply
«
Reply #1 on:
August 14, 2024, 09:24:13 am »
Du musst doch die Echo Requests zulassen - die dazugehörigen Replies werden dann automatisch erlaubt.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
DrSchnitzel
Newbie
Posts: 19
Karma: 1
Re: OPNsense verschluckt ICMP echo reply
«
Reply #2 on:
August 14, 2024, 09:39:23 am »
Ich hab auf dem LAN interface eine allow LAN to any Regel erstellt.
Vom LAN sende ich den ping auf das Gerät im Wireguard Netz (Site to Site).
Hier ist alles erlaubt.
Im Packet Capture sieht man ja auch dass die Echo Requests gesendet werden und auch dass die Entsprechenden Antworten kommen.
Könntest du bitte nochmal genau erläutern erläutern was du meinst - irgendwie stehe ich gerade auf dem Schlauch.
Logged
Patrick M. Hausen
Hero Member
Posts: 6313
Karma: 537
Re: OPNsense verschluckt ICMP echo reply
«
Reply #3 on:
August 14, 2024, 09:50:22 am »
Wenn vom LAN in Richtung WG alles erlaubt ist, brauchst du keine Regel für die Antworten. OPNsense ist eine stateful Firewall.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
DrSchnitzel
Newbie
Posts: 19
Karma: 1
Re: OPNsense verschluckt ICMP echo reply
«
Reply #4 on:
August 14, 2024, 10:22:40 am »
Du hast natürlich recht - hier ist noch was anderes im argen.
Trotzdem komisch dass es teilweise funktioniert wenn ich eine Regel dazu anlege.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 226
old man standing
Re: OPNsense verschluckt ICMP echo reply
«
Reply #5 on:
August 14, 2024, 10:25:44 am »
> Trotzdem komisch dass es teilweise funktioniert wenn ich eine Regel dazu anlege.
Jein, wenn die Regel falsch ist, dann hat die nichts damit zu tun. Und laut deiner Aussage hast du Replys freigegeben, was eigentlich gar nichts tut, denn die Firewall braucht Request Erlaubnis, nicht Reply.
Wenn Requests hin gehen aber kein Reply kommt, wird das im Normalfall nicht verschluckt, sondern das Ziel gibt entweder keine Antwort - oder du hast Asymmetrie im Routing und die Antworten gehen einen anderen Weg und deshalb schief. Das ist zu >90% der Fälle das Problem, dass die Antworten einfach den falschen Weg gehen und deshalb auf dem falschen Interface, einem falschen Gerät oder einen ganz anderen Weg nehmen.
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
franco
Administrator
Hero Member
Posts: 17474
Karma: 1587
Re: OPNsense verschluckt ICMP echo reply
«
Reply #6 on:
August 14, 2024, 11:42:33 am »
Ist das jetzt auf 24.7.1 wo es bekannte Probleme mit ICMP in FreeBSD 14.1-RELEASE-p3 gibt? Nur als Hinweis.
Grüsse
Franco
Logged
DrSchnitzel
Newbie
Posts: 19
Karma: 1
Re: OPNsense verschluckt ICMP echo reply
«
Reply #7 on:
August 14, 2024, 11:59:41 am »
Das Problem war eine Fehlerhafte Wireguard Konfiguration an der Gegenstelle (Fritzbox macht wireguard ohne Transfernetz
).
Nach vielem try and error geht jetzt alles korrekt.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense verschluckt ICMP echo reply