Simples Routing zwischen 2 VLANs / Nichts geht

Started by jonn1e, September 27, 2024, 12:46:36 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 27, 2024, 12:46:36 PM
Hallo zusammen,

Ich zweifele gerade etwas an mir selbst.
Folgende Konstellation:

Netz A: 10.10.10.1/23 mit VLAN 10
Netz B: 10.10.12.1/24 mit VLAN 12
Netz C: 10.10.20.1/23 mit VLAN 20

OPNsense ist Gateway für alle Beteiligten.
Dazu noch weitere Netze inkl. VLANs, alles funktioniert wie gewünscht bis auf die Tatsache das Netz A und Netz B in keine Richtung über die OPNsense miteinander kommunizieren können.

- Firewallregeln bereits auf Durchzug geschaltet
- Firewall Log zeigt mir grün für eingehende ICMP Pakete an
- Windows Firewall testweise deaktiviert
- Endpoint Protection auf den Systemen deaktiviert
- Packet Capture auf Interfaces von Netz A und B zeichnen jeweils nur den eingehenden ICMP des auslösenden Netzes auf. Auf der anderen Seite bzw. auf dem zweiten Packet Capture fällt einfach nichts raus, als ob die Pakete in der OPNsense verloren gehen?

- Ich kann von Netz A und Netz B ohne Probleme Netz C oder weitere Netze erreichen. Auch von Netz C in Netz A und B keinerlei Probleme.

Jemand eine Idee woran es scheitern könnte ?

Cheers
September 27, 2024, 03:40:55 PM #1
Drei Sachen fallen mir dazu ein:

1. Wenn Du Dich irgendwo mit der sehr ungewöhnlichen Maske /23 vertippt hast, funktioniert es nicht. Das inkludiert: DHCP-Bereiche, statische IPs, Firewall-Regeln usw.

2. Windows-Rechner nehmen per Default nur Pings aus dem eigenen Subnetz an - womit testest Du?

3. Routen richtig gesetzt?
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
September 30, 2024, 09:53:24 AM #2
Moin,

Danke für deine Rückmeldung.

1. Warum sehr ungewöhnlich? Eine Netzmaske wie jede andere auch. Wir haben damals das 24er Netz aufgebohrt, damit mehr Clients rein passen.

2. Simpler Ping über CMD, die Windows Firewall habe ich testweise ausgeschaltet. Ich sehe die ICMP Anfragen ja auch in der OPNsense, nur was mich irritiert ist, dass auf dem ausgehenden Interface im Packet Capture nichts rausfällt?

3. Routen müssen keine gesetzt werden, alle Netze liegen direkt an der OPNsense an. Konkret geht es um zwei Server Netze mit festen IP-Adressen, die über 2 Switche und VLANs mit einander kommunzieren sollen. Die OPNsense übernimmt das Routing über die VLANs hinweg.
September 30, 2024, 09:58:31 AM #3
Dann prüf mal, ob die beteiligten Systeme tatsächlich jeweils die OPNsense in ihrem jeweiligen Netz als Gateway haben und ob überall alle Netzmasken stimmen - /23 haben wir übrigens auch, genauso wie /25 wo nötig.

Das ausgeschlossen muss es an den Firewall-Regeln liegen. Bitte poste die. Das ist immer sinnvoller als Aussagen wie "sind auf Durchzug geschaltet". Offensichtlich sind sie das ja nicht.  :)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 30, 2024, 10:58:56 AM #4 Last Edit: September 30, 2024, 11:02:17 AM by jonn1e
Hi Patrick,

Ich konnte den Fehler lokalisieren.  ::)
Das Problem war, dass wir einen IPsec Tunnel für jeglichen WAN Verkehr (0.0.0.0/0) aus dem 10.10.10.0/23 nutzen.
Ich hatte angenommen das die lokalen Interfaces bzw. Netze aufgrund der Metrik bevorzugt werden und nicht mehr die  "Passthrough networks" in den Advanced IPsec Settings auf dem Schirm.
Hier hat das 10.10.12.0/24 Netz gefehlt, danach lief es ohne Probleme. Wald und Bäume und so....

Danke für den Support!

September 30, 2024, 11:53:11 AM #5
More specific geht vor Metrik, und Policy Based IPSec läuft als Firewallregel und geht potentiell vor allem.
Print
Go Up Pages1
User actions