Zugriff auf anderes Interface

[Zavinator]

Guten Abend,

vielleicht kann mir jemand weiterhelfen. Ich habe insgesamt 4 Interfaces:

lan (10.0.1.100/24)
wan
wireguard
proxmox (172.27.77.100/24)

Ich habe für meinen proxmox Server ein eigenes Interface definiert und direkt mit dem entsprechenden Port der Firewall verbunden. Nun möchte ich von meinen Clients im LAN auf den proxmox Server zugreifen können. Ich kann vom 10er Netz weder ins 172er Netz interfaceübergreifend pingen noch darauf zugreifen.

Vermutlich fehlt eine Regel?´Falls ja, könnte mir die jemand erklären wie einem 5jährigen? Ich bin immer noch recht unerfahren mit OPNsense. "Listen Interfaces" war bereits auf all gestellt falls das eine Rolle spielt.

Danke schon mal. Ich verwende OPnsense 25.1.1.

LG Martin

[viragomann]

Hallo,

am LAN ist von Haus aus eine Regel, die Zugriff auf alle Ziele erlaubt. Wenn du diese nicht verändert hast,  sollte von OPNsense her der Zugriff möglich sein.

Dann könnte ein fehlerhaftes Routing die Ursache sein. Korrekt geroutet muss in beide Richtungen werden, also bspw. beim Ping das Anfrage-Paket vom Client zum Ziel und dann das Antwort-Paket vom Ziel zum Client zurück. Bei Firewall-Regeln reicht es dagegen, diese am eingehenden Interface, also LAN, einzurichten.

Damit das Routing klappt, ist es erforderlich, dass beide, Client und Server, die OPNsense als Standardgateway eingerichtet haben, also die jeweilige Interface IP im Subnetz.
Hast du das auf Proxmox entsprechend angepasst, als sie ins andere Subnetz gewechselt hat?
Es ist in diesem Zusammenhang auch darauf zu achten, dass die Subnetzmasken korrekt sind. Ist bspw. auf Proxmox versehentlich eine /32 Maske gesetzt, kann sie nicht nach draußen kommunizieren.

Eine Möglichkeit wäre noch, dass das Zielgerät Zugriffe von außerhalb des eigenen Subnetzes mittels der eigenen Firewall blockiert. Das ist eigentlich allgemein das Standardverhalten von Computersystemen. Wenn du auf Proxmox die Firewall aktiv hast, kannst du diese ja mal abschalten zum Testen.
Oder die kannst den Ping von OPNSense aus probieren. Der kommt dann aus demselben Subnetz und Proxmox antwortet vermutlich.

Grüße

[Zavinator]

Danke für deine Antwort. Ich kann den proxmox Server von der Firewall aus (Diagnostics) anpingen und auch ein Traceroot auf die proxmox IP funktioniert. Das war es aber schon mit Erfolgserlebnissen. Ping von Clients am LAN-Interface sowie der Zugriff auf das proxmox Webinterface funktioniert nicht. Ich habe auch versucht, zwei Regeln auf den zwei Interfaces anzulegen:

Am LAN-Interface:

Action: Pass
Direction: In
Source: LAN net
Destination: proxmox net


Am proxmox Interface:

Action: Pass
Direction: In
Source: proxmox net
Destination: LAN net

Auch kein Erfolg. Am proxmox habe ich IP-seitig alles korrekt konfiguriert (/24) für das neue Interface, als ich noch Zugriff hatte am LAN-Interface. Nun komm ich nicht mehr auf den proxmox. Firewall hab ich am proxmox nicht aktiviert.

LG Martin

[viragomann]

Die LAN Regel erlaubt auch alle Protokolle? Ping wäre ICMP, der Zugriff aufs Webinterface TCP.

Es sollte dann eigentlich funktionieren, wenn du alles o.g. überprüft hast.
Wenn nicht, mach mal ein Packet Capture, während du einen Ping versuchst. Das Tool befindet sich in Interface > Diagnostic > Packet Capture.

Interface: Proxmox
Protocol: ICMP
Starte es, dann mach einen Ping von einem LAN Client auf Proxmox. Anschließend stoppe das Capture und öffne das einfache Ergebnis mit der Schaltfläche im rechten Bereich. Post es bitte hier.

[Zavinator]

Einen Erfolg konnte ich verbuchen. Ich erreiche den proxmox Server nun. Fehler war ein Layer 8 Problem. Ich hatte in den proxmox Netzwerkeinstellungen einen Zahlendreher beim Gateway. Dort steht nun die Interface IP drin: 172.27.77.100

Ich kann mich also zum proxmox verbinden und die virtuellen Maschinen starten sowie alles pingen. Jedoch können die VMs noch keine Internetverbindung herstellen. Es wird als DHCP, Gateway und DNS die 172.27.77.100 bezogen. Vermutlich liegt hier irgendwo der Hund begraben. Muss nicht irgendwo die IP des LAN-Interfaces eingetragen sein, um die Internetverbindung herzustellen?

Aktuell habe ich auf der OPNsense bei beiden Interfaces keinen Gateway und DNS eingetragen im DHCP Service. Bisher hat auch immer alles ohne diese Einträge funktioniert. Hast du hier vielleicht auch noch einen Tipp für mich, wie die VMs ins Internet kommen könnten? Einstweilen nochmal vielen Dank für deine bisherige Zeit und Geduld.

LG Martin

[viragomann]

Wenn die VMs im Proxmox Subnetz sind, ist das in Ordnung. Sie müssen die Interface IP in ihrem Subnetz als Gateway nutzen, um die LAN IP oder sonst eine außerhalb des Subnetzes zu erreichen, benötigen sie das Gateway. Das kann also nicht die LAN IP sein.

Ursache könnte ein DNS-Problem sein. Um das rauszufinden, kannst du einfach versuchen, von einer VM bsp. 1.1.1.1 zu pingen, also direkt eine IP. Vorher aber sicherstellen, dass die Firewall-Regeln es erlauben. Protokoll = any zum Testen.

Geht das auch nicht, überprüfe in Firewall > NAT > Outbound, ob automatische Regeln am WAN für das Sutnetz 172.27.77.100/24 angelegt sind. Es sollte nur WAN Regeln geben.

[Zavinator]

Ursache könnte ein DNS-Problem sein. Um das rauszufinden, kannst du einfach versuchen, von einer VM bsp. 1.1.1.1 zu pingen, also direkt eine IP. Vorher aber sicherstellen, dass die Firewall-Regeln es erlauben. Protokoll = any zum Testen.

Das funktioniert tatsächlich. Kaum habe ich die Regel erstellt, konnte ich externe IPs pingen und surfen. Wie kann ich das Problem nun beseitigen ohne die Test-Regel?

[viragomann]

Du möchtest Internet erlauben, aber keinen Zugriff auf das LAN?
Dazu kannst du in der Pass-Regel das LAN-Subnetz als Ziel setzen und "invert" anhaken. Das hei0t dann, die Regel erlaubt alles andere als LAN Subnetz.

[Zavinator]

Sorry, ich habe mich tollpatschig ausgedrückt. Ich möchte sowohl LAN als auch Internet verwenden. Ich wollte nur wissen, wie ich die soeben erstellte Test-Regel nun restriktiver gestalten kann. Derzeit ist ja alles erlaubt. Oder benötige ich diese Regel nicht und ich muss irgendwas an den DNS-Settings ändern, damit die VMs ins Internet können? Oder muss ich nur Port 53 erlauben?

Action: Pass
Interface: Proxmox
Direction: In
Protocol: Any
Source: Any
Destination: Any

[viragomann]

Ich möchte sowohl LAN als auch Internet verwenden.

Ähhm. Was möchtest du dann einschränken.
Das LAN zu verbieten, das Internet aber zu erlauben, erschien mir als zweckmäßig.

Ohne zu wissen, was erlaubt sein soll und was nicht, kann ich da schwer einen Tipp abgeben.
Um zu erlauben, musst du jedenfalls TCP/UDP Port 53 auf "This Firewall" erlauben.

[Zavinator]

Ursache könnte ein DNS-Problem sein. Um das rauszufinden, kannst du einfach versuchen, von einer VM bsp. 1.1.1.1 zu pingen, also direkt eine IP. Vorher aber sicherstellen, dass die Firewall-Regeln es erlauben. Protokoll = any zum Testen.

Ich war vorher der Meinung, dass diese Regel nur dazu dienen soll, um rauszufinden, ob externe IPs pingbar sind. Weil du "zum Testen" erwähnt hast. Aber es hat tatsächlich eine Regel gefehlt, die den Internetzugang für die VMs ermöglicht. Diese habe ich nun etwas eingeschränkt auf Source = proxmox.net. Hab ich das nun richtig ausgedrückt? ;-)

[viragomann]

proxmox net schließt die Interface IP der OPNsense mit ein. Das möchtest du vielleicht nicht ganz.
Du möchtest wohl nur DNS auf OPNsense erlauben. Schon erklärt.
Und sonst vielleicht HTTP und HTTPS ins Internet. Die VMs möchten ja auch Update ziehen.

Den ZUgriff auf andere VMs im selben Subnetz brauchst du nicht erlauben, der passiert OPNsense ohnehin nicht. Oben schon mal bei der Gateway Erklärung angedeutet.

Die meisten erlauben aber einfach alles ins Internet. Dazu empfiehlt sich, einen Alias anzulegen, der alle privaten Netzwerkbereiche enthält. Diesen dann als Ziel mit "invert" verwenden.
Die DNS Regel braucht es aber dann dennoch, und sie muss oberhalb dieser sitzen. Denn die Interface IP fällt dann auch mit rein in den Ausschluss von der Pass Regel.
Auch NTP (Network Time Protocol) sollte auf "This Firewall" erlaubt werden, damit die Clients eine Zeit ziehen können.

[Zavinator]

Danke, du hast mir sehr geholfen. Weiß ich zu schätzen. Bis bald vielleicht.

LG Martin