Blocks, die nicht da sein sollen

[kosta]

Hallo,
wie ich schon woanders angedeutet habe, gab es bei mir eine Netzumstellung von 192.168. auf 10..
Dabei habe ich auch alle Firewall Rules bereinigt und bin aktuell auf Any-Any-Any alles offen überallhin.
Noch waren die Rules auf einzelnen Intf, aber jetzt gibt es nur zwei Floating, all intf (außer WAN versteht sich), IN für alles Pass. Einmal für TCP/UDP, einmal für ICMP.

Nun, ganze Zeit schon quält mich etwas: das Arbeit auf meinem Switch ist seltsam. Funktioniert funktioniert nach der Neuanmeldung, und dann plötzlich fangt an zu stocken, und ich muss mich erneut anmelden.

Und jetzt gefunden warum:
Die Firewall erstmal zeigt keine Blocks, und dann nach ca. 1 Minute, fangen die Blocks an, bloß einfach so.

1) es ist mir absolut unklar warum die Blocks anfangen, wenn sowieso alles offen
2) warum sie nicht gleich blocken wenn ein Problem, warum erst nach xx Sekunden

Habt ihr Idee wo ich anfangen wäre zu troubleshooten?
Versucht beide mal neu zu starten habe ich mal...

Dazu zu sagen, es gibt auch andere ausgehenden Blocks Richtung Internet, auch wenn ich nichts mache.

[Patrick M. Hausen]

Eine mögliche Ursache ist asymmetrisches Routing. Mal doch mal dein Netzwerk auf.

[kosta]

Hier eine schnelle Skizze. Deine Aussage hat mich zum Nachdenken gebracht. Ich hab anschließend ein traceroute auf beiden Geräten gemacht, und was mir aufgefallen ist, dass mein Rechner (in diesem Fall mein MBP, im LAN, über die FW geht. Was korrekt ist.
Aber wenn ich das gleiche auf dem Switch mache, wir mir die Firewall nicht angezeigt, nur ein Hop.

Die VLANs auf dem Switch haben mittlerweile jeder eine IP. 10 natürlich von Haus aus, da dieser zum Management gehört. Aber das dürfte nicht stören.

Eigentlich würde ich erwarten dass der Switch beim traceroute zwei Hops hat.

[Patrick M. Hausen]

Doch. Der Switch antwortet dann an der Firewall vorbei direkt zu deinem Rechner. Das machen Hosts grundsätzlich so, immer auf dem kürzesten Weg.

Es ist egal, auf welchem Weg ein Paket empfangen wurde - das Anwort-Paket wird immer nur auf Basis der Ziel-IP-Adresse geroutet. Wenn es einen direkten Link gibt, wird der benutzt.

Benutz doch die IP-Adresse im selben VLAN wie dein PC ist zum Management des Switches. Oder entferne alle IP-Adressen auf dem Switch außer im Management-VLAN.

[kosta]

Dann versuche ich mal zu verstehen, etwas was wir in der Arbeit machen, besser...
Wir praktizieren dass die primären Switches auf den VLANs immer eine IP haben, damit man im Falle des Troubleshootings eben den Switch pingen kann, und schauen wo es blockt. Für jede VLAN existiert eine Adresse.
Und du hast recht, war mir im Hintergrund nicht bewusst, dass mein HP tatsächlich automatisch die kürzesten Routen erstellt hat, als ich den VLANs die IPs vergeben habe. Sieht man eh in der Tabelle, hätte reinschauen sollen.

Es müsste doch irgendwie funktionieren, damit ich den Switch sagen kann, egal was die VLANs für IPs haben, soll er bitte 0.0.0.0/0 immer über der Firewall IP schicken. Aber das hat das Ding schon, inkl. andere Routen - die ich nicht löschen kann. Ich versuche mal die statischen Routen für jede VLAN zu setzen. So leicht geb ich nicht auf :)

[kosta]

Aber ja, das Thema kann man abschließen. Tatsächlich kein OPNsense Thema, sondern reines Networking. Es scheint ja wohl ein Unterschied zu sein, wie die Switches funktionieren. Unsere OS10 von Dell scheinen anders zu ticken als mein billiger HP Aruba im Vergleich.

[Patrick M. Hausen]

Local connect beats static route. Isso.

Du kannst auf der OPNsense alles auf Management VLAN mit Destination "switch" NATen.

[kosta]

Nee. KISS ;-)

Aber danke! Ein Problem weniger. ;-)