VLANs antworten nicht

[MarroniJohny]

Hi

Auf meiner produktiv Sense habe ich am Beispiel der DMZ nur folgende Regel drin. Auf dem LAN habe ich eine Regel "Allow all". Heisst aus der DMZ komme ich nicht in RFC_1918 Netze, so wie es sein soll. Greife ich aber aus dem LAN auf die DMZ zu, bekomme ich Antwort. Das wäre so gewünscht.

You cannot view this attachment.


Nun habe ich eine Sense im Lab eingerichtet. Da musste ich mehr Regeln erstellen, um überhaupt ins Internet zu kommen, und um im VLAN pingen zu können. Die !RFC_1918 Regel habe ich auch drin, damit ich ins Internet komme. Aber ich bekomme aus der DMZ der Lab Sense keine Antwort aus dem LAN. Selbst wenn ich die !RFC_1918 Regel deaktiviere.

You cannot view this attachment.

KI meint ich müsste da eine Admin bypass Regel in der DMZ zurück ins LAN erstellen. Nach mir verzapft die da wieder mal Unsinn. Will eigentlich gar nichts von der DMZ ins LAN beregeln, das führt das ganze VLAN Konzept ja ad absurdum. Und bei der produktiv Sense funktioniert es ja auch ohne Regel zurück.

Gruss und danke

[viragomann]

Hallo,

hast du der KI auch deinen Aufbau verraten?

Ich kenne ihn übrigens auch nicht. Er könnte aber Licht in die Sache bringen.
Habe aber mitbekommen, dass du neben der produktiven OPNsense nun eine Test-Instanz installiert hast.
Nun, wenn die so ganz parallel an beiden betroffenen Netzen hängt und du nichts getan hast, um das Routing zwischen den Netzen sicherzustellen, wäre das Fehlerbild eine logische Folge.

D.h., wenn die Geräte die Produktiv-FW als Standardgateway nutzen, schicken sie Antwortpakete da hin, auch wenn die Anfragen über die Lab-FW ankommen. Die Folge wäre asymetrisches Routing und die Pakete würden von den Firewalls abgewiesen.
Könnte das hier der Fall sein?