Kein Zugriff auf Weboberflächen von Geräten an OPT2 – Internetzugang funktionier

Started by juergen2025, December 18, 2025, 09:33:55 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 18, 2025, 09:33:55 PM
Hallo zusammen,

ich habe ein Problem mit einer OPNsense-Installation und einem OPT2-Interface und komme aktuell nicht weiter.

Setup

OPNsense (aktuelle Version)

Interface: OPT2

Subnetz: 192.168.15.0/24

DHCP auf OPT2 aktiviert

Kein VLAN im Einsatz

NAT-Reflektion deaktiviert (Standard)

Firewall-Regeln auf OPT2 getestet:

OPT2 net → any (any)

zusätzlich OPT2 net → OPT2 net (any)

Beobachtung

Wenn ich einen PC direkt an OPT2 anschließe, erhält dieser per DHCP eine IP und hat Internetzugang.

Wenn ich jedoch andere Geräte an OPT2 anschließe, z. B.:

einen TP-Link Repeater (Access-Point-Modus) oder

einen N150 Mini-PC-Firewall-Router, auf dem ZimaOS installiert werden soll,

bekommen diese Geräte ebenfalls eine IP aus dem OPT2-Netz,
die jeweilige Weboberfläche (HTTP/HTTPS) ist jedoch nicht erreichbar.

Das Verhalten ist bei beiden Geräten identisch, daher gehe ich nicht von einem gerätespezifischen Problem aus.

Zusammenfassung

OPT2 → WAN (Internet): funktioniert

OPT2 → Geräte im gleichen Subnetz (Weboberflächen): funktioniert nicht

Fragen

Wird lokaler Verkehr innerhalb eines OPT-Interfaces von OPNsense standardmäßig eingeschränkt oder blockiert?

Reicht eine Regel OPT2 net → OPT2 net, oder fehlt eine weitere Einstellung (z. B. Interface-Optionen)?

Gibt es bekannte Besonderheiten bei lokalen Management-Zugriffen innerhalb eines OPT-Netzes?

Eine config.xml kann ich bei Bedarf zur Verfügung stellen.

Vielen Dank für eure Hilfe.
December 18, 2025, 10:27:28 PM #1
Hängt da ein Switch an opt2, an dem dann die Geräte hängen, die aufeinander zugreifen sollen?
Dann hat OPNsense wenig damit zu tun. Verkehr innerhalb des Subnetzes switcht der Switch direkt von Port zu Port. OPNsense routet standardmäßig nur zwischen unterschiedlichen Netzen (sofern man nicht explizit eine Bridge konfiguriert).

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
December 18, 2025, 10:41:41 PM #2
Hallo Maurice,

danke für den Hinweis.

Bei mir hängt an OPT2 kein Switch. Ich habe die Geräte jeweils einzeln direkt
an OPT2 getestet (PC direkt an OPT2: Internet funktioniert; TP-Link Repeater
im AP-Modus bzw. N150 Mini-PC direkt an OPT2: ich komme nicht auf deren
Weboberflächen).

Daher sollte der Traffic nicht "im Subnetz geswitcht" werden, sondern über
OPNsense laufen.

Hast du eine Idee, welche OPNsense-Einstellung das lokale Management (HTTP/HTTPS)
in so einem Direktanschluss-Szenario blockieren könnte? (OPT2 = 192.168.15.0/24,
DHCP aktiv, Block private/bogon auf OPT2 ist aus, Firewall-Regeln auf OPT2
Allow OPT2 net -> any).
Vielen Dank!
December 18, 2025, 11:03:35 PM #3
D. h. der Rechner, von dem aus auf das Gerät an opt2 zugegriffen werden soll hängt an LAN bzw. opt1? LAN / opt1 haben jeweils ihr eigenes Subnetz und keine speziellen Firewall-Regeln? Mehr als die Default-Regel (allow LAN net (bzw. opt1 net) to any) sollte nicht erforderlich sein.

Die zu managenden Geräte müssen grundsätzlich den Zugriff aus anderen Subnetzen zulassen. Das ist nicht immer der Fall.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
December 20, 2025, 07:17:33 PM #4
Der PC hängt am LAN, der andere Mini-PC mit Proxmox hängt direkt an OPT2.
Ich habe bewusst das gleiche Subnetz auf LAN und OPT2 konfiguriert, da kein externes Switch vorhanden ist und beide Geräte im gleichen Netz sein sollen.

Trotz identischem Subnetz und Default-Firewall-Regel

allow LAN net (bzw. OPT2 net) to any
ist keine Verbindung zur Proxmox-Weboberfläche möglich.

Mir ist inzwischen klar geworden, dass LAN und OPT2 auch bei gleichem Subnetz technisch getrennte Interfaces bleiben und OPNsense nicht automatisch wie ein Switch arbeitet.


December 20, 2025, 07:30:13 PM #5
Möchtest Du mit OPNsense einen Switch emulieren, dann musst Du die Interfaces bridgen und der Bridge das Subnetz zuweisen:

https://docs.opnsense.org/manual/how-tos/lan_bridge.html
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
December 20, 2025, 07:59:54 PM #6
Switch:    Ja, das war im Grunde ein Gedankenspiel, um mein Verständnis zu prüfen.

Ich glaube, ich habe einen grundlegenden Denkfehler beim Gateway gemacht und wollte das kurz verifizieren.

Ausgangslage:

PC hängt am LAN (192.168.13.0/24)

Mini-PC mit Proxmox hängt an OPT2 (192.168.15.0/24)

OPNsense hat:

LAN: 192.168.13.1

OPT2: 192.168.15.1

Ich bin bisher davon ausgegangen, dass ich bei der Proxmox-Installation als Gateway die LAN-IP (192.168.13.1) eintragen muss, da der Zugriff vom LAN erfolgt.

Inzwischen vermute ich, dass das falsch ist und bei einem Gerät, das direkt an OPT2 hängt, als Gateway immer die OPT2-IP der Firewall (192.168.15.1) eingetragen werden muss – unabhängig davon, aus welchem Netz später zugegriffen wird.

Ist diese Annahme korrekt und war genau das der Fehler, warum die Proxmox-Weboberfläche vom LAN aus nicht erreichbar war?
December 20, 2025, 08:04:14 PM #7
Jedes Gerät braucht einen Default-Gateway in seinem eigenen Netz, wenn es mit anderen außerhalb kommunizieren soll. Also ja.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions