Kann DMZ aus LAN nicht erreichen

[SMG]

Hallo,
ich kann aus dem LAN nicht auf die DMZ zugreifen und kann auch nach längerem Suchen und Probieren nicht feststellen wo etwas falsch läuft.

Version OPNsense 25.7.7_4-amd64

Interfaces
LAN igc0 192.168.0.1/24
DMZ re0 192.168.10.1/24
Wireguard wg0 10.10.10.1/24

Firewall
Firewall LAN ; Default allow LAN to any rule
Firewall DMZ ; ping any to any (Testzwecke)


Ping
lan -> lan ok
lan -> 8.8.8.8 ok
wireguard -> lan ok
wireguard -> dmz ok
dmz -> 8.8.8.8 ok
lan -> dmz klappt nicht (Firewall log live view: 192.168.0.2(source)->;192.168.10.4(destination)- pass let out anything)


Packet capture

Code Select Expand

WireGuard
wg0 2026-01-28
17:38:52.004304 length 88: 10.10.10.4 > 192.168.10.4: ICMP echo request, id 15, seq 9, length 64

WireGuard
wg0 2026-01-28
17:38:52.004650 length 88: 192.168.10.4 > 10.10.10.4: ICMP echo reply, id 15, seq 9, length 64

DMZ
re0 2026-01-28
17:38:52.004329 68:84:7e:xx:xx:xx 00:e0:4c:xx:xx:xx IPv4, length 98: 10.10.10.4 > 192.168.10.4: ICMP echo request, id 15, seq 9, length 64

DMZ
re0 2026-01-28
17:38:52.004639 00:e0:4c:xx:xx:xx 68:84:7e:xx:xx:xx IPv4, length 98: 192.168.10.4 > 10.10.10.4: ICMP echo reply, id 15, seq 9, length 64

-----------------------------------------------------------------------------------------------------------------------------------------------------

LAN
igc0 2026-01-28
20:43:51.815899 4c:52:62:xx:xx:xx 02:76:c6:xx:xx:xx IPv4, length 98: 192.168.0.13 > 192.168.10.4: ICMP echo request, id 69, seq 0, length 64
DMZ
re0 2026-01-28
20:43:51.815963 68:84:7e:xx:xx:xx 00:e0:4c:xx:xx:xx IPv4, length 98: 192.168.0.13 > 192.168.10.4: ICMP echo request, id 69, seq 0, length 64



Irgendwie kommt beim Ping aus dem LAN in die DMZ kein Reply, aber ich kann nicht erkennen woran das liegt. Es scheint kein Firewall-Problem zu sein und der Host reagiert beim Ping aus dem Wireguard-Netz.......

Wo liegt der Fehler?

[Patrick M. Hausen]

Hast du bei der LAN "allow" Regel einen Gateway drin? Wenn ja, weshalb? Das würde dazu führen, dass er alle Pakete in Richtung des Gateway schickt statt in die DMZ.

[SMG]

Firewall: Rules: LAN

Code Select Expand


  Protocol Source Port Destination Port Gateway Schedule Description

IPv4 * LAN net * * * * * Default allow LAN to any rule
IPv6 * LAN net * * * * * Default allow LAN IPv6 to any rule



Die Regel habe ich nach der Installation nicht/nie angefasst....

[Patrick M. Hausen]

Mach ma

Code Select Expand

netstat -rn


[SMG]

Müsste hier eigentlich die Mac-Adressse des hosts und nicht die Mac-Adresse des LAN interface auftauchen?

4c:52:62:xx:xx:xx   02:76:c6:xxxx(LAN Interface)   IPv4, length 98: 192.168.0.13 > 192.168.10.4
                     
 

[Patrick M. Hausen]

Nein, der Client im LAN schickt das Paket ja an seinen Default-Gateway, also an die OPNsense. Die sollte es dann in die DMZ weiter routen. Schick mir doch bitte die Ausgabe des Befehls oben ...

[SMG]

Meinst du auf der Weboberfläche: Interfaces: Diagnostics: Netstat, wenn ja welche Infos brauchst du?


SSH-Zugriff auf OPNsense habe ich bislang nicht aktiviert...wenn es aber nur so geht, kann ich das auch machen

[Patrick M. Hausen]

Ich hab keine Ahnung, wie das im UI geht. Wenn ich was debugge, benutze ich SSH. Immer. Sorry. Bitte gib einfach den Befehl ein. Danke.

[SMG]

Code Select Expand

Routing tables

Internet:
Destination        Gateway            Flags         Netif Expire
default            178.201.166.1      UGS            igc1
10.10.10.0/24      link#8             U               wg0
10.10.10.1         link#4             UHS             lo0
10.10.10.2         link#8             UHS             wg0
10.10.10.3         link#8             UHS             wg0
10.10.10.4         link#8             UHS             wg0
10.10.10.5         link#8             UHS             wg0
80.69.96.12        178.201.166.1      UGHS           igc1
81.210.129.4       178.201.166.1      UGHS           igc1
127.0.0.1          link#4             UH              lo0
178.201.166.0/23   link#2             U              igc1
178.201.167.223    link#4             UHS             lo0
192.168.0.0/24     link#1             U              igc0
192.168.0.1        link#4             UHS             lo0
192.168.10.0/24    link#3             U               re0
192.168.10.1       link#4             UHS             lo0

Internet6:
Destination                       Gateway                       Flags         Netif Expire
default                           fe80::201:5cff:fe77:4a46%igc1 UGS            igc1
::1                               link#4                        UHS             lo0
2a02:908:2:a::1                   fe80::201:5cff:fe77:4a46%igc1 UGHS           igc1
2a02:908:2:b::1                   fe80::201:5cff:fe77:4a46%igc1 UGHS           igc1
2a02:908:1900:6::1bee             link#4                        UHS             lo0
2a02:908:1900:8::/64              link#2                        U              igc1
2a02:908:1960:e5a0::/64           link#1                        U              igc0
2a02:908:1960:e5a0::/59           link#4                        USB             lo0
2a02:908:1960:e5a0:76:c6ff:fe01:6d6d link#4                     UHS             lo0
2a02:3102:8001:d7::/64            link#2                        U              igc1
2a02:3102:8001:80d7::/64          link#2                        U              igc1
fd00::/64                         link#2                        U              igc1
fe80::%igc0/64                    link#1                        U              igc0
fe80::76:c6ff:fe01:6d6d%lo0       link#4                        UHS             lo0
fe80::%igc1/64                    link#2                        U              igc1
fe80::76:c6ff:fe01:7154%lo0       link#4                        UHS             lo0
fe80::%lo0/64                     link#4                        U               lo0
fe80::1%lo0                       link#4                        UHS             lo0



[Patrick M. Hausen]

Ich hatte den Verdacht, dass du evtl. 192.168.10.0 falsch routest, z.B. weil du es bei WireGuard in die "AllowedIPs" eingetragen hast. Das ist aber nicht der Fall. Ich nehme an, re0 ist das DMZ-Interface.

Dann mach doch mal einen Paket-Trace auf allen anderen Interfaces (WAN, WireGuard), während du den Ping vom LAN in die DMZ absetzt. Irgendwo müssen die Pakete ja landen. Wenn wir wissen, wo, können wir gucken, weshalb.

[SMG]

Interfaces to capture - select all
gc0 [LAN]
igc1 [WAN]
re0 [DMZ]
lo0 [Loopback]
enc0
pflog0
pfsync0
wg0 [HedwigWireGuard]

Code Select Expand


DMZ
re0 2026-01-29
00:13:57.571658 68:84:7e:xxxxxx 00:e0:4c:xxxxxx IPv4, length 98: 192.168.0.48 > 192.168.10.4: ICMP echo request, id 5, seq 963, length 64
DMZ
re0 2026-01-29
00:13:58.591672 68:84:7e:xxxxxx 00:e0:4c:xxxxxx IPv4, length 98: 192.168.0.48 > 192.168.10.4: ICMP echo request, id 5, seq 964, length 64
LAN
igc0 2026-01-29
00:13:57.571638 44:37:e6:xxxxxx 02:76:c6:xxxxxx IPv4, length 98: 192.168.0.48 > 192.168.10.4: ICMP echo request, id 5, seq 963, length 64
LAN
igc0 2026-01-29
00:13:57.972811 02:76:c6:xxxxxx d8:47:32:xxxxxx IPv4, length 118: 192.168.0.1 > 192.168.0.71: ICMP 132.163.96.6 udp port 123 unreachable, length 84
LAN
igc0 2026-01-29
00:13:58.591649 44:37:e6:xxxxxx 02:76:c6:xxxxxx IPv4, length 98: 192.168.0.48 > 192.168.10.4: ICMP echo request, id 5, seq 964, length 64


Sieht so aus als würde alles nur auf LAN und DMZ landen

"Ich nehme an, re0 ist das DMZ-Interface."
-ja

[Patrick M. Hausen]

Ja dann bleiben eigentlich nur noch die Hosts in der DMZ übrig. Mach auf denen mal ein Paket-Trace, guck, ob es Antwortpakete gibt, und wo die hin gehen ...