Static Mapping kein WAN

[Taste]

Hi,
ich habe ein paar Server mit statischen Adressen konfiguriert. Ich nutze ubound. Alle Clients die per DHCP eine IP-Adr. bekommen, können auch andere Clients auflösen und ins WAN. Die die ein Static Mapping haben kommen nicht ins WAN und können andere nicht auflösen.
Muss ich noch etwas konfigurieren, damit auch die können?
Danek

[Taste]

Hi,
ich habe mir das Static Mapping angesehen und folgendes festgestellt:
- wird die IP per DHCP vergeben, kann ich vom Client ins WAN und auch im LAN Hostnamen auflösen
- wird die IP per Static Mapping eingerichtet, geht weder das eine noch das andere, ich kann aber aus dem LAN von einem Client mit IP per DHCP vergeben, den genannten Hostnamen auflösen.

Für mich sieht es so aus, als wenn die OPNsense hier was blockt. Ich meine ich hatte das damals mit der PFsense auch, da half aber die Optionen für das eintragen im ARP und DNS zu aktivieren. Geht bei OPNs jedoch nicht.

Jemand eine Idee?? Hintergrund ist Portforwarding, bei dem ich eine IP angeben muss, was mit DHCP und dynamischen IPs witzlos ist.
Danke

[JasMan]

Hi Taste,

wenn Du deine Clients mit statischen IPs versorgt hast, also diese manuell auf Betriebssystemebene einträgst, ordnet die Firewall diese Clients nicht dem vordefiniertem Firewall Objekt "LAN Interface net" (oder wie auch immer dein LAN Interface heißt) zu.
D.h. in den Firewall Regeln darfst Du als Source nicht das Objekt "LAN interface net" nehmen, sondern mußt manuell das Subnetz über "Single host or network" angeben (z.B. 192.168.1.0/24). Dann dürfen allerdings direkt alle IPs des Subnetz ins WAN.

Alternativ kannst Du im DHCP Reservierungen für die Clients mit statischer IP anlegen. So mache ich das und das ist auch Best-Practise, behaupte ich mal.
Vorteil: Ändert sich z.B. der DNS Server bei Dir im Netz, braucht Du das nur im DHCP der Firewall anzupassen und alle Clients bekommen das über DHCP mitgeteilt.
Bei statischen Einträgen auf dem System müsstest Du die DNS Adresse auf jedem System manuell anpassen.
Gruß
Jas

EDIT: Stimmt so nicht -> Siehe weiter unten!

[Taste]

Hi JasMan,
und danke für deine Antwort. Das war dann wohl etwas missverständlich von mir. Also ja die Clients sind mit statischer IP im System konfiguriert. Ja ich habe eine Reservierung im DHCP eingerichtet, dass kenne ich so auch. Doch diese Clients werden scheinbar geblockt... Ich habe testweise einen Client per DHCP konfiguriert und siehe da, er kann einen Host im Lan und Wan auflösen ... ?

[JasMan]

Hi Taste,

ich verstehe das jetzt so:

"...mit statischer IP im System konfiguriert..."

Du hast eine IP manuell auf Betriebssystemebene auf dem Client eingetragen. Sprich der Client oder Server arbeitet nicht als DHCP Client.

"eine Reservierung im DHCP eingerichtet"

Und Du hast zusätzlich eine Reservierung im ubound eingerichtet.

Wenn der DHCP Lease nicht aktiv ist, d.h. nicht aktiv von ubound ausgegeben wurde, wird die Firewall diese IP auch blocken, solange Du das "LAN interface net" als Source in den Firewall Regeln verwendest.

Wenn ich Deinen Aufbau richtig verstanden habe, musst Du eigentlich nur die Clients/Server auf DHCP umstellen und dann sollte alles gehen.
Gruß
Jas

[Taste]

Hi,
mh das würde auch der Test mit einem Client bestätigen. Nachdem er die IP per DHCP bekommen hat, konnte er ins WAN. Was mich nur wundert, ich setze bisher PFsense ein und die Konfiguration ist gleich mit der in OPNsense, in PFS hat es so funktioniert, nur in OPNs nicht. Dazu kommt, dass ich bei der Reservierung die Option "Enable registration of DHCP client names in DNS" aktivieren kann. Nach meinem Verständnis sollte dann die Firewall nicht mehr blocken... ?!

[JasMan]

Der Eintrag im DNS hat doch nix mit der Firewall zu tun. Das ermöglicht nur, dass die reservierten IPs immer per DNS aufgelöst werden können, auch wenn der Client offline ist. Bei einem normalem, dynamischen Lease wird der DNS Eintrag verschwinden sobald der Client offline und der Lease abgelaufen ist.

Ich finde Deine Konfiguration mit der manuell eingetragenen IP und der zusätlichen DHCP Reservierung auch etwas ungewöhnlich. Was willst Du damit bezwecken? Das die Clients auch bei ausgeschalteter OPNsense kommunizieren können? Dann kannst Du unter Windows die "Alternative Konfiguration" verwenden. Die zieht nur wenn der Client keine DHCP IP bekommt.

Das die OPNsense sich so verhält wusste ich auch noch nicht. Bin erst durch Deinen Post auf dieses Verhalten gestoßen

[Taste]

Hi,
sorry, hast Recht. Du schriebst ja dass die Firewall auf Grund des DHCP Eintrages "reagiert". Richtig, hat somit nichts mit dem DNS direkt zu tun.

Ich kenne die optimale Konfiguration noch so, dass man z.B. die Clients per DHCP Range konfiguriert z.B. .100-.200 und den Servern direkt die IP im System vergibt. Dadurch kann bei einem Fehler / Ausfall des DHCP der Server seine IP nicht verlieren, was wesentlich wichtiger ist als ein Client. Klar kann man auch verschiedene Ranges im DHCP vergeben, oder alle in einem Netz per DHCP versorgen und wichtige per Reservierung fest vergeben, aber das ist irgenwie noch so im Kopf. Mag sein dass es so nicht mehr aktuell ist bzw. korrekt, aber daher sprechen wir ja mal drüber .)

[JasMan]

Hi,
sorry, hast Recht. Du schriebst ja dass die Firewall auf Grund des DHCP Eintrages "reagiert". Richtig, hat somit nichts mit dem DNS direkt zu tun.
...

Entschuldigungen sind unnötig. So ein Forum ist ja zum Fragen stellen und helfen da

...
Ich kenne die optimale Konfiguration noch so, dass man z.B. die Clients per DHCP Range konfiguriert z.B. .100-.200 und den Servern direkt die IP im System vergibt. Dadurch kann bei einem Fehler / Ausfall des DHCP der Server seine IP nicht verlieren, was wesentlich wichtiger ist als ein Client. Klar kann man auch verschiedene Ranges im DHCP vergeben, oder alle in einem Netz per DHCP versorgen und wichtige per Reservierung fest vergeben, aber das ist irgenwie noch so im Kopf. Mag sein dass es so nicht mehr aktuell ist bzw. korrekt, aber daher sprechen wir ja mal drüber .)

So kenne ich das auch und so machen wir das auch in der Firma, in der ich arbeite.

Wenn Du das so umsetzen möchtest, kannst Du einen Alias im OPNsense mit den manuell vergebenen IPs anlegen. Falls Du einen IP Bereich für die manuell vergeben IPs reserviert hast, kannst Du anstatt jede einzelne IP auch den Bereich im Alias eintragen. Das erspart Dir Pflegeaufwand falls ein weiterer Server hinzu kommt. Die Firewall-Regel für den entsprechenden Dienst kannst Du von der Regel für die DHCP Clients kopieren, und änderst nur die Source von "LAN Interface net" auf den Alias ab.
Oder, wie schon oben beschrieben, Du erlaubst direkt das komplette Subnetz anstatt des Objekt "LAN Interface net" in der bereits bestehenden Regel. Dann lässt die Firewall alle Clients aus dem Subnetz raus. Spart ebenfalls Pflegeaufwand und hält die Anzahl der Regeln klein. Aber aus Security Sicht nicht so gut, da die Firewall somit jede IP aus dem Subnetz durchlässt.

[Taste]

Hi,
mh ich bin heute irgendwie von der Logik irritiert. Also  die Firewall erlaubt den Traffic per se für das "Lan net", was ebenfalls per Default alle IP-Adressen im Lan entspricht. Dann kann ich im DHCP IP-Reservierungen einrichten, die außerhalb der DHCP-Range liegen müssen! Letzteres habe ich für die angesprochenen Clients gemacht. Daher müssten dann diese Clients, die eine IP aus dem "Lan net" haben, auch ins WAN kommen, also nicht von der Firewall geblockt werden, richtig?

Ich habe testweise mal auf "Lan Adresses" mit der any Einstellung umkonfiguriert. Nach ein paar Sekunden, kam ich dann gar nicht mehr ins WAN ... ?!
Ich bin irritiert, über die Logik

[JasMan]

Hey Taste,

muss mich erst mal korrigieren, anscheinend habe ich da was falsch getestet.

Also, das Firewall Objekt "LAN Interface net" beinhaltet auch die manuell, nicht vom DHCP vergebenen Adressen. Mit diesem Objekt wird also das komplette Subnet erlaubt wenn man es als Source in einer Firewall Regel einsetzt.

Nun zu Deiner Frage.

...
Also  die Firewall erlaubt den Traffic per se für das "Lan net", was ebenfalls per Default alle IP-Adressen im Lan entspricht. Dann kann ich im DHCP IP-Reservierungen einrichten, die außerhalb der DHCP-Range liegen müssen! Letzteres habe ich für die angesprochenen Clients gemacht. Daher müssten dann diese Clients, die eine IP aus dem "Lan net" haben, auch ins WAN kommen, also nicht von der Firewall geblockt werden, richtig?

Korrekt. Nur erlaubt die Firewall das nicht per se, sondern man muss die Regel dafür einrichten.
So habe ich es auch: Mein LAN hat das Subnetz 192.168.1.0/24. Mein DHCP Bereich liegt von 192.168.1.128 - 254. Für meinen PC habe ich die IP 192.168.1.15 per Static DHCP Lease reserviert, also ausserhalb des DHCP Bereichs.
In der Firewall auf dem LAN Interface habe ich eine Regel eingerichtet, die der Source "LAN Interface net" den Service 80/443 mit Destination Extern erlaubt. Zusätzlich die gleiche Regel für DNS. Das funktioniert einwandfrei.

...
Ich habe testweise mal auf "Lan Adresses" mit der any Einstellung umkonfiguriert. Nach ein paar Sekunden, kam ich dann gar nicht mehr ins WAN ... ?!
Ich bin irritiert, über die Logik

"LAN Interface Adresses" gibt es nicht. Meinst Du vielleicht "LAN Interface Adress"? Das ist das Objekt für die IP Adresse des LAN Interface der OPNsense. Bei mir wäre das z.B. die 192.168.1.1. Damit erlaubst Du nur diese eine IP. Alle anderen aus dem Subnetz fallen nicht da drunter und werden dann geblockt. Entspricht also Deiner Beobachtung.

Gruß
Jas

[Taste]

Hi,
ja das erklärt das. Ich habe nun testweise mal die Standard FW-IP4-Lan-Regel kopiert und als Source die reservierte IP-Adr. verwendet. Doch ich kann keinen Host auflösen. Wenn ich den Host auf DHCP einstelle, dann ist alles ok. Ich versteh die OPNs nicht. Eigentlich sollte doch alles aus dem Lan auch ins WAN können, aber so gehts nicht. Irgendwas muss ich übersehen?

[JasMan]

Irgendwie seltsam, ja.
Was heisst denn "Standard FW-IPv4 LAN Regel"?

Wenn Du keine interne und externe Namen auflösen kannst, liegt das Problem vermutlich am DNS.
Ist die DNS Server IP, die per DHCP ausgegeben wird identisch mit der, die Du im Host manuell konfigurierst?
Nutzt Du die korrekte Subnetmask und Gateway wenn Du die IP manuell konfigurierst?
Eine entsprechende Regel für DNS (UDP/53) existiert in der Firewall für die Source "LAN Subnetz bzw. das "LAN Interface net"?
Was siehst Du denn in den Firewall Logs? Wird die DNS Anfrage geblockt oder was anderes?