OPNsense von Rechner im Layer 2 WAN Netzwerk ansprechen

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Wenn OPNsense direkt von einem anderen Rechner aus dem selben Layer-2 WAN Netzwerk angesprochen werden soll, muss bei der Erstellung einer entsprechenden Firewall-Regel die erweiterte Option disable reply-to aktiviert werden. Ansonsten werden entsprechende Antwort-Pakete der Firewall an die MAC-Adresse des Standard-Gateways geschickt.

Problem

Ein Rechner im WAN Netzwerk soll Verbindungen (z.B. Ping oder VPN) zu einer OPNsense Firewall aufbauen. Trotz der Erstellung ist jedoch eine entsprechende Kommunikation nicht möglich.

Eine Analyse des Netzwerk-Verkehrs unter Interfaces -> Diagnostics -> Packet Capture offenbart, dass entsprechende Antwort-Pakete der Firewall nicht zurück zur MAC-Adresse des gewünschten Rechners, sondern zum Standard-Gateway gesendet werden. Dies passiert aufgrund der reply-to Funktion, welche für Multi-WAN Konfigurationen erforderlich ist.[1]

Lösung

Für eine Verbindung (orange gekennzeichnet) direkt von einem anderen Rechner im WAN IP Netzwerk muss die Option disable reply-to aktiviert werden.

Bei Konfigurationen ohne Multi-WAN muss bei den entsprechenden eingehenden Firewall-Regeln bei den Advanced Options die Option disable reply-to aktiviert werden:

Die Option disable reply-to bewirkt, dass Antwort-Pakete korrekt bei anderen Teilnehmern im gleichen Layer 2 WAN-Netzwerk ankommen. Diese Option kann bei Konfigurationen ohne Multi-WAN gewählt werden.

Damit werden die Antwort-Pakete an die MAC-Adresse zurückgeschickt (und nicht an die MAC-Adresse des Standard-Gateways).

Einzelnachweise

  1. Ping auf WAN nicht möglich (forum.opnsense.org, 11.08.2018) Hat ein Nutzer ein Multi-WAN und Reply-To ist nicht aktiv, dann kann es sonst passieren dass eingehende Verbindungen auf dem falschen WAN Interface wieder herausgegeben werden.


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.


Das könnte Sie auch interessieren

Debugnet any ifnet update Bad dn init result from igb0
OPNsense igb EEE Funktion deaktivieren
OPNsense installieren