Wenn OPNsense direkt von einem anderen Rechner aus dem selben Layer-2 WAN Netzwerk angesprochen werden soll, muss bei der Erstellung einer entsprechenden Firewall-Regel die erweiterte Option disable reply-to aktiviert werden. Ansonsten werden entsprechende Antwort-Pakete der Firewall an die MAC-Adresse des Standard-Gateways geschickt.
Ein Rechner im WAN Netzwerk soll Verbindungen (z.B. Ping oder VPN) zu einer OPNsense Firewall aufbauen. Trotz der Erstellung ist jedoch eine entsprechende Kommunikation nicht möglich.
Eine Analyse des Netzwerk-Verkehrs unter Interfaces -> Diagnostics -> Packet Capture offenbart, dass entsprechende Antwort-Pakete der Firewall nicht zurück zur MAC-Adresse des gewünschten Rechners, sondern zum Standard-Gateway gesendet werden. Dies passiert aufgrund der reply-to Funktion, welche für Multi-WAN Konfigurationen erforderlich ist.[1]
Bei Konfigurationen ohne Multi-WAN muss bei den entsprechenden eingehenden Firewall-Regeln bei den Advanced Options die Option disable reply-to aktiviert werden:
Damit werden die Antwort-Pakete an die MAC-Adresse zurückgeschickt (und nicht an die MAC-Adresse des Standard-Gateways).
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|