Komunikacja między komputerem a firewallem OPNsense poprzez interfejs WAN w sieci warstwy 2

Z Thomas-Krenn-Wiki
Przejdź do nawigacji Przejdź do wyszukiwania

Aby firewall OPNsense mógł być bezpośrednio adresowany poprzez interfejs WAN z innego komputer w tej samej sieci warstwy 2, należy w zaawansowanych ustawieniach odpowiedniej reguły włączyć opcję disable reply-to. W przeciwnym razie pakiety odpowiedzi zapory zostaną wysłane na adres MAC domyślnej bramy.

Problem

Komputer w sieci WAN powinien utworzyć połączenie (np. Ping lub VPN) z firewallem OPNsense. Jednak pomimo jego utworzenia, komunikacja nie jest możliwa.

Analiza ruchu sieciowego pod Interfaces -> Diagnostics -> Packet Capture ujawnia, że pakiety odpowiedzi firewalla nie są wysyłane z powrotem na adres MAC komputera nadawcy, lecz do bramy domyślnej. Dzieje się tak ze względu na funkcję reply-to, która jest wymagana podczas konfiguracji Multi-WAN.[1]

Rozwiązanie problemu

W przypadku połączenia (oznaczonego na pomarańczowo) z innego komputera przez interfejs WAN należy aktywować opcję disable reply-to.

W przypadku konfiguracji bez funkcji Multi-WAN, opcja disable reply-to musi być uaktywniona dla odpowiednich reguł firewalla przychodzącego w Advanced Options:

Die Option disable reply-to bewirkt, dass Antwort-Pakete korrekt bei anderen Teilnehmern im gleichen Layer 2 WAN-Netzwerk ankommen. Diese Option kann bei Konfigurationen ohne Multi-WAN gewählt werden.

W ten sposób pakiety odpowiedzi są wysyłane z powrotem na adres MAC nadawcy (a nie na adres MAC bramy domyślnej).

Odnośniki

  1. Ping auf WAN nicht möglich (forum.opnsense.org, 11.08.2018, j. niemiecki) Hat ein Nutzer ein Multi-WAN und Reply-To ist nicht aktiv, dann kann es sonst passieren dass eingehende Verbindungen auf dem falschen WAN Interface wieder herausgegeben werden.

Autor: Werner Fischer

Powiązane artykuły

Interfejsy sieciowe firewalli OPNsense firmy Thomas-Krenn
Do artykułu
Połączenie LTE w OPNsense
Do artykułu
Serwer pod firewall
Do artykułu