Komunikacja między komputerem a firewallem OPNsense poprzez interfejs WAN w sieci warstwy 2
Aby firewall OPNsense mógł być bezpośrednio adresowany poprzez interfejs WAN z innego komputer w tej samej sieci warstwy 2, należy w zaawansowanych ustawieniach odpowiedniej reguły włączyć opcję disable reply-to. W przeciwnym razie pakiety odpowiedzi zapory zostaną wysłane na adres MAC domyślnej bramy.
Problem
Komputer w sieci WAN powinien utworzyć połączenie (np. Ping lub VPN) z firewallem OPNsense. Jednak pomimo jego utworzenia, komunikacja nie jest możliwa.
Analiza ruchu sieciowego pod Interfaces -> Diagnostics -> Packet Capture ujawnia, że pakiety odpowiedzi firewalla nie są wysyłane z powrotem na adres MAC komputera nadawcy, lecz do bramy domyślnej. Dzieje się tak ze względu na funkcję reply-to, która jest wymagana podczas konfiguracji Multi-WAN.[1]
Rozwiązanie problemu
W przypadku konfiguracji bez funkcji Multi-WAN, opcja disable reply-to musi być uaktywniona dla odpowiednich reguł firewalla przychodzącego w Advanced Options:
W ten sposób pakiety odpowiedzi są wysyłane z powrotem na adres MAC nadawcy (a nie na adres MAC bramy domyślnej).
Odnośniki
- ↑ Ping auf WAN nicht möglich (forum.opnsense.org, 11.08.2018, j. niemiecki) Hat ein Nutzer ein Multi-WAN und Reply-To ist nicht aktiv, dann kann es sonst passieren dass eingehende Verbindungen auf dem falschen WAN Interface wieder herausgegeben werden.
Autor: Werner Fischer