basst23
Goto Top

Keine Verbindung ins Routing Netz

Hi zusammen, habe am We versucht meine "neue" Firewall in Betrieb zu nhehmen. Leider bekomme ich am LAN keine Verbindung ins Routing Netz

Hier die Physischen Verbindungen:

FritzBox (Internet) 192.168.0.1 ->
opnsense WAN: 192.168.0.2
opnsense LAN: 192.168.1.1 ->
DDWRT Router 1 ( 192.168.1.10) ->
DDWRT Router 2 (192.168.1.20)

Die DDWRT machen VLAN und die dazugehörigen DHCP

Router 1 hat 3 VLAN
Router 2 hat 1 VLAN

Alle Clients sitzen in den VLAN (managed by DDWRT)

Jetzt das Problem/Aufgabe face-smile

Die Clients kommen auf die Router und in alle Client Netze (ping funktioniert prächtig) - auch Router übergreifend.
Die DDWRT können sich auch in den Client Netzen bewegen.
Auch das Pingen von Internet (per DDWRT Diagnose) funktioniert

Problem: die Clients kommen nicht auf den Gateway (192.168.1.1) dieser ist in Router 1 als Gateway eingestellt.
Router 2 hat als Gateway den Router 1 hinterlegt.

Meine Theorie: wenn der Router 1 die opnsense als Gateway nutz brauche ich KEINE Routing Regel ins 192.168.0.0 Netz.
Ist das richtig?

Die Router können ja auch ins 0.1 Netz und Internet pingen, nur die Clients bleiben bei 1.10 / 1.20 stecken.
Komisch ist auch, im 192.168.1.0 Netz sitzen noch 3 Managed Switches. Diese kann ich alle 3 nicht direkt ansprechen (auch nicht von den Routern aus) - also vielleicht doch eine Routing Regel, aber welche, wo?

Habe mal eine Regel im Router 1 versucht - 192.168.0.0 / Gateway 192.168.1.10 Das hat aber nicht funktioniert.

Habe den gesamten Samstag mit dem Problem gekämpft, bis meine Familie den Internet ausfall nicht mehr Lustig fand :D

Hoffe ihr könnt mir den richtigen anstoß bringen face-smile

Content-ID: 91169580277

Url: https://administrator.de/forum/keine-verbindung-ins-routing-netz-91169580277.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

radiogugu
radiogugu 15.02.2024 um 19:17:08 Uhr
Goto Top
Nabend.

Zitat von @BassT23
FritzBox (Internet) 192.168.0.1 ->
opnsense WAN: 192.168.0.2
opnsense LAN: 192.168.1.1 ->
DDWRT Router 1 ( 192.168.1.10) ->
DDWRT Router 2 (192.168.1.20)

Das ist etwas verwirrend.

Was machen die beiden Router genau?

Wenn die Geräte die Opensense als Gateway haben sollen, dann solltest du die VLANs dort am besten anlegen und die Clients nur an die VLAN-fähigen Switches anschließen.

Welche Netzwerke sind denn deine vier VLANs und wie sind die DDWRT Router konfiguriert?

Skizziere mal deinen Netzwerkaufbau mit allen Komponenten.

Gruß
Marc
aqui
aqui 15.02.2024 aktualisiert um 19:36:42 Uhr
Goto Top
Routing Grundlagen gelesen und alles beachtet in deinem Netz:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Deine ToDos:
  • Auf der OPNsense die beiden DD-WRT Router unter Gateways eintragen
  • Statische Routen zu den jeweiligen DD-WRT Zielnetzen eintragen mit Gateway der o.a. IPs. ⚠️ Achtung: Das macht nur Sinn wenn die DD-WRTs kein NAT (Adress Translation) machen! (Siehe Tutorial zum Thema NAT!)
  • Bypass für lokales Interface Routing über die Firewall in den Settings aktivieren!
bypass
Damit sollte das dann problemlos laufen!
Ggf ist dieser Thread noch lesenswert zu der Thematik.
BassT23
BassT23 15.02.2024 um 22:40:27 Uhr
Goto Top
Router2 (R6400) macht eigentlich nur Smarthome und sendet Daten an die influxdb in "Monitoring"
Daher ist der Router absichtlich hinter den R7000 angehängt, damit der Traffic nicht durch die Firewall muss.
Statische Routen und Firewall Regeln für die Subnets sind daher auch direkt in den Routern eingerichtet.

WAN wird an den Routern nicht verwendet und NAT ist aus.

Die DD-WRTs in der opnsense hinterlegen, macht doch aber nur sinn, wenn ich den traffic darüber laufen lassen will, oder? Da das grundsätzlich nicht gewünscht ist, ahbe ich eben die Regeln direkt in den DDWRT gesetzt.

Die Firewall ist "nur" eine "alte" UTM 110/120. Die ist vermutlich zu Leistungsschwach um alles zu "Routen"
Daher soll sie lediglich den I-Net Traffic regeln.

Die Lektüren werde ich mir mal zu gemüte führen ;)
Vielen Dank für eure Anregungen!

Auf euch ist verlass face-smile
screenshot_20240215_223012
aqui
aqui 15.02.2024, aktualisiert am 16.02.2024 um 00:30:41 Uhr
Goto Top
Die DD-WRTs in der opnsense hinterlegen, macht doch aber nur sinn, wenn ich den traffic darüber laufen lassen will, oder? Da das grundsätzlich nicht gewünscht ist
Wie das Routing abläuft ist in erster Linie eine Frage der IP Konfiguration der Endgeräte die auf die IP Netze der DD-WRTs zugreifen sollen oder müssen.
Entscheidend ist dafür welche Default Gateway IP diese Geräte eingestellt haben. Ist dies direkt die IP der DD-WRTs, dann ist die OPNsense gar nicht mehr involviert. Logisch, denn die sprechen dann direkt die DD-WRTs an.
Anders sieht es aus wenn diese Geräte die OPNsense als Default Gateway haben!
In dem Fall geht der Traffic dann natürlich zuallererst an die OPNsense.
Diese "merkt" das die Gateways der Zielnetze (DD-WRT) im gleichen Netz liegen und schickt dann erstmal ein ICMP Redirect an diese Endgeräte indem sie denen mitteilt das diese Gateways direkt erreicht werden können und sie nicht unbedingt "Durchlauferhitzer" sein muss.
Nun ist es entscheidend ob diese Endgeräte bzw. deren lokale Firewall den IGMP Redirect zulässt.
  • Wenn geht es weiter wie oben wo die DD-WRTs direkt Gateway sind
  • Wenn nein dann bleibt die OPNsense "Durchlauferhitzer" und der Traffic rennt dann komplett über sie. Der obere "Rule Bypass" bewirkt dann das dieser Traffic nicht dann auch noch sinnfrei durch das lokale Regelwerk am gleichen Interface muss. Sollte also zwingend aktiviert sein in dem Fall.
Wenn es nicht gewünscht ist hängt es davon ab WIE du es denn konfiguriert hast. Ansonsten ist "wünschen" natürlich recht sinnfrei.
Die ist vermutlich zu Leistungsschwach um alles zu "Routen"
Nein, da hier kein PPPoE oder NAT im Spiel ist auf den lokalen Interfaces klappt sowas auch mit uralt Hardware in Wirespeed.

Leider machst du keinerlei hilfreiche Angaben wie dieses Setup bei dir aussieht und zwingst hier für einen Lösungsvorschlag zum Kristallkugeln. face-sad
Zielführender als dein Wimmelbild wäre die reine Layer 3 IP Sicht auf dein Netzwerk.
head
BassT23
BassT23 16.02.2024 um 17:02:05 Uhr
Goto Top
Vielen Dank erst nochmal für den Input ;)

Habe den Plan mal neu erstellt. Hoffentlich ist es so besser face-smile

Nochmal zurück zum eigentlichen Problem in DD-WRT #1

Ich kann vom Router aus die Firewall und Internet pingen, aber ich komme nicht von den VLAN Netzen auf die 192.168.1.1 bzw I-Net.

Wie müsste eine entsprechend passende Route aussehen? Ich vermute einfach, dass es ein Routen Problem ist, da sonst alles andere funktioniert.
Ich bin davon ausgegangen, dass der eingetragene Gateway die Route ist, aber das funktioniert nicht.
screenshot_20240216_165426
aqui
aqui 16.02.2024 aktualisiert um 19:06:10 Uhr
Goto Top
aber ich komme nicht von den VLAN Netzen auf die 192.168.1.1 bzw I-Net.
Das kann eine Regelwerk Problematik am LAN Port der Firewall sein! Leider machst du dazu ja keinerlei zielführende Angaben in deinem Thread und zwingst auch hier wieder zum Kristallkugeln! face-sad

Wenn da z.B. am 192.168.1.0er LAN Interface sowas steht...
lanrule
...und du am DD-WRT Interface kein NAT machst, dann lässt die Firewall inbound nur Traffic passieren der 192.168.1.x Absender IP Adressen (LAN_subnet) hat!!
IP Pakete aus den VLANs am DD-WRT haben aber natürlich ganz andere Absender IP Adressen nämlich die dieser VLAN IP Netze. Wenn die auf dem Routing Pfad dann das 192.168.1er Firewall Interface passieren (was ja unausweichlich ist) dann ist aus weil die Regel diese IP Absenderadressen logischerweise nicht passieren lässt! (Das Firewall Log ist hier immer dein Freund!)

Also zuallerst einmal dein Regelwerk nach solchen PEBKAC Fehlern checken! 🧐
Wie müsste eine entsprechend passende Route aussehen?
Auf dem DD-WRT oder was meinst du??
Die DD-WRTs haben lediglich eine simple, popelige Default Route auf die Firewall. Da muss ja alles hin was nicht lokal ist.
Die statischen Routen auf der Firewall für die DD-WRT Netze sind dir ja oben schon mehrfach und auch grafisch erklärt worden!
BassT23
BassT23 16.02.2024 um 19:16:40 Uhr
Goto Top
Sorry, dass ich dir nicht die richtigen infos gebe, liegt daran, das ich kein 'Netzwerk pro bin?
Stell mir doch fragen, und ich versuche dir sie so gut es geht zu beantworten ;)

In der firewall habe ich erstmal alles erlaubt.
selbst "deaktivieren" der firewall bringt keine veränderung.

werde die tage versuchen deinen lösungsansatz umzusetzen face-smile

Vielen Dank face-smile
aqui
aqui 16.02.2024 aktualisiert um 19:37:19 Uhr
Goto Top
Einen groben Routing Kardinalsfehler hat der hintere DD-WRT!
Dort hast du ein falsches Default Gateway konfiguriert! Dort muss natürlich auch die .1.1 der Firewall eingetragen werden wie beim ersten DD-WRT! Die .1.10 ist vermutlich der erste DD-WRT und das wäre L3 designtechnisch falsch! Ist übrigens alles in der oberen Grafik mit den Route Infos auch angegeben. face-sad

Schicke mal Screenshots der Routing Einstellung auf den DD-WRTs oder ein ip a von der DD-WRT Konsole (SSH, Telnet) was dann die Routing Tabelle anzeigt.
Ebenso ein Screenshot des Routing Setups der Firewall wäre hilfreich.
Und wenn du dann noch an korrekte Rechtschreibung (Groß- Klein) denkst kann das Wochenende kommen! face-wink
BassT23
BassT23 16.02.2024 um 19:37:16 Uhr
Goto Top
:D

Bin nebenher noch am Spielen ;)
Mit Groß- Kleinschreibung hab ichs nicht so face-smile

Wie gesagt, in der Firewall sind noch keine Routings hinterlegt.
Für mein Verständnis müsste ich auch ohne Routing Regeln bis zur Wall kommen.

Ich habe ziemlich viel versucht, aber aktuell wieder das setup ohne Firewall am laufen, da sonst meine Fam kein I-Net hätte face-smile
screenshot_20240216_193513
aqui
aqui 16.02.2024 aktualisiert um 19:47:28 Uhr
Goto Top
Das Routing und der Mode ist falsch! face-sad
Mode "Gateway" bedeutet du machst NAT (Adress Translation)! Damit ist dein Routing so oder so eine Einbahnstrasse und du kannst NICHT transparent mit allen Netzen routen! Siehe hier:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Lesen und verstehen! 😉

Wie gesagt, der hintere DD-WRT hat zudem noch ein falsches Gateway!
Wenn du dir nicht sicher bist warum lässt du die DD-WRT sich nicht ihre IP per DHCP von der Firewall ziehen (DHCP Client am Interface)!!
Damit bekommen sie immer automatisch ihr korrektes Gateway und DNS Server OHNE das du etwas konfigurieren musst und das immer richtig!!
Für einen Netzwerk Anfänger wie dich ist das doch die deutlich einfachere und sicherere Option!
Die IP Adressen der DD-WRTs legst du entsprechend fest in der Mac Reservierung des DHCP das die immer feste IPs bekommen und so die Routen auf der Firewall nicht ins Leere laufen können.

Ändere das so, setze den Mode auf "Router", dann lösen sich auch alle deine Probleme im Handumdrehen.
aqui
aqui 25.02.2024 um 12:51:11 Uhr
Goto Top
BassT23
BassT23 25.02.2024 um 15:23:36 Uhr
Goto Top
Noch habe ich es nicht gelöst, aber wenn, dann setzen ich es ;)
aqui
aqui 05.03.2024 um 18:00:27 Uhr
Goto Top
Jetzt gelöst?! 🤔
BassT23
BassT23 05.03.2024 um 18:22:55 Uhr
Goto Top
habe am we mal pfsense auf die box gebügelt, aber konnte noch nicht final testen. Der Tab bleibt aber bis zu letzt auf ;)
aqui
aqui 05.03.2024 um 19:01:43 Uhr
Goto Top
Es bleibt also spannend...! 😉
BassT23
BassT23 09.03.2024 um 14:04:29 Uhr
Goto Top
Hi zusammen,
bin gerade wieder mal dabei die Firewall zum laufen zu bekommen.

Das Problem:
Internet Gateway ist aus den VLANs nicht pingbar.

Status:
- pfSense läuft jetzt auf der UTM.
- die beiden Router hinter pfSense können überall hin pingen. Internet und VLANs erreichbar.
- im VLAN1 (192.168.1.x) ist alles gut - alles erreichbar.

Das Problem sind alle anderen VLANs.
Pingen innerhalb der VLANs und auch von VLANx zu VLANy funktioniert alles, aber ich kann aus VLANx (ausser VLAN1) nicht den Internet Gateway (192.168.1.1) erreichen
Meine Schlussfolgerung: Fehler in der DDWRT config. Aber ohne Firewall hat es doch funktioniert???
Wo ist da der Fehler versteckt? Wieso erreichen die VLANs den default Gateway nicht?

Hier noch die Routingtabelle aus dem DDWRT:

Ziel-LAN-Netz Gateway Tabelle Bereich Metrik IF Ursprung
default 192.168.1.1 default 0 LAN & WLAN
127.0.0.0/8 default link 0 lo
192.168.1.0/24 default link 0 LAN & WLAN 192.168.1.10
192.168.3.0/24 default link 0 br5 - Proxmox-Nodes 192.168.3.1
192.168.10.0/24 default link 0 br1 - Service 192.168.10.1
192.168.20.0/24 192.168.1.20 default 0 LAN & WLAN
192.168.30.0/24 default link 0 br3 - Normal-Lan 192.168.30.1
192.168.40.0/24 default link 0 br4 - Gast-Netz 192.168.40.1

Grüße
aqui
aqui 09.03.2024 aktualisiert um 14:19:08 Uhr
Goto Top
Internet Gateway ist aus den VLANs nicht pingbar.
Das entsprechende Tutorial dazu hast du genau und gewissenhaft durchgelesen und umgesetzt?! 🧐
Bedenke das die VLAN IP Interfaces in der pfSense Firewall eine entsprechende Firewall Regel benötigen. Bei einer Firewall ist Traffic auf allen Interfaces generell verboten und geblockt sofern keine Regel angelegt ist!! Siehe auch Tutorial! Bei dir aber vermutlich obsolet denn wenn die o.a. Zeichnung noch gilt hast du ja keine VLANs auf der Firewall selber sondern lediglich auf den OpenWRTs, richtig?
Die OpenWRTs haben lediglich eine Default Route auf die 192.168.1.1 und NAT, Masquerading muss am Koppelport zur Firewall deaktiviert sein sofern du transparent routen willst.
Transparentes Routing ohne NAT Masquerading erfordert dann auch statische Routen in die jeweiligen VLAN IP Netze auf der Firewall. Gateway IPs sind dann die OpenWRT Adressen im .1.0er Netz.
Machst du NAT, Masquerading auf den OpenWRTs benötigst du kein Routing an der FW. (Siehe dazu auch Routing Tutorial Thema "ICS/NAT".)
Bei durch Router abgesetzte lokale IP Netze achte auf diese Problematik!
BassT23
BassT23 09.03.2024 um 14:15:47 Uhr
Goto Top
werde mich jetzt an der Tuts setzen face-smile
Habe eine Globale "allow all" Regel gesetzt. komme ja aber gar nicht erst bis an die FW ;)
Angeschlossen ist auch erstmal alles nur am LAN Port. Aufteilung an DMZ und HA erfolgt später.
aqui
aqui 09.03.2024 aktualisiert um 14:24:48 Uhr
Goto Top
komme ja aber gar nicht erst bis an die FW ;)
Woher weisst du das?? 🤔 Hast du am Firewall LAN Port einmal mit der "Paket Capture" Funktion (Diagnostics) nachgesehen ob dort wirklich keine IP Pakete aus den OpenWRT IP Netzen ankommen??
Sollte das wirklich der Fall sein hast du schon ein ganz grundsätzliches Problem das die OpenWRT Koppelports schon gar nicht im Layer 2 mit der Firewall (LAN) verbunden sind. face-sad

Ganz wichtig ist auch das du in den Firewall Advanced Settings unter "Firewall&NAT" folgenden Haken setzt:
bypass
BassT23
BassT23 09.03.2024 um 14:23:11 Uhr
Goto Top
VLANs sind aktuell nur auf den Routern konfiguriert - richtig.
NAT auf den DD-WRT ist aus, da mittlerweile auf "Router" gesetzt.
BassT23
BassT23 09.03.2024 um 14:27:15 Uhr
Goto Top
Du hast recht, da kommt was an ;)

OK, dann kann ich "nur" den FW LAN Port nicht pingen. Demnach liegt das "Problem" doch eher an der FW, und nicht am DDWRT setup.
aqui
aqui 09.03.2024 aktualisiert um 14:28:54 Uhr
Goto Top
Das ist soweit korrekt! 👍
Checke die o.a. Bypass Regel und checke insbesondere mit dem Firewall Ping Tool unter "Diagnostics" im .1.0er Netz das du die OpenWRT Interfaces pingen kannst in dem .1.0er Netz!
⚠️ Das Source Interface dabei auf die LAN Interface Adresse setzen!!
Sollte der Ping schon nicht klappen hast du ein grundsätzliches Layer 2 Problem!
aqui
Lösung aqui 09.03.2024 aktualisiert um 14:33:30 Uhr
Goto Top
Das ist soweit korrekt! 👍
Checke die o.a. Bypass Regel und checke insbesondere mit dem Firewall Ping Tool unter "Diagnostics" im .1.0er Netz das du die OpenWRT Interfaces pingen kannst in dem .1.0er Netz!
⚠️ Das Source Interface dabei auf die LAN Interface Adresse setzen!!
Sollte der Ping schon nicht klappen hast du ein grundsätzliches Layer 2 Problem!

Demnach liegt das "Problem" doch eher an der FW, und nicht am DDWRT setup.
Davon ist dann auszugehen. Die üblichen möglichen Fehler:
  • Bypass Rule nicht gesetzt
  • Fehlende statische Routen auf der Firewall in die OpenWRT Netze
  • Fehler im Regelwerk am LAN Port
  • Ggf. auf die NAT Problematik bei abgesetzten IP Netzen achten!
Da man dein genaues Setup aber wegen fehlender Screenshots nicht kennt kann man hier erstmal nur Kristallkugeln?!
BassT23
BassT23 09.03.2024 um 14:39:47 Uhr
Goto Top
Bin gerade dabei deine Fehler Tabelle abzuarbeiten ;) - Vielen Dank für die Hilfestellungen!

Da ich nicht genau weis, welche Infos für die Fehlersuche von Nöten sind, fällt es mir schwer dir da Input zu geben ;)
Bei mehr Infos, gebe ich dir sehr gerne was du brauchst face-smile
aqui
aqui 09.03.2024 aktualisiert um 14:41:57 Uhr
Goto Top
Du siehst ja die 4 geratenen Punkte...und den Ping Check über die "Diagnostics". face-wink
BassT23
BassT23 09.03.2024 um 14:52:45 Uhr
Goto Top
BÄM

Tatsächlich lag das Problem an den fehlenden Routen in der Firewall *shame*

Jetzt beim drüber hirnen logisch. Der Traffic könnte raus, aber die Antwort weis nicht wohin damit, ...

Vielen Dank. Damit sollte das "Haupt Problem" behoben sein und ich kann endlich mal anfacngen die kleine Kiste einzustellen face-smile
aqui
aqui 09.03.2024 aktualisiert um 15:28:15 Uhr
Goto Top
Tatsächlich lag das Problem an den fehlenden Routen in der Firewall *shame*
Glückwunsch! 👏 Und tröste dich, wird (leider) oft im Eifer des Gefechts übersehen... Traceroute ist bekanntlich dann immer dein bester Freund. Übrigens auch unter den "Diagnostics" zu finden! 😉
und ich kann endlich mal anfacngen die kleine Kiste einzustellen
Dann mal los und viel Erfolg!