mylord
Goto Top

Netzwerk-Probleme debuggen

Hallo Zusammen,

bevor ich in die Details gehe: Wie kann ich Netzwerk-Probleme beseitigen? Unter Netzwerk-Problemen meine ich z.B. Routing und Firewalls.

Um was gehts konkret? Ich habe aktuell in meinem Netzwerk ein OpnSense Router, der das Multi-WAN händelt und auch für die Firewall und das VPN in andere Netze zuständig ist. Hinter dem OpnSense Router ist ein UniFi Cloud Gateway Ultra. Und aktueller Zustand ist, dass ich ein Doppeltes NAT habe. Dementsprechend kann ich auf der OpnSense Kiste den Traffic aus verschiedenen Netzen nicht unterscheiden und anders behandeln.

Unifi bietet seit dem neusten RC-Update die Möglichkeit an, NAT auszuschalten und direkt zu routen. Allerdings funktioniert irgendetwas nicht. Traceroute ins Internet geht nicht und wird ab dem OpnSense Router geblockt. Doch wo ran liegt es?

Stimmt etwas mit dem Routing nicht, da ich an irgendetwas nicht gedacht oder etwas falsch eingestellt habe? Es ist ja nicht nur ein Router involviert, sondern zwei Router. Ein weiteres "Problem" ist auch die Firewall bei beiden Routern und die Regeln die z.B. den Traffic über eine bestimmte Gateway Gruppe gehen lassen. Eine Unterschiedliche Behandlung von Protokollen (ICMP und TCP/UDP) macht die Angelegenheit noch komplizierter.

Wie geht man so etwas an? Wie debuggt man so etwas?

Content-ID: 73158961963

Url: https://administrator.de/contentid/73158961963

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

Visucius
Visucius 25.07.2024 aktualisiert um 14:19:51 Uhr
Goto Top
Wofür das Unifi Cloud Gateway? Schmeiß das doch raus?

PS: Der Controller läuft auch in Docker.
aqui
aqui 25.07.2024 aktualisiert um 17:34:11 Uhr
Goto Top
Wie geht man so etwas an? Wie debuggt man so etwas?
Wie immer mit dem Paket Capture den die OPNsense unter "Diagnostics" idealerweise gleich an Bord hat! face-wink
und wird ab dem OpnSense Router geblockt. Doch wo ran liegt es?
Entweder die statischen Routen für die Subnetze hinter der OPNsense vergessen oder was auch wahrscheinlich ist das du vergessen hast diese Netze an der Unify gerouteten Netze in der OPNsense dann auch für das NAT freizuschalten.
Die in dem Falle ohne NAT gerouteten IP Netze an der Unify Gurke sind per Default nicht im Outbound NAT der OPNsense enthalten! Deswegen klappt der Internet-Zugriff nicht, weil die Firewall diese Netze dann nicht per NAT sondern direkt ins Internet routet wo sie als unroutebare RFC1918 IPs dann sofort gelöscht werden.
Siehe die einfache Lösung in diesem Thread:
Routing Problem OPNsense

Einfache Grundlagen zu gerouteten IP Netzen auch HIER.