117471
Aug 10, 2016, updated at 15:20:48 (UTC)
2734
15
0
OpenSense schickt alles ans Gateway
Hallo,
ich habe eine OpenSense per WAN an einem Gateway hängen (logisch).
Wenn ich von extern über das Gateway komme, kann ich fehlerfrei auf die Dienste der OpenSense zurückgreifen.
Wenn ich aus dem gleichen Subnetz komme, in dem die WAN-IP der OpenSense (und das Gateway) liegen, dann komme ich nicht auf die Dienste.
Eine Analyse per Wireshark ergibt, dass die OpenSense in dem Fall die Antworten immer an das Default-Gateway schickt. "Eigentlich" müssten aber nur die Datenpakete zum Gateway gesendet werden, die in einem Netz außerhalb des WAN-Netzes liegen...
Die Netzwerkmasken habe ich gefühlte 100 Mal überprüft.
seufz!
Gruß,
Jörg
ich habe eine OpenSense per WAN an einem Gateway hängen (logisch).
Wenn ich von extern über das Gateway komme, kann ich fehlerfrei auf die Dienste der OpenSense zurückgreifen.
Wenn ich aus dem gleichen Subnetz komme, in dem die WAN-IP der OpenSense (und das Gateway) liegen, dann komme ich nicht auf die Dienste.
Eine Analyse per Wireshark ergibt, dass die OpenSense in dem Fall die Antworten immer an das Default-Gateway schickt. "Eigentlich" müssten aber nur die Datenpakete zum Gateway gesendet werden, die in einem Netz außerhalb des WAN-Netzes liegen...
Die Netzwerkmasken habe ich gefühlte 100 Mal überprüft.
seufz!
Gruß,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 312264
Url: https://administrator.de/contentid/312264
Printed on: April 24, 2024 at 02:04 o'clock
15 Comments
Latest comment
Wenn ich aus dem gleichen Subnetz komme, in dem die WAN-IP der OpenSense (und das Gateway) liegen, dann komme ich nicht auf die Dienste.
Ist die Frage oder Feststellung ernst gemeint ?? Wohl hoffentlich nicht... ??!Sorry, aber da ist der WAN / Internet Port der FW. Logisch das der Zugriff dort auf die WAN IP der FW zum managen generell verboten ist bei einer Firewall.
Eine Binsenweissheit die jeder IT Azubi kennt....
Das geht logischerweise nur wenn du TCP 80 und oder TCP 443 mit einer Regel:
PASS, Source: WAN_network, Port: Any --> Destination: WAN_ipaddress, Port TCP 80 und 443
am WAN Port zulässt !!
Alternativ kannst du den Haken in den General Settings am WAN Port Block RFC 1918 IP Adresses auch entfernen.
Du arbeitest mit einer Firewall vergiss das nicht !
Hallo,
ja, das meine ich Ernst.
Wie gesagt - es betrifft alle Dienste. Die OpenSense ist aus dem WAN-Subnetz nicht erreichbar. Es handelt sich übrigens um ein öffentliches Testnetz mit echten öffentlichen IP-Adressen (Class C).
D.h., wenn ich z.B. eine statische Telekom-IP habe, kommen andere Telekom-Kunden (die eine IP aus dem gleichen Telekom-Netz haben) nicht ins VPN (...oder einen freigegebenen Port usw.). Anpingen usw. geht nicht.
Die OpenSense reagiert dahingehend, dass sie den Traffic grundsätzlich akzeptiert, die Antwortpakete aber zum Default-Gateway statt zu der IP im WAN-Netz schickt. Das hat mal gar nichts mit Firewallregeln zu tun...
Die Firewall blockt das laut LOG natürlich nicht, ich habe aber auch mal testweise Accept-Regeln erstellt.
Bei der pfSense, beim IPCop, bei Vyos, bei der IPFire, bei LANCOM, bei DD-WRT usw. funktioniert es im gleichen Netz mit genau den gleichen IP-Adressen...
Achja - wenn ich von der OpenSense aus trace, redet die fehlerfrei mit den Hosts. Daraus schließe ich, dass, wenn ein Paket aus dem WAN-Netz kommt, diejenige Information im Paket verschwindet, welche den Empfänger für die Antwortpakete beinhaltet. Oder sie wird nicht interpretiert...?!?
Gruß,
Jörg
ja, das meine ich Ernst.
Wie gesagt - es betrifft alle Dienste. Die OpenSense ist aus dem WAN-Subnetz nicht erreichbar. Es handelt sich übrigens um ein öffentliches Testnetz mit echten öffentlichen IP-Adressen (Class C).
D.h., wenn ich z.B. eine statische Telekom-IP habe, kommen andere Telekom-Kunden (die eine IP aus dem gleichen Telekom-Netz haben) nicht ins VPN (...oder einen freigegebenen Port usw.). Anpingen usw. geht nicht.
Die OpenSense reagiert dahingehend, dass sie den Traffic grundsätzlich akzeptiert, die Antwortpakete aber zum Default-Gateway statt zu der IP im WAN-Netz schickt. Das hat mal gar nichts mit Firewallregeln zu tun...
Die Firewall blockt das laut LOG natürlich nicht, ich habe aber auch mal testweise Accept-Regeln erstellt.
Bei der pfSense, beim IPCop, bei Vyos, bei der IPFire, bei LANCOM, bei DD-WRT usw. funktioniert es im gleichen Netz mit genau den gleichen IP-Adressen...
Achja - wenn ich von der OpenSense aus trace, redet die fehlerfrei mit den Hosts. Daraus schließe ich, dass, wenn ein Paket aus dem WAN-Netz kommt, diejenige Information im Paket verschwindet, welche den Empfänger für die Antwortpakete beinhaltet. Oder sie wird nicht interpretiert...?!?
Gruß,
Jörg
Guten Abend Jörg,
Gruß,
Dani
D.h., wenn ich z.B. eine statische Telekom-IP habe, kommen andere Telekom-Kunden (die eine IP aus dem gleichen Telekom-Netz haben) nicht ins VPN (...oder einen freigegebenen Port usw.). Anpingen usw. geht nicht.
Wenn du eine Port-Forwarding Regel für einen Dienst einrichtest oder VPN auf der Box selbst, kann selbstverständlich jeder Host zugreifen, auf den die Regel matched. Die Firewall blockt das laut LOG natürlich nicht, ich habe aber auch mal testweise Accept-Regeln erstellt.
Wie sieht die aus? Gruß,
Dani
Hallo,
wie gesagt - die Datenpakete passieren und werden gar nicht erst geloggt.
Wenn ich die mal spaßeshalber blocke, werden sie zurückgewiesen was ich auch in den LOGs sehe. Die Pakete kommen also an.
Es werden halt nur grundsätzlich alle Antworten zum Gateway geschickt, wobei dieOpenSense offenbar davon ausgeht, alles richtig zu machen.
Es sotte aber meinem Verständnis nach nur der Traffic zum Gateway gehen, der außerhalb des WAN-Subnetzes liegt...?!? Die Geräte hängen übrigens alle am gleichen Switch ohne VLANs und ähnliche Sperenzchen...
Gruß,
Jörg
wie gesagt - die Datenpakete passieren und werden gar nicht erst geloggt.
Wenn ich die mal spaßeshalber blocke, werden sie zurückgewiesen was ich auch in den LOGs sehe. Die Pakete kommen also an.
Es werden halt nur grundsätzlich alle Antworten zum Gateway geschickt, wobei dieOpenSense offenbar davon ausgeht, alles richtig zu machen.
Es sotte aber meinem Verständnis nach nur der Traffic zum Gateway gehen, der außerhalb des WAN-Subnetzes liegt...?!? Die Geräte hängen übrigens alle am gleichen Switch ohne VLANs und ähnliche Sperenzchen...
Gruß,
Jörg
OpenSense reagiert dahingehend, dass sie den Traffic grundsätzlich akzeptiert, die Antwortpakete aber zum Default-Gateway statt zu der IP im WAN-Netz schickt. Das hat mal gar nichts mit Firewallregeln zu tun...
Das zeigt dann aber ganz klar das der Fehler bei dir liegt und du das Routing bzw NAT falsch konfiguriert hast !Endgeräte im WAN Netz können ja nur IPs ans Default Gateway schicken wenn die Absender IP nicht lokal ist.
Das würde dann zeigen das du kein NAT machst am WAN Port sondern transparent routest. Da das Default Gateway dann vermutlich auf den davor kaskadierten Internet Router zeigt ist es logisch das das dann dahingeht.
Ohne NAT wäre hier eine zwingende statische Route dann erforderlich.
Fragt sich warum du nicht ganz einfach mal den Wireshark auf dem WAN Segment Endgerät benutzt um dir mal diese Pakete anzusehen ??
Da kannst du dann doch sofort sehen wie die Adressierung ist und was genau da falsch läuft.
Hätte dann vermutlich den Thread hier überflüssig gemacht....?!
Das die Opensense aus dem WAN Netz nicht erreichbar ist ohne FW Regel ist doch auch klar. Du musst den Zugriff auf die WAN IP mit TCP 80 und 443 erlauben.. Deshalb die Frage ob das Ernst gemeint war...
Fazit: Wireshark ist wie immer dein Freund !
Hallo,
wie gesagt - wir haben den Fehler bereits (wie von Dir vorgeschlagen) mit Wireshark eindeutig auf die OpenSense eingegrenzt. In meinem ersten Beitrag habe ich das Wort "WireShark" nicht ohne Grund verwendet.
Es handelt sich hier tatsächlich um einen Bug, der auch schon im OpenSense-Forum bei mehreren Benutzern aufgeplöppt ist und von den Entwicklern bestätigt wurde: hier klicken
Mal gucken, wie lange die brauchen
Ich habe hier auch deshalb gefragt, weil ich wissen wollte, ob hier eventuell schon mal jemand mit dem Bug konfrontiert wurde und einen Workaround ausgearbeitet hat.
Gruß,
Jörg (etwas enttäuscht darüber, wenn davon ausgegangen wird, dass die Computer intelligenter als Menschen sind)
wie gesagt - wir haben den Fehler bereits (wie von Dir vorgeschlagen) mit Wireshark eindeutig auf die OpenSense eingegrenzt. In meinem ersten Beitrag habe ich das Wort "WireShark" nicht ohne Grund verwendet.
Es handelt sich hier tatsächlich um einen Bug, der auch schon im OpenSense-Forum bei mehreren Benutzern aufgeplöppt ist und von den Entwicklern bestätigt wurde: hier klicken
Mal gucken, wie lange die brauchen
Ich habe hier auch deshalb gefragt, weil ich wissen wollte, ob hier eventuell schon mal jemand mit dem Bug konfrontiert wurde und einen Workaround ausgearbeitet hat.
Gruß,
Jörg (etwas enttäuscht darüber, wenn davon ausgegangen wird, dass die Computer intelligenter als Menschen sind)
Kann man nur als Fazit festhalten: Mit pfSense wär das nicht passiert...
Besser mal warten erstmal bis OpenSense aus der Entwicklungsphase ist....
Besser mal warten erstmal bis OpenSense aus der Entwicklungsphase ist....
Hallo,
da hast Du Recht. Aber da die pfSense für uns nun mal keine Alternative ist, kann man sich ja durchaus mal frühzeitig mit Alternativen beschäftigen :--))
Gruß,
Jörg
da hast Du Recht. Aber da die pfSense für uns nun mal keine Alternative ist, kann man sich ja durchaus mal frühzeitig mit Alternativen beschäftigen :--))
Gruß,
Jörg
Gibt es einen sinnvollen und triftigen Grund warum es keine Alternative ist ??
Hallo,
ich würde hier gerne beim Thema bleiben.
Vielleicht findet sich ja doch noch eine Möglichkeit, die OpenSense aus dem WAN Netz anzusprechen.
Gruß,
Jörg
ich würde hier gerne beim Thema bleiben.
Vielleicht findet sich ja doch noch eine Möglichkeit, die OpenSense aus dem WAN Netz anzusprechen.
Gruß,
Jörg
Wie denn wenn es ein bekannter Bug in der Firmware ist ?? Dann muss du ja immer mit dieser Fehlfunktion im Nacken leben....das kann ja nichts werden.
Normal logisch betrachtet musst du in den WAN Port FW Regeln nur den Zugriff von TCP 80 und 443 von WAN_network auf die WAN IP zulassen und ggf. RFC 1918 Netze wenn nicht schon geschehen.
Das reicht dann vollkommen um die FW aus dem WAN Segment zugreifbar zu machen. Sagt einem ja auch schon der normale Firewall Verstand.
Nur was nützt dir das wenn die OpenSense Firmware einen Bug hat...??
Na ja letztlich deine Entscheidung...?!
Normal logisch betrachtet musst du in den WAN Port FW Regeln nur den Zugriff von TCP 80 und 443 von WAN_network auf die WAN IP zulassen und ggf. RFC 1918 Netze wenn nicht schon geschehen.
Das reicht dann vollkommen um die FW aus dem WAN Segment zugreifbar zu machen. Sagt einem ja auch schon der normale Firewall Verstand.
Nur was nützt dir das wenn die OpenSense Firmware einen Bug hat...??
Na ja letztlich deine Entscheidung...?!
Hallo,
unterscheide Firmware <-> Software. Eine Lösung ist somit zumindest theoretisch möglich.
Ich finde, das geht hier gerade alleine schon vom Umgangston am Thema vorbei.
Ich möchte an dieser Stelle über dieses Problem und Möglichkeiten zur Abhilfe / Umgehung sprechen. Emotionen sind bitte woanders abzuladen...
Gruß,
Jörg
unterscheide Firmware <-> Software. Eine Lösung ist somit zumindest theoretisch möglich.
Ich finde, das geht hier gerade alleine schon vom Umgangston am Thema vorbei.
Ich möchte an dieser Stelle über dieses Problem und Möglichkeiten zur Abhilfe / Umgehung sprechen. Emotionen sind bitte woanders abzuladen...
Gruß,
Jörg
unterscheide Firmware <-> Software.
Bahnhof ??Die Firmware ist die Betriebssoftware...in so fern ist es vollkommen "Latte" wie man das Kind nennt
Ich möchte an dieser Stelle über dieses Problem und Möglichkeiten zur Abhilfe
Das war auch die grundlegende Intention der Antwort die einfach nur mal die nackten Fakten zusammengetragen hat und transparent gemacht hat.Du weisst das du am Auto einem Motorschaden hast und fragst wie man damit pannenfrei in den Urlaub nach Südfrankreich kommt.
Da gibt es ja nun mal nicht allzuvile Optionen, oder ?
Bahnhof ??
Eine Firmware tauscht man nicht mal so eben aus: https://de.wikipedia.org/wiki/Firmware
IPCop, OpenSense, pfSense, IPFire usw. sind letztendlich jederzeit austauschbare Betriebssysteme...
Das war auch die grundlegende Intention der Antwort die einfach nur mal die nackten Fakten zusammengetragen hat
Nein. Z.B. hast Du ignoriert, dass der Fehler bereits mit Wireshark eingegrenzt wurde und irgendetwas von Firewallregeln und Portfreigaben geschrieben. Letztendlich bist Du fälschlicherweise von einem Konfigurationsfehler ausgegangen. Und das vermutlich sogar, ohne nachzusehen, ob es grundsätzlich funktioniert oder ein Bug ist...
Du weisst das du am Auto einem Motorschaden hast und fragst wie man damit pannenfrei in den Urlaub nach Südfrankreich kommt.
Hachja, ein Autovergleich *seufz*
Ich weiß, dass an Mautstelle X ein Zollbeamter arbeitet, der mich mangels Fachwissen nicht mit meinem Dachgepäckträger durchlässt (obwohl dieser sämtlichen gesetzlichen Bestimmungen in Deutschland und Frankreich entspricht).
Also erkundige ich mich bei anderen Frankreichreisenden, wie sie mit ihrem Dachgepäckträger in die Bretagne gekommen sind. Es kann ja z.B. sein, dass jemand einen anderen Grenzübergang oder die Urlaubsplanung von der Flachpfeife kennt.
Gruß,
Jörg
Nachtrag: Das französische Innenministerium ist bereits in Kenntnis gesetzt, hat aber bis dato noch nicht auf die zahlreichen Beschwerden reagiert. Wenn die 's nicht gebacken bekommen, schleppe ich mein Urlaubsbudget halt nach Italien...
Eine Firmware tauscht man nicht mal so eben aus:
Jetzt wirst du aber pedantisch. Bei der pfSense oder sorry... OpenSense ist das ja in 3 Minuten getauscht indem man neu flasht.IPCop, OpenSense, pfSense, IPFire usw. sind letztendlich jederzeit austauschbare Betriebssysteme...
Absolut richtig !Und das vermutlich sogar, ohne nachzusehen, ob es grundsätzlich funktioniert oder ein Bug ist...
Da hast du absolut recht was OpenSense anbetrifft.Ich bin von einem pfSense ausgegangen und habe das hier natürlich vorab in einem Lab Setup wasserdicht getestet bevor man auf die Tonne haut und da rennt es völlig fehlerfrei und wie erwartet und wie es soll.
Bin dann davon ausgegangen das solcherlei simple Basics wenigstens auch in Opensense sicher funktionieren sollten und Grundfunktionen nicht buggy sind. Aber du siehst selber wie man sich da mal täuschen kann...
Also erkundige ich mich bei anderen Frankreichreisenden, wie sie mit ihrem Dachgepäckträger in die Bretagne gekommen sind.
Richtige Vorgehensweise, keine Frage. Aber es bleibt der grundlegende, latente Motorschaden (Bug) bei dir der den Ausflug in die Bretagne zu einem Lotteriespiel macht.Da wird auch Italien (was ich auch preferieren würde) als Alternativziel leider nichts dran ändern...
