Ik heb een Opnsense firewall draaien met verschillende VLANs.
Relevant voor deze vraag:
Prive VLAN 192.168.1.0/24
Server VLAN: 192.168.3.0/24
MGMT VLAN: 192.168.4.0/24
In de server VLAN staat een server (192.168.3.61) met een Adguard docker container als DNS server.
De server heeft ook een tweede (virtuele) NIC met een poot in de MGMT VLAN (voor bv de Omada container)
Door een foutieve configuratie op de server, werd het antwoord verkeer van de DNS server over de MGMT NIC gerouteerd
Ik ben er maar toevallig achter gekomen, packet capture op de firewall:
/f/image/EBFdZDpfwZuWvcvrB142DXI8.png?f=fotoalbum_large)
Hier zie je dat het antwoord terugkomt over de MGMT VLAN in plaats van over de Server VLAN door de foutieve configuratie.
Ik was verbaasd dat ik dit nooit gemerkt heb en dat het gewoon werkt! In de MGMT VLAN is er zelfs geen rule die verkeer toelaat van MGMT VLAN -> Prive VLAN.
Na wat verder na te denken en proberen te debuggen vond ik met geen enkele logging te enablen het antwoord verkeer terug in de firewall logs.
Ik heb een beetje verder nagedacht en denk dat ik het snap: de Opnsense is natuurlijk een statefull firewall. Voor de DNS query wordt de firewall rule gecheckt in de prive VLAN en een sessie gergistreerd in Opnsense. Het antwoord mag gewoon terug over de firewall.
Mijn vraag: klopt die redenering? Het enige wat ik nog een beetje vreemd vind aan die redenatie: Opnsense weet eigenlijk dat die sessie bestaat tussen een aparaat in de Prive VLAN en de Server VLAN. Het lijkt me dan dat sessies interface onafhankelijk zijn dan? Klopt dit? Ik kan er weinig over terug vinden.
Is het teruggaand verkeer van een sessie ook ergens zichtbaar te maken in de firewall rules live logging? (lijkt me niet omdat hier geen firewall rules worden gecheckt gezien het een antwoord in een sessie is). Is dit ergens anders zichtbaar?
Bedankt alvast!
Relevant voor deze vraag:
Prive VLAN 192.168.1.0/24
Server VLAN: 192.168.3.0/24
MGMT VLAN: 192.168.4.0/24
In de server VLAN staat een server (192.168.3.61) met een Adguard docker container als DNS server.
De server heeft ook een tweede (virtuele) NIC met een poot in de MGMT VLAN (voor bv de Omada container)
Door een foutieve configuratie op de server, werd het antwoord verkeer van de DNS server over de MGMT NIC gerouteerd
offtopic:
Ik heb er lang naar gezocht, maar het uitgaand adres voor iptables van de adguard container, is het bridge adres van de container. Dit moet toegevoegd worden aan de routing policy om het verkeer over de IOT nic te routeren. Hier werd de default GTW (MGMT VLAN) gebruikt
Ik heb er lang naar gezocht, maar het uitgaand adres voor iptables van de adguard container, is het bridge adres van de container. Dit moet toegevoegd worden aan de routing policy om het verkeer over de IOT nic te routeren. Hier werd de default GTW (MGMT VLAN) gebruikt
Ik ben er maar toevallig achter gekomen, packet capture op de firewall:
:fill(white):strip_exif()/f/image/EBFdZDpfwZuWvcvrB142DXI8.png?f=user_large){kind=small}
Hier zie je dat het antwoord terugkomt over de MGMT VLAN in plaats van over de Server VLAN door de foutieve configuratie.
Ik was verbaasd dat ik dit nooit gemerkt heb en dat het gewoon werkt! In de MGMT VLAN is er zelfs geen rule die verkeer toelaat van MGMT VLAN -> Prive VLAN.
Na wat verder na te denken en proberen te debuggen vond ik met geen enkele logging te enablen het antwoord verkeer terug in de firewall logs.
Ik heb een beetje verder nagedacht en denk dat ik het snap: de Opnsense is natuurlijk een statefull firewall. Voor de DNS query wordt de firewall rule gecheckt in de prive VLAN en een sessie gergistreerd in Opnsense. Het antwoord mag gewoon terug over de firewall.
Mijn vraag: klopt die redenering? Het enige wat ik nog een beetje vreemd vind aan die redenatie: Opnsense weet eigenlijk dat die sessie bestaat tussen een aparaat in de Prive VLAN en de Server VLAN. Het lijkt me dan dat sessies interface onafhankelijk zijn dan? Klopt dit? Ik kan er weinig over terug vinden.
Is het teruggaand verkeer van een sessie ook ergens zichtbaar te maken in de firewall rules live logging? (lijkt me niet omdat hier geen firewall rules worden gecheckt gezien het een antwoord in een sessie is). Is dit ergens anders zichtbaar?
Bedankt alvast!
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community)
:fill(white):strip_exif()/f/image/z4p9zO0dsiaMD3kY0zotYUiB.png?f=user_large)