OPNSense Webinterface nicht erreichbar

Marcus_Sonntag · 7. Mai 2024

Hallo Zusammen,

habe schon wieder Problem mit dem G11 Root-Server.

Folgendes Setup:

OPNSense 24.1

Root-Server-G11 -- NIC1 mit öffentlicher IP -- NIC2 mit statischer Privater IP im CloudVLAN

NIC1 ist das WAN Interface und NIC2 das LAN Interface in OPNSense.

Wenn ich auf das LAN Interface zugreifen will (Webinterface zum einstellen) lädt und lädt die Seite und nix passiert. Irgendwann kommt ein Timeout.

Es ist nicht möglich über das CloudVLAN (NIC2) auf das Webinterface zuzugreifen.

Ping an die IP der NIC2 funktioniert tadellos.

Wenn ich das selbe System mit dem selben CloudVLAN und der komplett identischen Konfiguration auf einem G9 installiere, dann klappt der Zugriff auf das Webinterface auf anhieb.

Hat zufällig Irgendjemand eine Ahnung an was dies liegen könnte?

Danke

frank_m · 7. Mai 2024

Vielleicht die Routen? Wie sieht die gesamte Netzwerkkonfiguration aus auf dem OPNSense System? Von welcher Quell-IP greifst du zu?

Marcus_Sonntag · 8. Mai 2024

Hallo,

bei den Routen sehe ich weniger das Problem. Ich installiere das System und konfiguriere die NICs. Mehr muss ich im ersten Moment nicht machen.

Danach funktioniert es bei einem G9 aber G11 nicht.

Also in dem CloudVLAN hängen 5 Systeme. Das Netzwerk ist folgendes 10.10.18.0/29.

Die OPNSense bekommet die 10.10.18.5.

Egal von welche Adresse 10.10.18.1-4 ich es im Browser versuche ich komme nicht drauf wenn das System auf einem G11 installiert ist..

Installiere ich das System auf einem G9 mit der selben IP und geht es.

Wie schon beschrieben Ping im Subnet geht super aber sämtlicher andere Datenverkehr nicht. Und das nur bei dem G11.

Valkyrie · 8. Mai 2024

Sind die NICs gegebenenfalls anders benannt? Lauscht der Webconfigurator wirklich auf dem LAN Interface?

Vielleicht mal ein Webconfigurator Restart machen oder auf Default zurücksetzen und/oder die Interface Assignments neu setzen.

Ich hatte vor einer Weile eine OPNsense als VPN Server auf einem RS Cyber Quack aufgesetzt, der effektiv auch ein G11 ist (wenn ich mich richtig erinnere).

Zwischendurch kam ich mir echt doof vor, weil ich auch nicht an die Weboberfläche rangekommen bin, aber ich dachte ich hätte nur selber irgendeine Logik nicht gerafft. Letztenendes hatte ich eigentlich nur das oben geschriebene gemacht. Bei mir war zusätzlich aber noch eine pfSense im selben Netz und ich musste die Assignments paar mal durchgehen, da er mit dem Standardgateway nicht ganz zurecht gekommen ist.

EDIT: Kannst du per nmap oder ähnlichen mal scannen, ob überhaupt irgendein Port offen ist? Per Ping kommst du ja ran, jetzt fehlen theoretisch nur die Services.

frank_m · 8. Mai 2024

Zeig mal mit tcpdump den resultierenden Traffic auf den Systemen (auf allen Interfaces), um exakt nachzuvollziehen, was die clients auf die Reise schicken (und wohin), was beim Server ankommt, was dieser Server als Antwort auf die Reise schickt (und wohin) und was davon beim Client wieder ankommt.

Marcus_Sonntag · 8. Mai 2024

Zitat

Sind die NICs gegebenenfalls anders benannt?

Passt auch mehrmals geprüft aus Verzweiflung

Zitat

Lauscht der Webconfigurator wirklich auf dem LAN Interface?

Lighttpd lauscht auf 443 und 80

Zitat

Vielleicht mal ein Webconfigurator Restart machen oder auf Default zurücksetzen und/oder die Interface Assignments neu setzen.

Auch leider mehrmals probiert. Fragt er ja nach den Assignment nach.

Zitat

Kannst du per nmap oder ähnlichen mal scannen, ob überhaupt irgendein Port offen ist? Per Ping kommst du ja ran, jetzt fehlen theoretisch nur die Services.

Lege die Ausgabe mal hier rein. Ports sind offen. Services wollen nicht bzw. Timeout Probleme. Komme auch nicht per SSH drauf. Auch Timeout nicht refused.

HTML

Starting Nmap 7.95 ( https://nmap.org ) at 2024-05-08 11:45 Mitteleuropäische Sommerzeit
NSE: Loaded 157 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 11:45
Completed NSE at 11:45, 0.00s elapsed
Initiating NSE at 11:45
Completed NSE at 11:45, 0.00s elapsed
Initiating NSE at 11:45
Completed NSE at 11:45, 0.00s elapsed
Initiating ARP Ping Scan at 11:45
Scanning 10.10.18.5 [1 port]
Completed ARP Ping Scan at 11:45, 0.04s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 11:45
Completed Parallel DNS resolution of 1 host. at 11:45, 0.00s elapsed
Initiating SYN Stealth Scan at 11:45
Scanning 10.10.18.5 [1000 ports]
Discovered open port 22/tcp on 10.10.18.5
Discovered open port 80/tcp on 10.10.18.5
Discovered open port 443/tcp on 10.10.18.5
Discovered open port 53/tcp on 10.10.18.5
Completed SYN Stealth Scan at 11:45, 4.60s elapsed (1000 total ports)
Initiating Service scan at 11:45
Scanning 4 services on 10.10.18.5
Completed Service scan at 11:46, 58.71s elapsed (4 services on 1 host)
Initiating OS detection (try #1) against 10.10.18.5
Retrying OS detection (try #2) against 10.10.18.5
NSE: Script scanning 10.10.18.5.
Initiating NSE at 11:46
Completed NSE at 11:47, 30.05s elapsed
Initiating NSE at 11:47
Completed NSE at 11:48, 60.08s elapsed
Initiating NSE at 11:48
Completed NSE at 11:48, 0.00s elapsed
Nmap scan report for 10.10.18.5
Host is up (0.00055s latency).
Not shown: 996 filtered tcp ports (no-response)
PORT    STATE SERVICE    VERSION
22/tcp  open  ssh        OpenSSH 9.6 (protocol 2.0)
| ssh-hostkey: 
|  XXXXXXXXXXXXXXXXXXXXXX (ECDSA)
|_  XXXXXXXXXXXXXXXXXXXXXX (ED25519)
53/tcp  open  domain     Unbound 1.19.0
| dns-nsid: 
|   id.server: OPNsense.localdomain
|_  bind.version: unbound 1.19.0
80/tcp  open  http       OPNsense
| fingerprint-strings: 
|   FourOhFourRequest: 
|     HTTP/1.0 301 Moved Permanently
|     Location: https:///nice%20ports%2C/Trinity.txt.bak
|     Content-Length: 0
|     Connection: close
|     Date: Wed, 08 May 2024 10:49:52 GMT
|     Server: OPNsense
|   GenericLines: 
|     HTTP/1.0 400 Bad Request
|     Content-Type: text/html
|     Content-Length: 345
|     Connection: close
|     Date: Wed, 08 May 2024 10:49:52 GMT
|     Server: OPNsense
|     <?xml version="1.0" encoding="iso-8859-1"?>
|     <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
|     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
|     <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
|     <head>
|     <title>400 Bad Request</title>
|     </head>
|     <body>
|     <h1>400 Bad Request</h1>
|     </body>
|     </html>
|   GetRequest, HTTPOptions: 
|     HTTP/1.0 301 Moved Permanently
|     Location: https:///
|     Content-Length: 0
|     Connection: close
|     Date: Wed, 08 May 2024 10:49:47 GMT
|     Server: OPNsense
|   RTSPRequest: 
|     HTTP/1.0 400 Bad Request
|     Content-Type: text/html
|     Content-Length: 345
|     Connection: close
|     Date: Wed, 08 May 2024 10:49:47 GMT
|     Server: OPNsense
|     <?xml version="1.0" encoding="iso-8859-1"?>
|     <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
|     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
|     <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
|     <head>
|     <title>400 Bad Request</title>
|     </head>
|     <body>
|     <h1>400 Bad Request</h1>
|     </body>
|_    </html>
|_http-server-header: OPNsense
|_http-title: Did not follow redirect to https://10.10.18.5/
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
443/tcp open  ssl/https?
|_ssl-date: TLS randomness does not represent time
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port80-TCP:V=7.95%I=7%D=5/8%Time=663B49D9%P=i686-pc-windows-windows%r(G
SF:etRequest,94,"HTTP/1\.0\x20301\x20Moved\x20Permanently\r\nLocation:\x20
SF:https:///\r\nContent-Length:\x200\r\nConnection:\x20close\r\nDate:\x20W
SF:ed,\x2008\x20May\x202024\x2010:49:47\x20GMT\r\nServer:\x20OPNsense\r\n\
SF:r\n")%r(HTTPOptions,94,"HTTP/1\.0\x20301\x20Moved\x20Permanently\r\nLoc
SF:ation:\x20https:///\r\nContent-Length:\x200\r\nConnection:\x20close\r\n
SF:Date:\x20Wed,\x2008\x20May\x202024\x2010:49:47\x20GMT\r\nServer:\x20OPN
SF:sense\r\n\r\n")%r(RTSPRequest,1ED,"HTTP/1\.0\x20400\x20Bad\x20Request\r
SF:\nContent-Type:\x20text/html\r\nContent-Length:\x20345\r\nConnection:\x
SF:20close\r\nDate:\x20Wed,\x2008\x20May\x202024\x2010:49:47\x20GMT\r\nSer
SF:ver:\x20OPNsense\r\n\r\n<\?xml\x20version=\"1\.0\"\x20encoding=\"iso-88
SF:59-1\"\?>\n<!DOCTYPE\x20html\x20PUBLIC\x20\"-//W3C//DTD\x20XHTML\x201\.
SF:0\x20Transitional//EN\"\n\x20\x20\x20\x20\x20\x20\x20\x20\x20\"http://w
SF:ww\.w3\.org/TR/xhtml1/DTD/xhtml1-transitional\.dtd\">\n<html\x20xmlns=\
SF:"http://www\.w3\.org/1999/xhtml\"\x20xml:lang=\"en\"\x20lang=\"en\">\n\
SF:x20<head>\n\x20\x20<title>400\x20Bad\x20Request</title>\n\x20</head>\n\
SF:x20<body>\n\x20\x20<h1>400\x20Bad\x20Request</h1>\n\x20</body>\n</html>
SF:\n")%r(FourOhFourRequest,B3,"HTTP/1\.0\x20301\x20Moved\x20Permanently\r
SF:\nLocation:\x20https:///nice%20ports%2C/Trinity\.txt\.bak\r\nContent-Le
SF:ngth:\x200\r\nConnection:\x20close\r\nDate:\x20Wed,\x2008\x20May\x20202
SF:4\x2010:49:52\x20GMT\r\nServer:\x20OPNsense\r\n\r\n")%r(GenericLines,1E
SF:D,"HTTP/1\.0\x20400\x20Bad\x20Request\r\nContent-Type:\x20text/html\r\n
SF:Content-Length:\x20345\r\nConnection:\x20close\r\nDate:\x20Wed,\x2008\x
SF:20May\x202024\x2010:49:52\x20GMT\r\nServer:\x20OPNsense\r\n\r\n<\?xml\x
SF:20version=\"1\.0\"\x20encoding=\"iso-8859-1\"\?>\n<!DOCTYPE\x20html\x20
SF:PUBLIC\x20\"-//W3C//DTD\x20XHTML\x201\.0\x20Transitional//EN\"\n\x20\x2
SF:0\x20\x20\x20\x20\x20\x20\x20\"http://www\.w3\.org/TR/xhtml1/DTD/xhtml1
SF:-transitional\.dtd\">\n<html\x20xmlns=\"http://www\.w3\.org/1999/xhtml\
SF:"\x20xml:lang=\"en\"\x20lang=\"en\">\n\x20<head>\n\x20\x20<title>400\x2
SF:0Bad\x20Request</title>\n\x20</head>\n\x20<body>\n\x20\x20<h1>400\x20Ba
SF:d\x20Request</h1>\n\x20</body>\n</html>\n");
MAC Address: 76:A1:02:8D:E3:4D (Unknown)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): FreeBSD 11.X (97%)
OS CPE: cpe:/o:freebsd:freebsd:11.2
Aggressive OS guesses: FreeBSD 11.2-RELEASE (97%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 0.001 days (since Wed May  8 11:46:56 2024)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=258 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: FreeBSD; CPE: cpe:/o:freebsd:freebsd

TRACEROUTE
HOP RTT     ADDRESS
1   0.55 ms 10.10.18.5

NSE: Script Post-scanning.
Initiating NSE at 11:48
Completed NSE at 11:48, 0.00s elapsed
Initiating NSE at 11:48
Completed NSE at 11:48, 0.00s elapsed
Initiating NSE at 11:48
Completed NSE at 11:48, 0.00s elapsed
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 158.46 seconds
           Raw packets sent: 2073 (94.904KB) | Rcvd: 25 (1.760KB)

Alles anzeigen

frank_m · 8. Mai 2024

Das sieht erst mal alles ok aus. Ich bleibe dabei, wir müssen uns den Traffic ansehen. Ich denke immer noch, dass der Traffic nicht da hinfließt, wo er hin soll.

Marcus_Sonntag · 23. Mai 2024

Zitat von frank_m

Das sieht erst mal alles ok aus. Ich bleibe dabei, wir müssen uns den Traffic ansehen. Ich denke immer noch, dass der Traffic nicht da hinfließt, wo er hin soll.

Ich lade die hier nochmal hoch wenn ich die Zeit gefunden habe. Ich habe jetzt erstmal das ganze auf einem G9.5 installiert, danach ein Image gezogen und dieses dann in den G11 eingespielt. Dann funktioniert es kurioser weise.