nftables basic config + dropped package logging

    LebakaasSemme Wenn ansonsten garantiert keine Reste von Cloud-Init vorhanden sind, die Deine manuellen Änderungen überschreiben, klingt das ausreichend.


    Du könntest aber sicherheitshalber mit der lokalen Firewall noch alle Pakete DROP'en, die am öffentlichen Interface oder mit der IPv4-Adresse bzw. dem IPv6-Subnetz (inkl. Link-Local-Adresse!) ankommen. Quasi als kleines zweites Fangnetz, falls irgendwann einmal etwas schief läuft.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    3 Mal editiert, zuletzt von KB19 ()

    Gefällt mir 2

    jetzt muss ich doch nochmal nachfragen.
    Gibts bei den VLANs was zu beachten bzgl. der Einrichtung? Oder einfach nur die NIC im SCP zuweisen und dann manuell die IP vergeben?
    Habe jetzt doch iwie das Problem, dass ich die Nic am RS1000 zwar konfiguriert habe, aber nur "mich selbst" pingen kann.

    Also am RS die IP der VLAN-NIC vom RS und an der OpnSense (VPS) nur die NIC-Seite von der OpnSense - also von der OpnSense nicht den RS und vom RS aus nicht die OpnSense.

    Wäre eigentlich der Meinung gewesen dass das gestern schon funktioniert hätte - aber da war es wohl schon spät und ich hab mich iwie vertan.


    Edit1:
    Wenn ich das interface up oder down nehmen will, erhalte ich nur folgende Meldung:

    Code
    root@anton:/etc/network/interfaces.d# ifdown eth1
ifdown: interface eth1 not configured
root@anton:/etc/network/interfaces.d# ifup eth1
RTNETLINK answers: File exists
ifup: failed to bring up eth1

    Edit2:
    Also Fehler "gefunden", eth1 up und down nehmen klappt jetzt - trotzdem kein Ping an die Gegenstelle am "VLAN" möglich.

    Also immer noch kein Pingen vom RS an den VPS und andersrum.


    Freue mich über Tips/Erfahrungen falls diese VLAN Nics schonmal jemand erfolgreich verwendet hat.

    Zitat von LebakaasSemme

    in Ping an die Gegenstelle am "VLAN" möglich.

    Also immer noch kein Pingen vom RS an den VPS und andersrum.


    Freue mich über Tips/Erfahrungen falls diese VLAN Nics schonmal jemand erfolgreich verwendet hat.

    hast du denn die IP Adresse / Interface in Nftables freigegeben? Ich vertraue mal darauf dass du neben der IP auch die Netzmaske angegeben hast. Im Zweifel kannst du ja die eth1 Config mal hier posten.

    Ja die Interface Konfig wäre sicher hilfreich zu wissen.

    Ansonsten, wie auch schon von michaeleifel erwähnt. Firewall auf beiden Seiten checken, ob das neue Netz und die Interface mit enthalten sind.

    Weiter hilft dann nur sich auf Layer2 (MAC Adressen) und Layer3 (IP-Adressen) durchzuarbeiten.

    Code
    ip maddress
ip neigh
ip route list
...

    Danke für eure Antworten! Es funktioniert jetzt!


    Habe an der opnsense (VPS) das LAN interface nochmal von static auf dhcp eingestellt und wieder zurück auf static geändert.

    Am RS habe ich eth1 (lan) auch nochmal de- und reaktiviert (static ip config). Nun gehts komischerweise.


    Vermultich hat das de- und reaktivieren an der opnsense ne route neu gesetzt oder so ^^


    Jedenfalls, eth0 (wan) am RS ist nun deaktiviert und ich kann nun wie folgt auf meinen RS zugreifen:

    Wireguard VPN auf meine opnsense --> ssh auf die 192.168.1.2 (LAN vom RS).

    Juhu.