Нужна проницательность. OPNSense блокирует одну машину, хотя правила передачи и операторы журнала

TL; DR

В моей сети только одна машина не может получить доступ к брандмауэру, но также и к Интернету. IP-адрес машины определяется как правило передачи в настройках правила. Я вижу, что пакетам разрешено проходить из живых журналов брандмауэра. Однако я не могу пропинговать брандмауэр с машины, а также получить доступ в Интернет. Я указал разные IP-адреса, которым разрешен доступ к брандмауэру, но происходит то же самое. Я считаю, что машине, основанной на Mac, доступ не предоставляется. брандмауэр не использует радиус и т. д.

Длинная история:

Я использую в своей сети один надежный брандмауэр. У меня есть dhcp-сервер с внутренним радиусом. брандмауэр opnsense передает запрос DHCP на внутренний сервер DHCP. У меня есть машина с Windows 10, которую давно не использовали. Недавно я загрузил его, он получил свой предварительно сконфигурированный IP-адрес от внутреннего DHCP-сервера, поддерживаемого miktotik radius.

  • Для каждой машины в локальной сети определены псевдонимы и правила. Правила для машины тоже активны. В основном к этой машине разрешен доступ снаружи.
  • Брандмауэр Windows машины отключен.
  • Машина может пинговать все машины в локальной сети, кроме брандмауэра opnsense и IP-адресов в Интернете. Машина может получить доступ к общим папкам и другим ресурсам в локальной сети / LAN.
  • Из живых журналов брандмауэра, отфильтровав IP-адрес машины, я вижу, что пакеты, icmp и другие разрешены с этой машины, хотя машина, как ни странно, не может выходить на улицу и не может получать ответы ping.
  • Однако несвязанный дает следующую ошибку для каждого запроса, сделанного этим компьютером к брандмауэру.
2020-04-21T02:08:04   unbound: [98722:0] notice: remote address is ip4 192.168.1.23 port 51715 (len 16)
2020-04-21T02:08:04   unbound: [98722:0] notice: sendto failed: Invalid argument
2020-04-21T02:08:04   unbound: [98722:0] debug: using localzone xxxx.home. transparent
2020-04-21T02:08:04   unbound: [98722:0] info: 192.168.1.23 wpad.xxxx.home. A IN
2020-04-21T02:08:02   unbound: [98722:0] notice: remote address is ip4 192.168.1.23 port 51715 (len 16)
2020-04-21T02:08:02   unbound: [98722:0] notice: sendto failed: Invalid argument
2020-04-21T02:08:02   unbound: [98722:0] debug: using localzone xxxx.home. transparent
2020-04-21T02:08:02   unbound: [98722:0] info: 192.168.1.23 wpad.xxxx.home. A IN
  • В общих настройках Unbound активны следующие настройки.
Enable DNSSEC Support
Register DHCP leases
Register DHCP static mappings
  • Для несвязанного списка доступа не настроен другой список доступа, кроме общих, как показано ниже.
Internal    Allow    127.0.0.1/8
Internal    Allow    ::1/64
Internal    Allow    192.168.1.1/24
Internal    Allow    fe80::2e0:67ff:fe10:ab4a/64

В итоге: OPNSense сообщает, что пакеты проходят от брандмауэра, но машина не может проверить связь или получить доступ к брандмауэру, даже если нет никаких настроек в несвязанном. У несвязанного нет специальных настроек для машины

Что может быть причиной? Любая помощь очень ценится. Кстати, каждая машина в сети, основанная на правилах брандмауэра, может без проблем получить доступ к Интернету. Только у этой машины есть такая проблема.

ОБНОВИТЬ.

Я отключил UNBOUND и включил dnsmasq как DNS-сервер. Та же проблема сохраняется. Я ничего не видел в журналах dnsmasq (в настройках нет возможности контролировать уровень журнала, аналогично несвязанному)

Источник

0 ответов

Другие вопросы по тегам