unsere Internetanbindung wurde geändert, damit auch die WAN-IP und das Gateway der OPNsense unserer linuxmuster 7.2.
Jetzt haben wir zwei Probleme, die ich mir nicht erklären kann:
Unser WLAN ist getrennt vom päd. Netz, allerdings läuft die Authentifizierung des WLAN-Controllers über den linuxmuster-ldap und der Traffic geht über die OPNsense nach draußen.
Sowohl im WLAN wie im LAN kann ich auf beliebige Webserver zugreifen, im WLAN aber nicht auf die Server, die weiterhin in unserer alten DMZ stehen (auf die bis heute auch die WAN-Adresse des OPNsense ging, die jetzt umgestellt wurde). Vom LAN aus ist der Zugriff auf diese Server aber möglich!
Mein Verdacht: DNS-Problem. Aber: Wenn ich direkt die IP des Servers eingebe, bekomme ich im LAN die korrekte Seite angezeigt, im WLAN nur ein Timeout - scheint also nicht am DNS zu hängen. nslookup liefert auch jeweils korrekte Ergebnisse. Problem besteht sowohl auf einem Notebook wie auf einem Smartphone, wenn ich das Smartphone ins Mobilfunknetz hänge, geht alles.
Das SSO funktioniert auf Clients im LAN nicht mehr. Uhrzeit auf opnsense, linuxmuster und Client identisch. In der OPNsense unter Dienste-Squid-Einmalige Anmeldung habe ich die Schlüsseltabelle gelöscht und erfolgreich neu erzeugt, weil der Test ein invalid token meldete, jetzt meldet der Test ein OK. Login, Shares usw. läuft alles, nur der SSO nicht, nach Eingabe der Daten im Browser-Popup kann man surfen. Lief vor der Umstellung (Firefox als ppa, nicht als snap).
ich nehme an, dass der Zugriff vom WLAN in die DMZ durch weiterleitungsregeln in der Firewall geregelt war. Es kann sein, dass dort die Source sich geändert hat: kontrollier mal deine Regelen und schreib die neue Source rein.
Dass also nicht vom WLAN in die DMZ weitergeleitet wurde, sondern „raus“ und dann wieder rein: und wenn da die alte WAN Adresse als Source in der Regel steht, dann klappt das nicht.
hm, nein, die Firewall-Regeln hab ich schon hin- und hergeschoben (das WLAN hat nur drei - Radius-Zugriff erlaubt, von WLAN auf LAN geblockt, alles andere offen) und WAN + LAN haben keine auffälligen), auch die OPNsense landete ja bisher in der DMZ und von dort ging es ins Internet oder zu unseren Servern.
Der Weg von der OPNsense zu den Servern ist ja für die Rechner im LAN und im WLAN identisch, beidesmal müssen sie jetzt übers Internet, um vom neuen Provider über Belwü in unsere DMZ mit den Webservern zu wandern.
Hallo lessi.
Meinst Du damit auch, dass die Hardware mit umgezogen ist? Falls ja, habe ich evtl eine Idee: Ich habe auch mal seltsame Effekte beim Einspielen einer OPNSense-Config von einer bare-metal-Kiste auf eine andere gehabt. Da wurden die Devices durcheinandergebracht, obwohl ich sie genauso zugeordnet hatte, wie vorher … vielleicht ist das ein Anhaltspunkt, falls das bei Euch hinter der geänderten Internetanbindung steckt
Viele Grüße,
Michael
danke, aber die Hardware ist noch die alte, nur die Anbindung unseres Netzwerkes nach draußen wurde gendert. Und die Zuordnung der Schnittstellen Kabel-Proxmox-OPNsense passt. Auch wenn das etwas komplizierter ist, weil zusätzlich zum LAN und zum WAN auch noch eine Leitung ins alte Netz für Wireguard und ldaps besteht, aber ich sehe nicht, wo die mir reinpfuschen könnten.
danke für’s mitdenken, hat sich offenbar positiv auf mich übertragen (und etwas Hilfe unseres Netzwerk-Technikers), zumindest was den Zugriff auf die Server betrifft, habe ich das Problem behoben, indem ich in der OPNsense explizite Routen auf das neue Gateway für die betroffenen IPs angelegt habe.
Das war mein ursprünglicher Punkt 1, der Punkt 2, das Problem mit dem SSO, besteht leider weiter, hat jemand dazu Ideen?
