TLDR
В моей сети только одна машина не может получить доступ к брандмауэру, но также и к inte rnet. IP-адрес компьютера определяется как правило прохода в настройках правила. Я вижу, что пакеты могут проходить из журналов брандмауэра. Однако я не могу пропинговать брандмауэр с машины, а также получить доступ к inte rnet. Я дал разные IP-адреса, которым предоставляется доступ к брандмауэру, но происходит то же самое. Я считаю, что машине, основанной на ma c, не предоставлен доступ. брандмауэр не использует радиус и т. д. c.
Длинная история:
Я использую один брандмауэр opnsense в моей сети. У меня есть внутренний радиус, поддерживаемый dhcp сервером. Брандмауэр opnsense пересылает запрос dhcp на внутренний сервер dhcp. У меня есть машина windows 10, которая долгое время не использовалась. Недавно я загрузил его, он получил свой предварительно настроенный IP-адрес от внутреннего dhcp-сервера с радиусом радиуса miktotik.
- Для каждой машины в локальной сети существуют псевдонимы и определены правила. Правила для машины тоже активны. По сути, к этой машине разрешен доступ снаружи.
- Брандмауэр windows машины отключен.
- Машина может пропинговать все машины в локальной сети, кроме межсетевого экрана opnsense и целых rnet IP-адресов. Машина может получить доступ к общим папкам и другим ресурсам в локальной сети / локальной сети.
- Из журналов брандмауэра в режиме реального времени, путем фильтрации по IP-адресу машины, я вижу, что пакеты, icmp и другие разрешены из этого машина, хотя она, как ни странно, не может go снаружи и не может получать ответы на эхо-запросы.
- Тем не менее, unbound дает следующую ошибку для каждого запроса, сделанного этой машиной к брандмауэру
2020-04-21T02:08:04 unbound: [98722:0] notice: remote address is ip4 192.168.1.23 port 51715 (len 16)
2020-04-21T02:08:04 unbound: [98722:0] notice: sendto failed: Invalid argument
2020-04-21T02:08:04 unbound: [98722:0] debug: using localzone xxxx.home. transparent
2020-04-21T02:08:04 unbound: [98722:0] info: 192.168.1.23 wpad.xxxx.home. A IN
2020-04-21T02:08:02 unbound: [98722:0] notice: remote address is ip4 192.168.1.23 port 51715 (len 16)
2020-04-21T02:08:02 unbound: [98722:0] notice: sendto failed: Invalid argument
2020-04-21T02:08:02 unbound: [98722:0] debug: using localzone xxxx.home. transparent
2020-04-21T02:08:02 unbound: [98722:0] info: 192.168.1.23 wpad.xxxx.home. A IN
- Unbound имеет следующие настройки, активные в общих настройках.
Enable DNSSEC Support
Register DHCP leases
Register DHCP static mappings
- Unbound не имеет настроенного списка доступа, кроме generi c, как показано ниже.
Internal Allow 127.0.0.1/8
Internal Allow ::1/64
Internal Allow 192.168.1.1/24
Internal Allow fe80::2e0:67ff:fe10:ab4a/64
В итоге: OPNSense сообщает, что пакеты передаются от брандмауэра, но машина не может пропинговать или получить доступ к брандмауэру, даже если в unbound нет никаких настроек. Для Unbound не задано значение c для машины
В чем может быть причина? Любая помощь высоко ценится. Кстати, каждая машина в сети на основе правил брандмауэра может без проблем получить доступ к inte rnet. Только эта машина имеет эту проблему.
ОБНОВЛЕНИЕ.
Я отключил UNBOUND и включил dnsmasq в качестве сервера DNS. Та же проблема продолжается. Я ничего не видел в логах dnsmasq (в настройках, аналогичных unbound, нет опции контроля уровня лога)