Hallo zusammen
Ich habe OPNsense mit 2 Interfaces neu aufgesetzt:
- LAN: 192.168.1.1
(https://heernet.ch/Temp/Bild_15.JPG)
- WAN: 192.168.231.5
(https://heernet.ch/Temp/Bild_16.JPG)
Web-GUI läuft auf Port 80, SSH-Server auf Port 22. Beide hören auf allen Interfaces. Soweit klappt alles, Web-GUI und SSH-Zugriff vom LAN funtioniert.
Eigentlich sollte doch auch die Web-GUI und der SSH-Zugriff vom WAN Interface klappen. Dies geht aber leider nicht.
Folgende Regel ist definiert:
(https://heernet.ch/Temp/Bild_17.JPG)
Wenn ich einen Zugriff (Web-Gui oder SSH) vom der IP 192.168.231.10 auf die WAN-Adresse (192.168.231.5) mache, sehe ich dies auch im Firewall-Log:
(https://heernet.ch/Temp/Bild_18.JPG)
Aber leider bekomme ich keine Antwort.
Woran kann das liegen? Was ist hier falsch?
Danke für die Hilfe.
Gruss Lumax.
Hi Luma,
fehlt vielleicht die eingehende Regel auf dem LAN Interface (Port 80 & 443)?
Gruß
Ric
Hi Ric
Ich verstehe nicht ganz, was ein Zugriff vom WAN-Interface mit einer Regel im LAN-Interface zu tun hat. Was meinst du genau? Was müsste ich definieren? Und wieso Port 443, mein Web-GUI läuft auf Port 80?
Aus dem LAN klappt Web-GUI und SSH. Nur aus dem WAN geht nichts.
Gruss Luma
Wo genau "hängst" Du denn dran? Dann habe ich es vermutlich falsch verstanden. Dachte Du hängst am WAN-Interface und willst aufs Webinterface im LAN. Hast Du sowohl LAN als auch WAN mit DHCP konfiguriert?
Gruß Ric
Sorry, wenn ich das ungenau beschrieben habe...
Aus dem LAN (vom Client 192.168.1.101 auf OPNsense LAN-Adresse 192.168.1.1) klappt der OPNsense-Web-GUI Zugriff (Port 80) und der OPNsense-SSH-Zugriff (Port 22).
Aus dem WAN (vom Client 192.168.231.10 auf OPNsense WAN-Adresse 192.168.231.5) klappt dasselbe nicht.
Damit es verständlicher ist:
WAN / Internet
:
:
.------+------.
| LTE Router |
'------+------'
IP 192.168.231.2
|
|
.-----+------. .-----------------------.
| Switch +----------+ Client 192.168.231.10 | (von diesem Client klappt der Zugrif auf OPNsense nicht!)
'-----+------' '-----------------------'
|
|
WAN IP 192.168.231.5
.------+-------.
| OPNsense |
'------+-------'
LAN 192.168.1.1/24
|
|
.----------+-----------.
| Client 192.168.1.101 | (von diesem Client klappt der Zugrif auf OPNsense!)
'----------------------'
Bei Dir macht also der LTE-Router die Einwahl und alles. Er ist auch das Gateway für das 231er Netz, korrekt? Dann müsstest Du wahrscheinlich hier ein Portforwarding (80 & 22) auf die 231.5 einrichten.
Ist das ne FritzBox (LTE Router)? Ist die Konfig so gewollt? Sonst könntest Du ja auch probieren, den LTE Router zu einem reinen Modem zu "kastrieren" und die Sense die Einwahl machen zu lassen. So hast Du doppeltes NATing, was zu vielerlei Problemen führen kann.
Gruß Ric
Den LTE Router hab ich nur der Vollständigkeit halber erwähnt. Ich will ja vom Client 192.168.231.10 auf OPNsense zugreifen und das geht ja nicht!
Quote from: Luma on May 19, 2019, 07:45:32 PM
Den LTE Router hab ich nur der Vollständigkeit halber erwähnt. Ich will ja vom Client 192.168.231.10 auf OPNsense zugreifen und das geht ja nicht!
Hab ich schon verstanden.
Die OPNSense hat ja nur einen WAN-Port, oder? Und da hängt schätzungsweise der LTE-Router dran, oder? Und an diesem LTE-Router hängt dann der Client, oder?
Vielleicht hilft das:
https://www.andysblog.de/opnsense-zugriff-auf-das-web-interface-ueber-wan
Da ist noch ein Switch dazwischen, hab die Grafik aktualisiert. :-)
Quote from: Luma on May 19, 2019, 08:03:21 PM
Da ist noch ein Switch dazwischen, hab die Grafik aktualisiert. :-)
Ok.
Ich überlege nur, ob der LTE-Router dazwischen spuckt. Aber wir befinden uns ja im gleichen Netz und Du kommst nicht von "Außen", daher ist NAT/PAT bzw. Portforwarding ja Quatsch.
Schau Dir mal die Einstellung im Link an ;)
Advanced Options - disable reply-toHilft das?
Gruß Ric
Moin, ich habe es mit einer Portweiterleitung gemacht. so ist es ganz einfach
Moin Luma,
Versuch es mal mit Firewall / Settings / Advanced / Disable force gateway.
(Sobald für ein Interface ein Gateway definiert ist schickt die OPNsense alles dorthin, selbst wenn die Zieladresse im Subnetz des Interfaces liegt. Dieses Verhalten ist ziemlich grotesk und sorgt immer wieder für verzweifelte User, ist aber "aus Gründen" immer noch Default-Einstellung.)
Grüße
Maurice
Guten Morgen zusammen
Problem gelöst! Danke allen für die guten Tips! ;D :D ;D
Die Lösung von micneu klappt auch, (wir hatten noch privat Kontakt) Danke! :)
Doch die Lösung, die ich eigentlich angestrebt habe fand ich durch den Tip von Ric: Ich habe nun eine Regel für das WAN-Interface erstellt, die genau auf den SSH-Port und die source IP passt und die Advanced Option "disable reply-to" aktiviert. Und siehe da, der Zugriff klappt. Auch für den Weg-Gui Zugriff geht das (mit entsprechender Regel für den Web-GUI-Port).
Mein eigentliches Problem, einen VPN-Zugriff via TCP zum laufen zu bringen (siehe Thread https://forum.opnsense.org/index.php?topic=12475.0 (https://forum.opnsense.org/index.php?topic=12475.0)) habe ich hiermit auch gelöst - was lange währt wird endlich gut! Danke Ric! :D
Somit kann ich den Zugrif auf das Web-GUI sowie den SSH Zugriff auf OPNsense nun auch via VPN machen!
Die Einstellung "Firewall / Settings / Advanced / Disable force gateway" hat leider nichts gebracht, trotzdem Danke Maurice.
Nochmals Danke an alle und Gruss aus der Schweiz
Luma
Coole Sache :)
Weiterhin gutes Gelingen!
Gruß Ric