Hallo Forum bin neu hier und habe sicher aus eurer sicht ein kleines problem.
Ich versuche seit kurzem mich mit der opnsense zurecht zu finden.
Habe nur erfahrung mit Zyxel ZyWall USG50 :)
So ich möchte gerne meine bestehende Firewall ersetzen durch die OPNsense 20.1.3-amd64
FreeBSD 11.2-RELEASE-p17-HBSD
OpenSSL 1.1.1d 10 Sep 2019
CPU Type: Intel(R) Core(TM) i5-4460S CPU @ 2.90GHz (4 cores)
Wie sieht nun mein Netz aus:
------------------------------
WAN mit Fixer
IP-Adresse: 212.147.16.39
------------------------------
-
-
-----------------------------
FirtzBox IP 192.168.10.1
Exposed Host zu IP: 192.168.10.21
-----------------------------
-
-
-----------------------------
IP Adresse Opnsense
192.168.1.1
-----------------------------
-
- -----------------------------
----------------------------------------DMZ IP Adresse 192.168.21.2
DHCP 192.168.21.10 - 192.168.21.20
Auf der IP 192.168.21.11
da ist der Web/Mail Server
- -----------------------------
-
-----------------------------
IP LAN
192.168.1.1
DHCP ist von 192.168.1.120 - 192.168.1.220
-----------------------------
So sieht es mal aus bei mir
Nun habe ich das problem das ich das nicht hinkriege. (Sorry bin halt blöd)
was bis jetzt geht ist das ich von LAN wie auch von der DMZ ins Internet komme
ping geht von LAN in die DMZ auf IP Adresse 192.168.21.2 aber nicht auf die 192.168.21.11
von der DMZ kann ich zum LAN pingen auf die IP 192.168.1.1 wie auch auf die Client IP beispiel 192.168.1.122 pingen.
Dann habe ich versucht nach dieser anleitung es zu bewerkstelligen: https://doc.m0n0.ch/handbook/examples.html
ohne erfolg. habe einen knopf im hirn und verstehe es einfach nicht wieso das es nicht geht.
Hoffe das ihr mir da verständlich weiterhelfen werdet.
Gruss Michi
Ich wünsche allen hier frohe Ostern. (Bleibt Zuhause)
Also ich versuche nun da weiter zumachen damit ich hier zu einer lösung komme und es eventuell weiteren hier helfen kann.
Ich erstelle nun eine 1 to 1 nat (werde in allen keine aliases verwenden damit man sieht und nachverfolgen kann wie es gemacht wurde oder sieht was eventuel falsch ist)
Gruss Michi
ich mache einfach weiter
Nun habe ich eine firewall: rules in der DMZ erstellt
(Neu) IPv4 * DMZ net * ! LANInteren net * * * DMZ-any-LAN
und weiter
hier zwei weitere einträge in der firewall: NAT: Port Forward
(Neu) WANFritzboxVTX TCP * * 192.168.21.2/24 80 (HTTP) 192.168.21.11 80 (HTTP) NAT-to-Web-Server
(Neu) WANFritzboxVTX TCP * * 192.168.21.2/24 25 (SMTP) 192.168.21.11 25 (SMTP) NAT-to-Mail-Server
Wozu das 1:1 NAT?
ich überlege gerade noch was genau du erreichen möchtest :)
Einfacher Zugriff vom Internet auf die Geräte in der DMZ sowie Zugriff vom LAN auf die DMZ. Aber kein Zugriff von der DMZ in andere Netze außer Internet? :)
Danke für deine rückmeldung
Wieso 1:1 Nat da ich das auch so auf meiner zywall habe.
Ich sehe mir gerne auch alternativen an.
Bin ganz Ohr...
PS: Ich publiziere gerne auch weitere möglichkeiten. Damit auch solche wie ich freude und interesse bekommen sich in diese materie zu vertiefen.
Eventull könnte man dies auch erweitern.
Gruss Michi
Quote from: Michi on April 10, 2020, 01:37:35 PM
Danke für deine rückmeldung
Wieso 1:1 Nat da ich das auch so auf meiner zywall habe.
Ich sehe mir gerne auch alternativen an.
Bin ganz Ohr...
PS: Ich publiziere gerne auch weitere möglichkeiten. Damit auch solche wie ich freude und interesse bekommen sich in diese materie zu vertiefen.
Eventull könnte man dies auch erweitern.
Gruss Michi
Okay und was ist gerade genau das aktuelle Problem ?
Ich bringe es nicht hin das es auf die 192.168.21.11 (Web/Mail-Server) geht.
Quote from: Michi on April 10, 2020, 01:43:40 PM
Ich bringe es nicht hin das es auf die 192.168.21.11 (Web/Mail-Server) geht.
Vom LAN oder Internet aus ?
Vom LAN wie auch von Internet.
Quote from: Michi on April 10, 2020, 01:50:51 PM
Vom LAN wie auch von Internet.
Okay erstmal von LAN
Was zeigt der Liveview an wenn du versuchst auf den Webserver zu kommen?
LANInteren Apr 10 14:13:05 192.168.1.122:50053 192.168.1.1:443 tcp anti-lockout rule
Quote from: Michi on April 10, 2020, 02:14:18 PM
LANInteren Apr 10 14:13:05 192.168.1.122:50053 192.168.1.1:443 tcp anti-lockout rule
Wieso machst du denn ne Portweiterleitung vom LAN aus.
Die greift übrigens nicht, da die Firewall Port 443 bereits benutzt und somit nicht weiterleitet
ok sorry
wie und wo soll ich das ändern?
Quote from: Michi on April 10, 2020, 02:24:07 PM
ok sorry
wie und wo soll ich das ändern?
Mache die Portweiterleitungen Mal raus
Und Versuche dann den Webserver zu erreichen :)
hier nun ohne portweiterleitung
Quote from: Michi on April 10, 2020, 02:30:57 PM
hier nun ohne portweiterleitung
Also die Anti Lockout Rule hat damit nichts zutun. Ist nur der Zugriff auf die OPNsense webui.
Aber blockiert wird anscheinend nichts.
Was sagt denn ein tracert oder Ping auf den Webserver ?
also ich kann (hab den Web/Mail-Server wieder and der Zywall) darum pinge ich von meinem mac auf mein win10 system in der dmz
von 192.168.1.122 auf 192.168.21.2 pingen
und
von 192.168.1.122 auf 192.168.21.11 pingen geht nicht
und
von 192.168.21.11 auf 192.168.1.122 geht
bei dieser konfiguration die jetz vorhanden ist
Interfaces: Diagnostics: Port Probe
Frohe Ostern
Bin einen schritt weiter gekommen.
von Intern komme ich nun über den browser auf die 192.168.21.11:8080
von extern habe ich noch das problem.
zwar sieht man das die externe IP Adresse 212.147.16.39 kommt aber sie hängt (geht nicht weiter) am Interface 192.168.10.21 siehe anhang
Ein Lob oder tadel anbringen
Grundsätzlich sehe ich ein forum als hilfe an. Das aber auch aufzeigt was noch nicht geht und wo man eventuell verbesserungen anbringen kann.
Hier scheint es mir aber so das das es gluck schwäzer gibt die es zwar können aber lieber nur dumme sprüche schreiben anstelle zu helfen.
Also wenn ihr keine lust habt zu helfen liebe gluck schwäzer macht doch vorlagen die man gebrauchen kann.
Gruss Michi
Quote from: Michi on April 14, 2020, 12:01:24 PM
Ein Lob oder tadel anbringen
Grundsätzlich sehe ich ein forum als hilfe an. Das aber auch aufzeigt was noch nicht geht und wo man eventuell verbesserungen anbringen kann.
Hier scheit es mir es mir aber so das das es gluck schwäzer gibt die es zwar können aber lieber nur dumme sprüche schreiben anstelle zu helfen.
Also wenn ich keine lust habt du helfen liebe gluck schwäzer macht doch vorlagen die man gebrauchen kann.
Gruss Michi
Hallo Michi,
Also es handelt sich bei OPNsense um eine kostenlose software mit einem Super Forum.
Allerdings sollte man denke ich bei einer Firewall im Open source Bereich etwas Vorerfahrung mitbringen.
Und nur weil jemand nicht umgehend auf deine Probleme und Fragen im Forum eingeht, ist man längst kein Schwätzer welcher nicht helfen möchte, solche haltlosen Anschuldigungen sollten hier auch Unterlassen werden .
Hier wird nämlich immer gerne geholfen, allerdings können wir auch keine Lösungen auf Probleme aus dem Hut zaubern und fragen sollten schon zielgerichtet sein, so dass man nicht erstmal in 10 Runden sich seine Informationen holen muss, damit man das Problem erstmal versteht.
Immerhin machen die meisten das hier kostenlos/freiwillig im Forum.
Denke aber das ist eine allgemeine Verhaltensweise die man in Foren nicht an den Tag legen sollte.
Als Alternative gibt es ja auch kostenpflichtige Firewalls oder bezahlten Support.
Hier geht es nicht um mich oder mein Problem das ich gelöst habe.
Ich werde mich nicht mit dir in eine sinnlose diskussion verwickeln. Ich habe nur sehr viele beiträge angeschaut (gelesen) und es kommt auch so rüber.
gruss michi