Hallo liebe OPNSense-Gemeinde,
ich habe soeben meinen (ersten) OPNSense-Gateway erfolgreich in Betrieb genommen und habe die spannende Aufgabe all das was ich vorher manuell unter Gentoo Linux mit meinem Halbwissen über Netzwerk über Jahre hinweg konfiguriert habe in OPNSense abzubilden.
Bis jetzt läuft alles sehr gut: Forwardings funktionieren, Traffic-Shaping läuft (wenn auch ich Prios vermisse), BIND statt Unbind als DNS Server ist auch aktiv...
Bei einer Aufgabe bitte ich Euch um Hilfe, weil ich es nicht hinbekomme:
ich möchte, dass bestimmte Anfragen vom LAN aus an meine WAN-Adresse (abhängig vom Port) auf eine interne bestimmte IP Adresse/Port transparent umgeleitet werden. Split DNS ist leider keine Option für mich.
In Linux hatte ich das wie folgt gelöst (lan0 = LAN-Interface, 80.108.xx.yy = WAN-Adresse, 10.0.0.0/16 = internes LAN, 10.0.0.7 = interner Ziel-Host ):
Bsp.:
iptables -t nat I PREROUTING -i lan0 -d 80.108.xx.yy -p tcp --match multiport --dport 9987,30033,10011 -j DNAT --to-destination 10.0.0.7
iptables -t nat I POSTROUTING -o lan0 -s 10.0.0.0/16 -d 10.0.0.7 -p tcp --match multiport --dport 9987,30033,10011 -j SNAT --to-source 80.108.xx.yy
Wie realisiert man sowas in OPNSense?
(BTW: Ich komme aus der iptables/Linux Welt und habe mit BSD pf keine Erfahrung)
Der Hintergrund dieses umständlichen Manövers liegt in der Art der Server begraben die dahinter auf 10.0.0.7 lauschen. (Bsp. = Teamspeak, aber eigentlich gehts um andere Server)
lg,
Rob
Schau mal hier bei NAT reflection.
https://docs.opnsense.org/manual/nat.html (https://docs.opnsense.org/manual/nat.html)
Danke für den Tipp. Mal schauen ob ich es damit hinbekomme.
Wie ist das eigentlich bei OPNSense mit dem Alias: Wenn man einen für Ports erstellt, darf man dann sowas hier angeben "9987,30033,10011" ?
Oder sollte man hier besser alles einzeln listen?
Zerlegt er die intern dann in einzelne Regeln oder versucht er die Auflistung anzuwenden?
Ich frag deswegen so blöd, weil in der Hilfe beim Forwarding zum "Redirect target port" steht:
QuoteIn case of a port range, specify the beginning port of the range (the end port will be calculated automatically).
Ein alias wird 1:1 im Kernel hinterlegt (Hostnamen werden auf IP Adressen aufgelöst und Listen heruntergeladen) und in der Firewall wird der Alias referenziert. Der Vorteil ist zum Beispiel, dass man den Alias einfach dynamisch ändern kann.
ich hab jetzt mal unter "Firewall: Settings: Advanced"
- Reflection for port forwards
- Reflection for 1:1
- Automatic outbound NAT for Reflection
aktiviert, und jetzt läuft's.
Danke für Eure Hilfe!