Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Scanline on October 02, 2020, 02:36:42 PM

Title: Probleme beim Port Forwarding LAN<->OPNsense<->Wireguard
Post by: Scanline on October 02, 2020, 02:36:42 PM
Hallo Community,

ich habe das gleiche Problem schon einmal hier beschrieben: https://forum.opnsense.org/index.php?topic=19386.0 aber hier scheint mehr los zu sein. Wenn das Problem behoben ist, markiere ich beide als SOLVED.

Ich fasse mich so kurz wie möglich:

Ein PC (LAN, 192.168.20.101) ist mit OPNsense firewall Verbunden (igb1, 192.168.20.1). OPNsense hat zwei WAN Schnittstellen, DSL und Wireguard (wg0, WAN IP 185.209.196.159). 192.168.20.0/24 benutzt wg0 als gateway (NAT). Ich habe Port 11526 von wg0 auf 192.168.20.101:11526 weitergeleitet. Wenn ich mit versuche aus dem Internet auf meine wireguard WAN IP auf Port 11526 zu verbinden (ncat -p 23023 185.209.196.159 11526), kann ich folgendes auf igb1 beobachten(tcpdump -i igb1 | grep ".23023"):

Code Select
19:28:57.774733 IP xxx.de.23023 > 192.168.20.101.11526: Flags [S], seq 1802740233, win 64240, options [mss 1380,sackOK,TS val 79282081 ecr 0,nop,wscale 7], length 0
19:28:57.775498 IP 192.168.20.101.11526 > xxx.de.23023: Flags [S.], seq 1252543376, ack 1802740234, win 65160, options [mss 1460,sackOK,TS val 1133438719 ecr 79282081,nop,wscale 7], length 0
19:28:58.776502 IP xxx.de.23023 > 192.168.20.101.11526: Flags [S], seq 1802740233, win 64240, options [mss 1380,sackOK,TS val 79283084 ecr 0,nop,wscale 7], length 0
19:28:58.777248 IP 192.168.20.101.11526 > xxx.de.23023: Flags [S.], seq 1252543376, ack 1802740234, win 65160, options [mss 1460,sackOK,TS val 1133439721 ecr 79282081,nop,wscale 7], length 0
19:28:59.779374 IP 192.168.20.101.11526 > xxx.de.23023: Flags [S.], seq 1252543376, ack 1802740234, win 65160, options [mss 1460,sackOK,TS val 1133440723 ecr 79282081,nop,wscale 7], length 0
19:29:00.792129 IP xxx.de.23023 > 192.168.20.101.11526: Flags [S], seq 1802740233, win 64240, options [mss 1380,sackOK,TS val 79285100 ecr 0,nop,wscale 7], length 0
19:29:00.792870 IP 192.168.20.101.11526 > xxx.de.23023: Flags [S.], seq 1252543376, ack 1802740234, win 65160, options [mss 1460,sackOK,TS val 1133441737 ecr 79282081,nop,wscale 7], length 0
19:29:02.979382 IP 192.168.20.101.11526 > xxx.de.23023: Flags [S.], seq 1252543376, ack 1802740234, win 65160, options [mss 1460,sackOK,TS val 1133443923 ecr 79282081,nop,wscale 7], length 0
19:29:04.888799 IP xxx.de.23023 > 192.168.20.101.11526: Flags [S], seq 1802740233, win 64240, options [mss 1380,sackOK,TS val 79289196 ecr 0,nop,wscale 7], length 0
19:29:04.888967 IP 192.168.20.101.11526 > xxx.de.23023: Flags [S.], seq 1252543376, ack 1802740234, win 65160, options [mss 1460,sackOK,TS val 1133445833 ecr 79282081,nop,wscale 7], length 0
19:29:08.952726 IP 192.168.20.101.11526 > xxx.de.23023: Flags [S.], seq 1252543376, ack 1802740234, win 65160, options [mss 1460,sackOK,TS val 1133449897 ecr 79282081,nop,wscale 7], length 00

Es werden also die Paket an 192.168.20.101 weitergeleitet und beantwortet. So weit, so gut.

Wenn ich das gleich auf wg0 mache, dann werden die SYN ACK Pakete nicht über wg0 rausgeschickt.

Code Select

19:34:19.395412 IP xxx.de.23023 > 10.65.68.45.11526: Flags [S], seq 2533116111, win 64240, options [mss 1380,sackOK,TS val 79603694 ecr 0,nop,wscale 7], length 0
19:34:20.408152 IP xxx.de.23023 > 10.65.68.45.11526: Flags [S], seq 2533116111, win 64240, options [mss 1380,sackOK,TS val 79604707 ecr 0,nop,wscale 7], length 0
19:34:22.424482 IP xxx.de.23023 > 10.65.68.45.11526: Flags [S], seq 2533116111, win 64240, options [mss 1380,sackOK,TS val 79606723 ecr 0,nop,wscale 7], length 0
19:34:26.682679 IP xxx.de.23023 > 10.65.68.45.11526: Flags [S], seq 2533116111, win 64240, options [mss 1380,sackOK,TS val 79610980 ecr 0,nop,wscale 7], length 0

Meine limitierten Kenntnise lassen mich vermuten, dass irgendwas an der Firewall nicht stimmt. Verbindungsaufbau über NAT funktioniert von innen, aber nicht von außen? Die SYN ACK Pakete bleiben in der Firewall hängen.

Im Anhang noch ein paar Screenshots.

Jede Hilfe ist sehr willkommen.
Vielen Dank im Voraus!

Anhang:
https://i.imgur.com/x9hBagG.png
https://i.imgur.com/dJs9l38.png
https://i.imgur.com/Ylx9J3L.png
Title: Re: Probleme beim Port Forwarding LAN<->OPNsense<->Wireguard
Post by: mimugmail on October 02, 2020, 03:11:45 PM
Korrekt, Portforward auf WireGuard interface funktioniert nicht. Keine Ahnung wieso er das nicht checkt, ich vermute eine Limitierung am tun interface und pf
Title: Re: Probleme beim Port Forwarding LAN<->OPNsense<->Wireguard
Post by: Scanline on October 02, 2020, 03:12:49 PM
Gibt's dazu schon einen bugreport? Ich habe es jahrelang mit openwrt so gemacht.
Title: Re: Probleme beim Port Forwarding LAN<->OPNsense<->Wireguard
Post by: mimugmail on October 02, 2020, 03:46:56 PM
Ich glaub nicht, nein.
Title: Re: Probleme beim Port Forwarding LAN<->OPNsense<->Wireguard
Post by: Scanline on October 02, 2020, 04:30:09 PM
https://github.com/opnsense/core/issues/4389
Text only | Text with Images