Hi!
Wir haben folgendes Verhalten und müssten das in Opnsense einstellen. Mit einem billigen Hardware-Router wäre das ebenfalls möglich, da schien dies Einstellung standard zu sein. In Opnsense nicht.
Folgendes:
Ext-IP: 1.2.3.4
Int-IP: 10.10.10.100/24
Port: 15000
Wird innerhalb des Netzwerks die WAN-IP+Port angesprochen, findet ein Timeout statt.
1.2.3.4:15000 -> Timeout innerhalb des Netzwerks
Von Extern erscheint die gewünschte Webseite.
Intern kann die Webseite nur aufgerufen werden, in dem 10.10.10.100:15000 aufgerufen wird.
Es sollte so sein, dass wenn die externe-IP intern aufgerufen wird mit Port, dass die Webseite kommt, eben so wie extern.
Die Verwendung eines Hostnamens ist nicht möglich. Damit könnte ich es intern und extern regeln. Leider muss es aber eine IP-Adresse sein, die die externe-IP+Port darstellt. Die Programmeinstellung gilt für die internen Zugriffe und die externen. Extern funktioniert es, aber die eigentliche interne Verwendung/Zugriff ist nicht möglich.
Ich bin mir sicher, dass es nur eine Einstellung irgendwie in Configuration oder Firewall->Advanced ist oder ähnliches, aber egal was ich aktiviere/deaktiviere, es tut nix.
Falls ich mein gewünschtes Verhalten auch mit einer Route zustande bringen könnte, würde ich mich über Hilfe dazu freuen.
Vielen Dank im Voraus!!!!!
Meinst du eventuell "NAT Pinhole" bzw. "NAT Reflection" ?
Bitte Netzwerkplan und Screenshots deiner rules und Nat Einstellungen
Hi!
Das habe ich jetzt alles nach einander angestellt und auch alles gleichzeitig.
Hab auch einen Restart gemacht.
Dennoch, vom internen Netzwerk kommen ich mittels der externen IP und Port nicht dorthin, wo ich hinwill. Extern funktioniert derselbe Link.
Habe intern mal die externe-IP+Port80 gemacht und komme direkt auf die Firewall. Von Extern komme ich mittels Port80 nicht auf die Firewall sondern auf eine andere Homepage für den Port.
Insofern unterscheidet Opnsense mal zwischen intern-Port80 und extern-Port80. Somit müsste es doch auch einen Intern-Port80-Weiterleitung-zu-Port15000 geben oder ähnliches?
Jedenfalls. Die Einstellung war es mal nicht leider.
Aber genau so etwas hätte ich vermutet. Oder ich mache etwas falsch am Client und es würde eh schon funktionieren? Sollte das so passen?
(https://i.ibb.co/ns4nTTy/image.png) (https://ibb.co/rGqcggh)
Danke für deine Hilfe
Netzwerkplan, ganz simple:
externe IP: 1.2.3.4
interne IP: 10.10.10.1/24
1 Linux-Server: 10.10.10.100, der führt auf Port 15000 einen Webservice durch. Der soll via Nat-Weiterleitung extern zur Verfügung stehen.
Der Webservice nimmt die externe IP in der Konfiguration und spricht mit sich selbst damit und extern wird damit gesprochen.
Extern funktioniert, aber die Webseite kann nicht mit sich selbst sprechen, weil wenn externe-IP+Port versucht wird, kommt die Webseite nicht zu sich selbst.
Mag ein Fehler der Webseite sein, aber es funktioniert bei sehr vielen anderen mittels handelsüblichen normalem Router Tplink/Netgear etc.
Ich würde diese (bei uns virtualisierte) Applikation lieber mittels virtualisierter Opnsense laufen lassen.
Vielleicht weiß jemand, wie ich Opnsense mittels Routen(?) manipuliere, damit bei Eingabe der externen IP innerhalb des internen Netzwerks auch zur Webseite kommt, wie man sie von extern aufruft.
Oder vielleicht ist nur Nat-Reflection falsch eingestellt?
Quote from: werom-IT on November 27, 2020, 08:43:28 PM
Hi!
Das habe ich jetzt alles nach einander angestellt und auch alles gleichzeitig.
Hab auch einen Restart gemacht.
Dennoch, vom internen Netzwerk kommen ich mittels der externen IP und Port nicht dorthin, wo ich hinwill. Extern funktioniert derselbe Link.
Habe intern mal die externe-IP+Port80 gemacht und komme direkt auf die Firewall. Von Extern komme ich mittels Port80 nicht auf die Firewall sondern auf eine andere Homepage für den Port.
Insofern unterscheidet Opnsense mal zwischen intern-Port80 und extern-Port80. Somit müsste es doch auch einen Intern-Port80-Weiterleitung-zu-Port15000 geben oder ähnliches?
Jedenfalls. Die Einstellung war es mal nicht leider.
Aber genau so etwas hätte ich vermutet. Oder ich mache etwas falsch am Client und es würde eh schon funktionieren? Sollte das so passen?
(https://i.ibb.co/ns4nTTy/image.png) (https://ibb.co/rGqcggh)
Danke für deine Hilfe
Netzwerkplan, ganz simple:
externe IP: 1.2.3.4
interne IP: 10.10.10.1/24
1 Linux-Server: 10.10.10.100, der führt auf Port 15000 einen Webservice durch. Der soll via Nat-Weiterleitung extern zur Verfügung stehen.
Der Webservice nimmt die externe IP in der Konfiguration und spricht mit sich selbst damit und extern wird damit gesprochen.
Extern funktioniert, aber die Webseite kann nicht mit sich selbst sprechen, weil wenn externe-IP+Port versucht wird, kommt die Webseite nicht zu sich selbst.
Mag ein Fehler der Webseite sein, aber es funktioniert bei sehr vielen anderen mittels handelsüblichen normalem Router Tplink/Netgear etc.
Ich würde diese (bei uns virtualisierte) Applikation lieber mittels virtualisierter Opnsense laufen lassen.
Vielleicht weiß jemand, wie ich Opnsense mittels Routen(?) manipuliere, damit bei Eingabe der externen IP innerhalb des internen Netzwerks auch zur Webseite kommt, wie man sie von extern aufruft.
Oder vielleicht ist nur Nat-Reflection falsch eingestellt?
Daher Screenshot von den NAT Sachen und fw rules
NAT RULE
(https://i.ibb.co/3fGBPN8/image.png) (https://ibb.co/k3kQP8r)
Nat Rule Detail
(https://i.ibb.co/RHZHd95/image.png) (https://ibb.co/6sVsLmd)
In der Rule gibts auch Nat Reflection. Aber ich vermute, das repräsentiert die Einstellung, die in den Einstellung mittels Checkbox bei mir aktiviert wurde. Dennoch funktionierts ja nicht.
Bitte Fragen nach dem Programm oder wieso weshalb es so sein muss, ist was anderes, ich weiß, aber kann von mir nicht verändert werden.
Quote from: werom-IT on November 27, 2020, 08:52:10 PM
NAT RULE
(https://i.ibb.co/3fGBPN8/image.png) (https://ibb.co/k3kQP8r)
Nat Rule Detail
(https://i.ibb.co/RHZHd95/image.png) (https://ibb.co/6sVsLmd)
In der Rule gibts auch Nat Reflection. Aber ich vermute, das repräsentiert die Einstellung, die in den Einstellung mittels Checkbox bei mir aktiviert wurde. Dennoch funktionierts ja nicht.
Bitte Fragen nach dem Programm oder wieso weshalb es so sein muss, ist was anderes, ich weiß, aber kann von mir nicht verändert werden.
Nimm Mal als Interface nur WAN und evtl. auch reflection raus
Du schlägst eigentlich gerade wieder die Standard-Konfiguration vor, die eingestellt war.
Mit den Einstellungen von dir funktioniert es nicht.
Hab mehrere Opnsense-Router im Einsatz und alle Opnsenses scheinen sich gleich zu verhalten. Also Opnsense-mäßig ist das mal standardverhalten, dass im internen Netzwerk, die eigene wan-ip nicht richtig angesprochen werden kann, sowie im externen Netzwerk.
Irgendwie muss das ja trotzdem funktionieren, wieso können es sonst die physischen Billig-Router, die ich absichtlich nicht einsetzen will?
Quote from: werom-IT on November 27, 2020, 09:07:42 PM
Du schlägst eigentlich gerade wieder die Standard-Konfiguration vor, die eingestellt war.
Mit den Einstellungen von dir funktioniert es nicht.
Hab mehrere Opnsense-Router im Einsatz und alle Opnsenses scheinen sich gleich zu verhalten. Also Opnsense-mäßig ist das mal standardverhalten, dass im internen Netzwerk, die eigene wan-ip nicht richtig angesprochen werden kann, sowie im externen Netzwerk.
Irgendwie muss das ja trotzdem funktionieren, wieso können es sonst die physischen Billig-Router, die ich absichtlich nicht einsetzen will?
Wenn du die Nat Regel auf dem Lan interfaces hast, kommen die Pakete garnicht erst zum WAN Interface
Schöner ist in so einem Fall eigentlich Split-DNS. D.h. man erreicht die Webseite über einen FQDN. Öffentlich wird die WAN IP aufgelöst.
Intern löst die OPNsense per Unbound die interne IP auf.
NAT Reflection funktioniert grundsätzlich schon. Man muss es aber aktivieren.
Quote from: Gauss23 on November 28, 2020, 10:10:33 PM
Schöner ist in so einem Fall eigentlich Split-DNS. D.h. man erreicht die Webseite über einen FQDN. Öffentlich wird die WAN IP aufgelöst.
Intern löst die OPNsense per Unbound die interne IP auf.
NAT Reflection funktioniert grundsätzlich schon. Man muss es aber aktivieren.
Hi!
Danke für deine Antwort.
Du scheinst das mit einem Hostnamen machen zu wollen. Das wäre auch OK, nur ist leider IP-Adresse zwingend.
Daher ist intern/extern mittels Dns nicht zu unterscheiden.
Aber gibts nicht eine allgemeine Netzwerk-Regel oder -vorgehen, wie man sowas hier macht? Das kann ja nur eine Einstellung sein.
DIeses NAT-Reflection hört sich für mich so an. Aber ob eingeschalten oder ausgeschaltet es macht keinen Unterschied.
Hab das Interface auch nur WAN gemacht, bringt leider auch nix.
Immer noch kein Erfolg.
Das muss doch irgendwie möglich sein??? Sowas müsste man doch auch irgendwie anders lösen können als nur über diese eine gesuchte Einstellung in opnsense? Wie macht man sowas sonst?
Ich würde die Regel wie folgt aufbauen:
Interface ist WAN
IPV4
TCP
Destination WAN address
Port 15000
Redirect IP und Port wie Du es hast
NAT Reflection System default
Und Filter Rule auf Pass
Firewall: Settings: Advanced
Reflection for port forwards einschalten.
Dann brauchst Du (falls keine any/any Regel auf dem LAN) auf dem LAN eine Regel, die Zugriffe auf Deine WAN Address und Port 15000 zulässt.
Am besten die OPNsense mal durchbooten und dann testen.
So sollte es dann eigentlich klappen.
Hi!
Das war die Lösung! DANKE!
Destination WAN addressIn Kombination mit den 3 Checkboxen bei den NAT-Einstellungen, die alle aktiviert sind (siehe Screenshot Post1)
(https://i.ibb.co/ns4nTTy/image.png) (https://ibb.co/rGqcggh)
Funktioniert seither!
TOP!
Quote from: Gauss23 on November 29, 2020, 12:23:07 PM
Ich würde die Regel wie folgt aufbauen:
Interface ist WAN
IPV4
TCP
Destination WAN address
Port 15000
Redirect IP und Port wie Du es hast
NAT Reflection System default
Und Filter Rule auf Pass
Firewall: Settings: Advanced
Reflection for port forwards einschalten.
Dann brauchst Du (falls keine any/any Regel auf dem LAN) auf dem LAN eine Regel, die Zugriffe auf Deine WAN Address und Port 15000 zulässt.
Am besten die OPNsense mal durchbooten und dann testen.
So sollte es dann eigentlich klappen.
Bei mir will es immer noch nicht
Quote
Ich würde die Regel wie folgt aufbauen:
Interface ist WAN
IPV4
TCP
Destination WAN address
Port 15000
Redirect IP und Port wie Du es hast
NAT Reflection System default
Und Filter Rule auf Pass
Firewall: Settings: Advanced
Reflection for port forwards einschalten.
Dann brauchst Du (falls keine any/any Regel auf dem LAN) auf dem LAN eine Regel, die Zugriffe auf Deine WAN Address und Port 15000 zulässt.
Am besten die OPNsense mal durchbooten und dann testen.
So sollte es dann eigentlich klappen.
Folgende Regel für LNA (Rules) habe ich gemacht:
Ist da noch was falsch?
Interfaces: LAN1
Block private networks: Disabled
Block bogon networks: Disabled
Interfaces: DMZ
Block private networks: Disabled
Block bogon networks: Disabled
Interfaces: WAN
Block private networks: Disabled
Block bogon networks: Disabled
Aus der DMZ über die Firewall zurück in DMZ funktioniert die Webseite, aber vom Lan zur DMZ über die Firewall geht es nicht
Danke für einen Tipp:
Siehe Firewall Rules an.
https://ibb.co/0J9JrSB (https://ibb.co/0J9JrSB)
(https://i.ibb.co/2KMKdQ8/lanrule.png)