Hallo,
bin erst umgestiegen von IPFire (davor IPCop) und stehe gerade vor dem Problem meine Port Forwardings einzurichten. Bei allen hab ich momentan das gleiche Problem, NAT Port Forwarding Regel ist erstellt doch wenn ich unter Firewall>Logs>Live View mitschaue bekomme ich die Meldung das die "Defaul deny Rule" blockt. Habe einige Tutorials angesehen und auch in der Dokumentation nachgelesen aber keine Lösung gefunden. Vermute mal ich hab irgendeine Kleinigkeit übersehen. Es sind zwar mehrere VLANs, jedes mit eigenem LAN Port aber es geht immer nur um VLAN 1. Bringe hier als Beispiel nur eine der Regeln, die anderen sind ident angelegt. Das Kabelmodem vom Provider gibt mir einfach nur meine WAN IP(s).
Hier mal mein Setup:
Versions OPNsense 20.7.5-amd64
FreeBSD 12.1-RELEASE-p10-HBSD
OpenSSL 1.1.1h 22 Sep 2020
WAN / Internet
:
: Provider
:
.-------+-------.
| Gateway | (KabelModem)
'-------+-------'
|
WAN | IP
|
.-------+--------.
| OPNsense |
'-------+---------'
| | |
VLAN 1-3
NAT Port Forward Eingtrag:
Interface Proto Address Ports Address Ports IP Ports Description
WAN TCP * * ftp_server_ip ftp_server_port ftp_server_ip ftp_server_port ftp_server_forward
Ich weiß für FTP gibts ein Proxy Plugin, damit klappte es auch nicht, mit unterschiedlichen anderen Diensten(zb ssh) war es aber das gleiche Problem.
Im Zuge der diversen Tutorials bzw anderer Foreneinträge mit dem Problem hab ich es sowohl mit als auch ohne Aliasse probiert. Weiters habe ich unter Firewall>Settings>Advanced auch folgende Einstellungen probiert:
Reflection for port forwards: Aktiv
Reflection for 1:1 : Deaktiviert
Automatic outbound NAT for Reflection: Aktiv
Log Meldung
wan Dec 11 15:25:38 externeIP:60948 WANIP:21 tcp Default deny rule
Details:
__timestamp__ Dec 11 14:51:18
ack
action [block]
anchorname
datalen 0
dir [in]
dst WANIP
dstport 21
ecn
id 8800
interface igb0
interface_name wan
ipflags DF
label Default deny rule
length 60
offset 0
proto 6
protoname tcp
reason match
rid 02f4bab031b57d1e30553ce08e0ec131
ridentifier 0
rulenr 12
seq 2915839286
src externeIP
srcport 58383
subrulenr
tcpflags S
tcpopts
tos 0x0
ttl 61
urp 65535
version 4
Wo kann ich da noch ansetzen? Innerhalb des VLAN 1 funktioniert es. Extern probiert habe ich es übers Handy, von mir zuhause und von einem Freund aus um da auf Nummer sicher zu gehen.
Bitte mal Screenshots von den Sachen was du konfiguriert hat
so kann man besser sehen wo das Problem ist.
Gesendet von iPad mit Tapatalk Pro
Hier sind die Screenshots https://imgur.com/a/g26TpZG (https://imgur.com/a/g26TpZG)
Die NAT Regel macht schon keinen Sinn:
Du hast als Destination "ftp_server_ip" UND dann als Redirect ebenfalls "ftp_server_ip" - wie soll das denn auch funktionieren? :) Das eine ist die externe Adresse - wenn du das daheim einsetzt dann wahrscheinlich ohne mehrere IP Adressen etc. dann ist die Destination, wo die Pakete hingehen, die IP vom WAN also sehr wahrscheinlich WAN_address. Da man keine Aliase sieht vermute ich mal dass "ftp_server_ip" die interne IP ist wo das ganze hin soll, dann ist das die Redirection IP. Aber so passt eben schon das NATting nicht, weshalb die Pakete auch wegen Default Deny geblockt werden weil sie nicht auf die Regel matchen :)