Hallo alle zusammen,
ich habe folgende Konfiguration:
1x WAN, 2x LAN (10.0.10.x und 10.0.20.x).
Internet routing funktioniert bestens. NAT von aussen nach innen in beide Netze auch.
Ich wollte aber jetzt in OPNSense die Firewall für RDP traffic von 10.0.10.x auf 10.0.2.21 öffnen.
Aber leider bekomme ich das nicht hin.
Kann aber sein, dass meine Überlegung falsch ist ;)
Hier meine Regel für das LAN2 IN:
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 * LAN1 net * * * * * LAN1 to any
Die Regel für LAN1 OUT:
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 TCP/UDP * * * 3389(RDP) * *
Vielen Dank für eure Hilfe
Quote from: opnjester on December 28, 2020, 11:04:53 AM
Hallo alle zusammen,
ich habe folgende Konfiguration:
1x WAN, 2x LAN (10.0.10.x und 10.0.20.x).
Internet routing funktioniert bestens. NAT von aussen nach innen in beide Netze auch.
Ich wollte aber jetzt in OPNSense die Firewall für RDP traffic von 10.0.10.x auf 10.0.2.21 öffnen.
Aber leider bekomme ich das nicht hin.
Kann aber sein, dass meine Überlegung falsch ist ;)
Hier meine Regel für das LAN2 IN:
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 * LAN1 net * * * * * LAN1 to any
Die Regel für LAN1 OUT:
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 TCP/UDP * * * 3389(RDP) * *
Vielen Dank für eure Hilfe
Also wenn LAN 1 10.0.10.x ist
Sollte dort eine "in" Regel mit dem Ziel 10.0.20.21:3389 reichen.
Mehr regeln brauchst du dann nicht
Hallo,
ich habe jetzt nur die folgende Regel auf LAN2:
.
IN:
IPv4 TCP/UDP * * 10.0.20.21 3389 * * RDP
Aber es klappt immer noch nicht
Beide LANs sind auf demselben Managed Switch. Also port 1-6 untagged LAN1 und Port 7-12 untagged LAN2.
Das sollte aber nicht das Problem sein, oder?
Du hast, denke ich, das Prinzip von OPNsense Firewallregeln noch nicht verstanden/verinnerlicht.
Die Regeln werden auf dem Interface angelegt auf dem die Pakete an der OPNsense ankommen.
Welches LAN ist nun welches Interface?
Ich nehme an die Regel ist auf dem falschen Interface.
Source ist dann das Netzwerk von dem LAN was an diesem Interface angebunden ist und destination ist der rdp Host.
Quote from: Gauss23 on December 29, 2020, 12:17:35 AM
Du hast, denke ich, das Prinzip von OPNsense Firewallregeln noch nicht verstanden/verinnerlicht.
Die Regeln werden auf dem Interface angelegt auf dem die Pakete an der OPNsense ankommen.
Welches LAN ist nun welches Interface?
Ich nehme an die Regel ist auf dem falschen Interface.
Source ist dann das Netzwerk von dem LAN was an diesem Interface angebunden ist und destination ist der rdp Host.
Hallo Gauss23,
ok danke, das war schon mal mein erster Fehler. Das mit der Richtung hatte ich echt nicht verinnerlicht :-[
jetzt habe ich folgende Regel auf LAN1 (in dem Lan befindet sich der PC von dem aus RDP initiiert wird):
Pv4 TCP/UDP LAN1 net * 10.0.20.21 3389 * * RDP to Server
aber es klappt immer noch nicht :(
Ich tippe jetzt auf die Windows Firewall vom Ziel Host. Die lassen per default nur Clients aus dem eigenen Subnet zu. Entweder mal testweise ganz deaktivieren oder das andere Subnet in der Firewall hinzufügen unter Windows.
Du kannst auf unter Firewall: Log Files: Live View siehst du was gerade so passiert. Wenn du der Rdp Regel noch sagst, dass sie loggen soll, solltest du die Verbindungsversuche nun in grün sehen.
Quote from: Gauss23 on December 29, 2020, 09:14:49 AM
Ich tippe jetzt auf die Windows Firewall vom Ziel Host. Die lassen per default nur Clients aus dem eigenen Subnet zu. Entweder mal testweise ganz deaktivieren oder das andere Subnet in der Firewall hinzufügen unter Windows.
Du kannst auf unter Firewall: Log Files: Live View siehst du was gerade so passiert. Wenn du der Rdp Regel noch sagst, dass sie loggen soll, solltest du die Verbindungsversuche nun in grün sehen.
Hallo,
ich habe testweise mal die Windows Firewall deaktiviert, aber das bringt auch nichts.
Logging habe ich auch aktiviert auf der Regel, aber es tauchen keine RDP Verbindungsversuche in den Logs auf...
Ich filtere einfach auf Interface LAN1 und sehe nur DHCP anfragen oder die anti-lockout rule für OPNSense. Aber nichts auf port 3389
Wie sehen denn nun aktuell deine Regeln aus? Damit man auf dem aktuellen Stand ist :)
Quote from: JeGr on December 29, 2020, 04:04:57 PM
Wie sehen denn nun aktuell deine Regeln aus? Damit man auf dem aktuellen Stand ist :)
Hi.
Also als IN Regel auf LAN1:
IPv4 TCP/UDP LAN1 net * 10.0.20.21 3389 (MS RDP) * * RDP to T-Server
Also du müsstest die Pakete sehen, wenn Logging aktiviert ist. Und wenn die Regel nicht greifen würde, würdest Du die Pakete als abgelehnt sehen.
Mach doch mal nen Netzwerkplan: https://forum.opnsense.org/index.php?topic=7216.0
Sonst stochern wir hier weiter in der Gegend rum.
Quote from: Gauss23 on December 29, 2020, 04:52:53 PM
Also du müsstest die Pakete sehen, wenn Logging aktiviert ist. Und wenn die Regel nicht greifen würde, würdest Du die Pakete als abgelehnt sehen.
Mach doch mal nen Netzwerkplan: https://forum.opnsense.org/index.php?topic=7216.0
Sonst stochern wir hier weiter in der Gegend rum.
WAN / Internet
:
:
:
.-----+-----.
| Gateway | MikroTik Router vom Provider DMZ
'-----+-----'
|
WAN | IP or Protocol 192.168.210.247 / 21
|
.-----+------.
| OPNsense
'-----+------'
|
------------------------+--------------------
| |
LAN1 | 10.0.10.1/24 LAN2 | 10.0.20.1/24
| |
| Port 1-12 | Port 13-24
.---------------------+---------------------.
| Managed LAN-Switch |
'---------------------+---------------------'
| |
...-----+------... (Clients/Servers) ...-----+------... (Clients/Servers)
Was ich erreichen möchte:
-von LAN1 aus per RDP auf einen Server in LAN2 zurückgreifen
-SMB von einem Host in LAN2 auf einen Host in LAN1
-vom LAN2 Druckserver auf einen IP Drucker in LAN1
Aber jetzt es hängt schon bei RDP ;)
Irgendwann soll noch ein 3. LAN interface rein für WLAN. Aber zuerst musst das hier mal laufen ;)
Hallo,
hat jemand ne Idee was das Problem sein könnte?
VG
Wenn du die Pakete im Logging weder abgelehnt noch zugelassen siehst, laufen sie offenbar nicht durch die OPNsense.
Ist die OPNsense denn der default gateway für die Netzwerke?
Zeig doch mal screenshots von den Firewall Regeln: alle in Floating und alle auf LAN1. Die RDP Regel mal ganz nach oben schieben. Und dann auch mal den Inspect Knopf oben drücken und schauen, ob die Regel evaluiert wird.
Quote from: Gauss23 on January 02, 2021, 11:23:59 PM
Wenn du die Pakete im Logging weder abgelehnt noch zugelassen siehst, laufen sie offenbar nicht durch die OPNsense.
Ist die OPNsense denn der default gateway für die Netzwerke?
Zeig doch mal screenshots von den Firewall Regeln: alle in Floating und alle auf LAN1. Die RDP Regel mal ganz nach oben schieben. Und dann auch mal den Inspect Knopf oben drücken und schauen, ob die Regel evaluiert wird.
Guten Abend,
Also OPNSense ist default gateway für beide Netzwerke und beide Netzwerke können auch problemlos nach Aussen kommunizieren.
In beiden Netzen läuft Testweise ein Webserver, der jeweils von Aussen erreichbar ist (NAT)
Nur eben komme ich intern nicht von LAN1 auf zb den Webserver in LAN2. Ich habe dies mal versucht, das es ja nicht mit RDP klappt.
RDP port habe ich auf 8206 umgestellt (RDP über den Port funktioniert auch solange ich mich in LAN2 befinde)
Mittlerweile sehe ich auch (musste ein wenig mit den Filtern rumprobieren) in den Logs, dass die Pakete zugelassen sind (siehe Screenshot), jedoch verstehe ich folgendes nicht:
Die Richtung ist ja out. Aber die Regel ist in LAN1 als In, da ich ja von LAN1 in die Firewall komme. Und dann möchte ich auf eine bestimmte IP in LAN2.
Die Regel wird evaluiert laut inspect.
Zur gleichen Problematik: Ich habe einen OpenVPN server in OPNSense eingerichtet mit folgendem Netz: 10.0.8.0/24. Die automatisch erstellte Regel lässt alles durch für die VPN Clients. Ich kann auch alles im LAN1 erreichen. Aber wiederum nicht in LAN2 ^^
Vielen Dank für deine Hilfe
MfG
Such mal nach ,,push Route" oder so ähnlich. Damit kannst du dein lan2 angeben
Gesendet von iPad mit Tapatalk Pro
Quote from: opnjester on January 03, 2021, 11:25:03 PM
RDP port habe ich auf 8206 umgestellt (RDP über den Port funktioniert auch solange ich mich in LAN2 befinde)
Diese Windows Firewall hat schon öfter für verblüffende Probleme gesorgt. Wenn die Pakete durch die OPNsense gehen, liegt das Problem am RDP Host. Oder Du hast noch andere Probleme im LAN2.
Quote from: opnjester on January 03, 2021, 11:25:03 PM
Mittlerweile sehe ich auch (musste ein wenig mit den Filtern rumprobieren) in den Logs, dass die Pakete zugelassen sind (siehe Screenshot), jedoch verstehe ich folgendes nicht:
Die Richtung ist ja out. Aber die Regel ist in LAN1 als In, da ich ja von LAN1 in die Firewall komme. Und dann möchte ich auf eine bestimmte IP in LAN2.
Du solltest aber zusätzlich auch Pakete mit der Description deiner RDP Regel sehen. Du siehst nur zusätzlich das Out Paket.
Ich bin nicht ganz sicher, aber probier mal unter den advanced Settings den haken bei
[ ] disable reply-to
zu setzen. Es knnte sein, dass das Paket von LAN 1 nach LAN 2 kommt, vom Server beantwortet wird und dann an den eigentlichen Gateway geht und nicht an den OPNsense.
Über das bin ich auch erst gestolpert.
Quote from: Zoki on January 04, 2021, 10:30:59 AM
Ich bin nicht ganz sicher, aber probier mal unter den advanced Settings den haken bei
[ ] disable reply-to
zu setzen. Es knnte sein, dass das Paket von LAN 1 nach LAN 2 kommt, vom Server beantwortet wird und dann an den eigentlichen Gateway geht und nicht an den OPNsense.
Über das bin ich auch erst gestolpert.
...aber bei dir lag das Zielnetz hinter dem WAN-Interface der OPNsense, korrekt?
Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?
Ja, das ist korrekt. Ich hatte die Option auch bei den Netzen nur hinter der OPNsense drin. Nachdem ich das auf den Standard zurückgesetzt habe geht es trotzdem noch.
Mein Tipp war also nicht richtig.
Quote from: Gauss23 on January 04, 2021, 11:55:40 AM
Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?
Hallo,
ja also die VLANs sind untagged.
Bezüglich lokaler Firewall werde ich am Wochende mal vor Ort gehen um das auszuschliessen.
Anbei noch die Log.
Ich habe versucht von LAN1 sowie VPN auf den webserver (2009) sowie rdp zuzugreifen.
Quote from: micneu on January 04, 2021, 08:07:21 AM
Such mal nach ,,push Route" oder so ähnlich. Damit kannst du dein lan2 angeben
Gesendet von iPad mit Tapatalk Pro
Wenn ich das mache, wird die OPENVpn Verbindung nach einigen sekunden getrennt.
Quote from: Gauss23 on January 04, 2021, 11:55:40 AM
Wie ich eben gesehen habe, gehen beide Netzwerke (LAN1&LAN2) über einen Switch. Ist der mit VLANs konfiguriert? Mit wie vielen Ports gehst Du dann in die OPNsense? Sind die Ports dann getagged oder untagged?
Hallo,
ich habe mal den RDP Port auf dem Server in LAN2 wieder auf standard zurückgesetzt. Die Windows Firewall ist auch komplett offen für alles was RDP betrifft. (screenshot anbei)
Beide Netzwerke benutzen denselben Switch. Anbei ein Screenshot der Konfiguration. Interface LAN1 vom OPNSense hängt an Port1 und OPNSense Interface LAN2 hängt an Port19.
Innerhalb beider Netze funktioniert auch alles einwandfrei. Nur eben würde ich gerne von einer bestimmten IP in LAN1 per RDP auf eine bestimmte IP in LAN2 zurückgreifen.
Vielen Dank
MfG
Was sagt ein tracert von PC aus Netz 1 an PC Netz 2 und umgekehrt?
Ich tippe immer noch auf Windows Firewall. Erlauben bedeutet da meist nur "für das eigene Netz erlauben". Da das andere LAN für Windows dann ein entferntes Netz ist, nimmt es diese Pakete nicht an.
Wenn die Pakete durch die OPNsense laufen und erlaubt werden, wird das Problem die Windows Firewall sein. Am besten mal komplett deaktivieren.
Ich bin da bei @Gauss23.
@opnjester bitte versuch mal an dem Client/Server im LAN2, auf den du RDP machen möchtest die Windows Firewall KOMPLETT abzuschalten. Alles alles. Ganz aus. Und dann mal bitte vom Client aus LAN1 nochmal versuchen. Wenns im Firewall Log nämlich in den Regeln auftaucht, dass RDP erlaubt wird und das Paket geht rein/raus aus der Sense, dann kommt das im Normalfall auch im LAN2 an. Da aber Windows seinen Standardregelsatz hat und dort immer NUR das Netz erlaubt, in dem sich der PC befindet (also 10.10.20.0/24) und alles andere als extern/WAN/sonstwas klassifiziert, wird das im Normalfall alles abgelehnt. Hatten wir schon häufig, dass bei Windows ewig an der Firewall (Sense) gesucht wurde, es aber die eigene Windows Firewall (oder falsches Routing) war. :)