OPNsense Forum

Hallo,

aus Kompatibilitätsgründen mit dem örtlichen DSLAM musste ich meinen Draytek Vigor 165, der als Modem für meinen VDSL-Anschluss diente, durch einen Speedport Smart 3 der Telekom ersetzen.

Dieser läuft, wie der Vigor zuvor auch schon, im reinen Modem-Betrieb.
Nun möchte ich gerne auf die Info-Seite des Speedports zugreifen können, um die Werte einsehen zu können mit denen der Anschluss synchron wird.
Dazu habe ich wie in der Anleitung (https://www.telekom.de/hilfe/downloads/bedienungsanleitung-speedport-smart-3.pdf) auf den Seiten 293/294 beschrieben die OPNsense mit Port LAN1 verbunden.

Unglücklicherweise lässt sich die Statusseite des Speedports aber nur über die fest vorgegebene APIPA-Adresse 169.254.2.1 aufrufen.
Gemäß RFC-Spezifikation darf eine solche Adresse ja nicht geroutet werden.

Welche Möglichkeiten habe ich nun, um aus einem anderen Subnetz auf das Gerät zugreifen zu können?

Die Telekom hat zwischenzeitlich bestätigt, dass die vorgegebene IP-Adresse des Speedports nicht geändert werden kann.

Gibt es noch Ideen wie man auf die 169.254.2.1 hinter der OPNsense zugreifen könnte?

Probier, die Sense statisch auf 169.254.2.2 einzustellen, am entsprechenden Port, und ob du von der Sense aus den Speedport anpingen kannst.

Wenn ja, dann sollte ein Port-Forwarding-NAT (routet ja nicht) von einer regulären Adresse - z.B. eine virtuelle Adresse intern - auf die 169.254.2.1 möglich sein.

"Nicht geroutet werden" bedeutet ja, dass die Adresse nur im lokalen Netzsegment sichtbar ist. Von einer anderen Adresse im selben Netzsegment ist sie sichtbar, also von der OpnSense selbst aus. Das heißt: entweder NAT oder Du nutzt Squid auf der OpnSense als Web-Proxy, dann findet der Zugriff von technisch von der OpnSense aus statt.

Quote from: pmhausen on May 10, 2022, 02:48:37 PM
Probier, die Sense statisch auf 169.254.2.2 einzustellen, am entsprechenden Port, und ob du von der Sense aus den Speedport anpingen kannst.

Anpingen von der Sense aus funktioniert schon mal.

Quote from: pmhausen on May 10, 2022, 02:48:37 PM
Wenn ja, dann sollte ein Port-Forwarding-NAT (routet ja nicht) von einer regulären Adresse - z.B. eine virtuelle Adresse intern - auf die 169.254.2.1 möglich sein.

Damit hatte ich leider weniger Glück.
Habe die Schnittstelle zum Modem mit der IP-Adresse 10.10.11.1/30 versehen.
Dann eine virtuelle IP-Adresse 169.254.2.2/30 (Typ "IP Alias") angelegt und der Schnittstelle zum Modem zugewiesen.
Über die Regel zur NAT-Portweiterleitung habe ich dann festgelegt, dass alle Anfragen die an die 10.10.11.1 gehen an die 192.254.2.1 umgeleitet werden sollen.
Über die Firewall-Regeln habe ich dann noch festgelegt, dass ich von meinem Client aus überall hin zugreifen darf.
Von meinem Client habe ich dann versucht https://10.10.11.1 aufzurufen.
Es konnte aber leider keine Verbindung hergestellt werden.

Was mache ich falsch?

Kann mir jemand helfen die richtigen Regeln für mein Szenario anzulegen?

SNAT eingerichtet?
Die 10er IP muss zur 169.254.2.2 werden. /30 hätte ich auch nicht genommen sondern den offiziellen /16 da die andere Seite das ja wahrscheinlich auch hat.

Ausgendes NAT steht auf "Hybride Einstellungen". Eine separate Regel wurde für diesen Anwendungsfall bisher nicht angelegt.
Fehlt hier noch was?

Quote from: NilsS on May 18, 2022, 11:57:21 AM
Die 10er IP muss zur 169.254.2.2 werden.

Du meinst also die IP der Schnittstelle und der virtuellen IP tauschen? Das hatte ich bereits, hat aber keinen Unterschied gemacht.

Quote from: NilsS on May 18, 2022, 11:57:21 AM
/30 hätte ich auch nicht genommen sondern den offiziellen /16 da die andere Seite das ja wahrscheinlich auch hat.

Nachdem der Ping in der Konstellation mit /30 von der OPNsense funktioniert hatte, würde ich hier nicht das Problem vermuten.

Wenn du meinen Port Forwarding vorschlag aufgreifen willst, dann musst du auf der LAN-Schnittstelle z.B. den Port 8080 oder so an die APIPA-Adresse des Modems forwarden. Die 10er Adresse brauchst du an der Schnittstelle zum Modem m.E. nicht.

Und ich würde auch /16 nehmen ...

Ja, den Port Forwarding Vorschlag würde ich gerne aufgreifen.
Das habe ich genau so versucht. Hat aber leider nicht funktioniert.

Wird jetzt noch eine Ausgehende NAT-Regel benötigt?

Erstens beim Port Forwarding unten ein "pass" be "associated rule". Zweitens klar ein NAT auf dem Interface mit der APIPA Adresse zum Modem.

Entweder bringe ich hier etwas durcheinander, oder stehe total auf dem Schlauch  :(

Könnt ihr mir das Step-By-Step erklären?

NAT - port forward - interface: LAN, port 8080 - destination APIPA vom Modem, port 80 - associated firewall rule pass.
NAT - outbound - interface zum Modem - interface address

Reicht das?

Quote from: pmhausen on May 18, 2022, 03:28:15 PM
NAT - port forward - interface: LAN, port 8080 - destination APIPA vom Modem, port 80 - associated firewall rule pass.

Das LAN-Interface hat dabei eine beliebige interne "nicht-APIPA"-Adresse?

Quote from: pmhausen on May 18, 2022, 03:28:15 PM
NAT - outbound - interface zum Modem - interface address

Mit Interface zum Modem ist dann das LAN-Interface aus der Port-Forward-Regel gemeint?
Mit Interface Adress ist die LAN-IP gemeint die ich der Schnittstelle vergeben habe?
Ist das dann die Zieladresse, oder "Übersetzung/Ziel"?

Wird nun noch eine virtuelle IP-Adresse benötigt?

Mit LAN-Interface ist dein internes LAN gemeint. Die Adresse, die die OPNsense dort hat.

PC ----> LAN-OPNsense-APIPA ----> Modem

Du gibst dann am Browser z.B. http://192.168.1.1:8080 ein und das Port Forward sorgt dafür, dass der Request weitergeleitet wird an das Modem. Übersetzungs-Ziel ist die APIPA-Adresse vom Modem Port 80.

Wenn das Modem HTTPS verwendet, dann nimmst du eben 8443 intern und 443 beim Ziel.

Genau so wie wenn man ein Port Forward von der externen Adresse zu einem internen Server machen würde.

Verzeiht mir bitte wenn ich begriffsstutzig erscheinen mag, aber ich bekomm es mit den Angaben einfach nicht hin.

Vielleicht verstehe ich es mit ganz konkreten Angaben wo es keinesfalls zu Missverständnissen kommen kann.

Ich habe folgende Gegebenheiten:

• Gruppe der Admin-Clients: 10.20.20.201/24@VLAN20; 10.60.60.201/24@VLAN60
• Schnittstelle zum Modem: 169.254.2.2/30@VLAN11
• Regel dass die Gruppe der Admin-Clients überhall hin zugreifen darf.
• IP-Adresse der OPNsense in jedem Subnetz ist jeweils die x.x.x.1
• Der Speedport der Telekom hat im Modembetrieb unveränderlich die IP 169.254.2.1
• Der Speedport liegt ebenfalls im VLAN11
• Ping von der OPNsense zum Speedport ist möglich
• Die Webkonfiguration des Speedports wird über HTTPS (Port 443, tcp) aufgerufen
• aktuell ist keine virtuelle IP angelegt
• die Webgui der OPNsense wird aktuell über Port 8443 aufgerufen

Welche Konfiguration ist nötig, damit die Gruppe der Admin-Clients auf die HTTPS-Weboberfläche des Speedports zugreifen kann?

• Du änderst die Adresse in VLAN 11 in 169.254.2.2/16.
• Du legst eine NAT-Regel Outbound an, die alles, was richtung VLAN 11 geht, auf 169.254.2.2 (VLAN11_ADDRESS) NATet.
• Eventuell funktioniert es dann schon mit https://169.254.2.1, wenn nicht:
• legst du ein NAT Port Forwarding auf VLAN 20 an, das Port 9443 weiterleitet auf 169.254.2.1 Port 443 und dann
• rufst du im Browser https://10.20.20.201:9443 auf.

Quote from: pmhausen on May 18, 2022, 08:01:04 PM

• Du änderst die Adresse in VLAN 11 in 169.254.2.2/16.

erledigt

Quote from: pmhausen on May 18, 2022, 08:01:04 PM

• Du legst eine NAT-Regel Outbound an, die alles, was richtung VLAN 11 geht, auf 169.254.2.2 (VLAN11_ADDRESS) NATet.
• Eventuell funktioniert es dann schon mit https://169.254.2.1

erledigt. Ein Aufruf direkt mit https://169.254.2.1 funktioniert nicht.

Quote from: pmhausen on May 18, 2022, 08:01:04 PM

• legst du ein NAT Port Forwarding auf VLAN 20 an, das Port 9443 weiterleitet auf 169.254.2.1 Port 443 und dann
• rufst du im Browser https://10.20.20.201:9443 auf.

Woher kommt jetzt die 10.20.20.201?
Auch mit eingerichtetem Port Forwarding funktioniert ein Aufruf nicht.

Was mache ich falsch?

Hast du beim Port Forwarding die "associated firewall rule" auf "pass" gesetzt? Die von mir genannte IP-Adresse sollte die Interface-Adresse in deinem VLAN 20 sein, vielleicht hab ich mich da vertan. Und das Port Forwarding leitet dann eben von diesem Interface in VLAN 20 weiter auf die APIPA.

Wenn es dann immer noch nicht funktioniert, dann mit tcodump auf beiden Interfaces gucken, was da mit den Paketen passiert. Und dann hast du nöglicherweise nichts falsch gemacht. Ich hab jeine Ahnung, ob das so funktioniert. Ich mache nur auf der Basis von >30 Jahren Erfahrung ein paar Vorschläge, die funktionieren könnten. Ich hab nirgendwo APIPA. Ist ja auch Mist, sowas  ;)

Quote from: pmhausen on July 07, 2022, 06:13:37 PM
Hast du beim Port Forwarding die "associated firewall rule" auf "pass" gesetzt?

Ja, auch das hatte ich getestet.

Habe alles gemäß den Angaben im dem Thread hier nochmal komplett neu angelegt, aber ich bekomme es leider nicht hin Zugriff zu der Webkonsole zu erhalten.

Kurioserweise lässt sich das Gerät unter der 169.254.2.1 jetzt auch nicht mehr anpingen.
Zum Gegentest habe ich ein Notebook direkt an den Speedport gehängt. Von dort aus kam ich über die 169.254.2.1 auf die Webkonfig. Aber anpingen konnte ich auch vom Notebook aus nicht. Auch nach einem Neustart des Speedports.

Hier (https://community.ui.com/questions/Traffic-between-Interface-and-VLAN/3480aa5f-2403-41c8-b1bd-31b821e20f24#answer/b3833de5-c17d-4d65-9aa3-1cbb6511b190) hat das was ich vorhabe wohl jemand auf einem Ubiquiti-Router hinbekommen.
Leider war ich aber auch nicht in der Lage die dort aufgeführten Befehle in Konfigurationsschritte für die OPNsense-GUI umzusetzen.