ich habe 2 opnsense router, die per wireguard verbunden sind. nun möchte ich aus dem einen subnetz eine box in einem subnetz des anderen routers ansprechen und habe die entsprechenden firewallregeln bereits eingepflegt. leider reagiert die angesprochene box nur auf Anfragen aus dem eigenen subnetz (dt. "medizintechnik", sonst nur von xiaomi bekannt).
ich habe schon gelesen, dass per nat (wohl hybridmodus) eine "verschleierung" möglich sei.
welche regel sollte ich dafür einfügen (sendende ip 10.10.100.10 auf empfangende ip 192.168.120.100 an port 80; z.b verschleierung 10.10.100.10 als 192.168.120.90)?
danke
Auf der Firewall die als LAN 192.168.120 hat gehst du auf Firewall : NAT : Outboud, dort von Auto NAT auf Hybrid, dann kannst du eine manuelle Regeln anlegen. Auf das + und dann Interface LAN, source ist 10.10.100.0/24, destiantion die 120.100, Proto TCP, Port http, Translation = Interface Address.
Dann gehts (wie telefonisch besprochen) :)
vielen dank - so funktioniert alles selbst mit schlechter technik
zur vervollständigung der anleitung für anfänger (wie mich): zielnetzwerk als schnittstelle auswählen (hier interface von vlan 120), ports sowohl bei quelle als auch ziel eingeben
Quote from: sbecker on October 05, 2022, 12:56:23 PM
vielen dank - so funktioniert alles selbst mit schlechter technik
zur vervollständigung der anleitung für anfänger (wie mich): zielnetzwerk als schnittstelle auswählen (hier interface von vlan 120), ports sowohl bei quelle als auch ziel eingeben
War das eine Nachfrage oder ein note to self for all? :)
funktioniert leider doch nicht so wie es sollte...
- schnittstelle: soll ich das interface vom vlan des clients 192.168.120.100 nehmen oder das interface vom wireguard?
- soll ich sowohl quell- als auch zielport eintragen? auch den übersetzungsport?
Achso .. also Interface ist LAN, Quellport bleibt any, nur Zielport 80.
Es liest sich dann so: Pakete die aus LAN raus gehen, mit Quelle X und Ziel Y, mit Zielport 80, auf die Interface Adresse (LAN IP) natten
danke für die schnelle Hilfe
durch die erklärungen habe ich die logik verstanden.
das problem bestend darin, dass (wie die regel ja bestimmte) die abfrage über die gateway-ip erfolgte - und die ist wohl aus "sicherheitsgründen" gesperrt. nun habe ich eine andere virtuelle adresse gewählt und alles funktioniert wie es soll!