Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: shb256 on November 13, 2022, 04:18:52 PM

Title: Portforwarding geht nicht
Post by: shb256 on November 13, 2022, 04:18:52 PM
Hallo,

ich habe eigentlich ein einfaches Problem, welches ich trotzdem nicht zum laufen bekomme.
Opnsense ist firsch installiert (Läuft auf einem Proxmox Server mit zwei NICs) und abgesehen von den IP Adressen und NAT ist noch nichts konfiguriert

Code Select

------------+  +------------------------------------------------             +-----------------------------------------------------------------+
|Internet--- |opnsense (Netz A)                               |----------| opnsense (Netz B)                                                     |
|              |   |WAN (DHCP) LAN(192.168.200.1/24)  |             | WAN (DHCP 192.168.200.194) LAN (10.201.1.1/24) |
------------+  +------------------------------------------------             +------------------------------------------------------------------


Nun versuche ich aus den Netz A über NAT in das Netz B zu kommen.
Eigentlich geht fast alles (außer NAT)
Rechner aus Netz A (IP 192.168.200.113/24 )-> Internet
Code Select

  1    <1 ms    <1 ms    <1 ms  192.168.200.1
  2     6 ms     6 ms     6 ms  gate1.vit0.new3.ccnst.de [109.199.176.8]
  3     *        9 ms    16 ms  icpeer1.muc0.new3.ccnst.de [109.199.178.106]
  4     8 ms     8 ms     8 ms  pvpeer15169-ext1.muc0.new3.ccnst.de [109.199.161.34]
  5     9 ms     9 ms     9 ms  108.170.247.97
  6     8 ms     8 ms     9 ms  209.85.247.143
  7     9 ms     8 ms     9 ms  dns.google [8.8.8.8]

Rechner aus Netz B -> Internet
Code Select

1  10.201.1.1 (10.201.1.1)  0.174 ms  0.151 ms  0.147 ms
2  192.168.200.1 (192.168.200.1)  0.474 ms  0.470 ms  0.465 ms
3  gate1.vit0.new3.ccnst.de (109.199.176.8)  6.336 ms  6.332 ms  6.327 ms
4  icpeer1.muc0.new3.ccnst.de (109.199.178.106)  16.345 ms  15.899 ms  17.195 ms
5  pvpeer15169-ext1.muc0.new3.ccnst.de (109.199.161.34)  9.014 ms  9.011 ms  9.006 ms
6  74.125.244.97 (74.125.244.97)  10.602 ms  10.265 ms 108.170.247.97 (108.170.247.97)  9.397 ms
7  209.85.247.201 (209.85.247.201)  9.391 ms 142.251.68.121 (142.251.68.121)  9.105 ms 142.251.68.125 (142.251.68.125)  9.491 ms
8  dns.google (8.8.8.8)  8.903 ms  8.706 ms  8.693 ms

Erwartungs gemäß, geht der Hop über die zusätzliche Firewall

Ich kann auch von Netz B nach Netz A Pingen

Code Select
root@docker01:~# ping -c 1 192.168.200.113
PING 192.168.200.113 (192.168.200.113) 56(84) bytes of data.
64 bytes from 192.168.200.113: icmp_seq=1 ttl=127 time=1.03 ms

--- 192.168.200.113 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.031/1.031/1.031/0.000 ms
root@docker01:~#

Interessanterweise klappt es mit Tracerout (von Netz B nach Netz A) nur mit deaktiviert Firewall

Ohne Firewall
Code Select
traceroute to 192.168.200.113 (192.168.200.113), 30 hops max, 60 byte packets
1  10.201.1.1 (10.201.1.1)  0.244 ms  0.214 ms  0.206 ms
2  192.168.200.113 (192.168.200.113)  0.870 ms  0.866 ms  0.861 ms
Mit Firewall
Code Select
traceroute to 192.168.200.113 (192.168.200.113), 30 hops max, 60 byte packets
1  10.201.1.1 (10.201.1.1)  0.179 ms  0.165 ms  0.156 ms
2  * * *
3  * * *
4  * * *
5  * * *
6  * * *
7  *^C

Das ganze geht dann noch bis 30

So sieht es bei NAT aus
Code Select

Interface Proto Address Ports Address          Ports         IP                 Ports Description
LAN          TCP  *          *         LAN address 22, 80, 443 *                 * Anti-Lockout Rule
WAN         TCP  *          *          *                  3000 (HBCI) 10.201.1.3 3000 (HBCI)

Bei Interfaces fehlt sowohl der Hacken bei "Block private networks" und auch bei "Block bogon networks"

Hier noch der Porttest von Netz A
Code Select
Test-NetConnection -computer 192.168.200.194 -port 3000
WARNUNG: TCP connect to (192.168.200.194 : 3000) failed
WARNUNG: Ping to 192.168.200.194 failed with status: TimedOut


ComputerName           : 192.168.200.194
RemoteAddress          : 192.168.200.194
RemotePort             : 3000
InterfaceAlias         : Ethernet 7
SourceAddress          : 192.168.200.113
PingSucceeded          : False
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded       : False


Ich wäre dankbar wenn hier jemand einen Tipp für mich hätte.
Title: Re: Portforwarding geht nicht
Post by: crbble on November 13, 2022, 08:41:36 PM
Moin,

bin kein Fachmann, aber paar Gedanken dazu.

Du willst von A nach B zugreifen. Auf B sieht das so aus, wie ein Zugriff von extern. Wenn du NAT sagst meinst du daher "Portweiterleitung: NAT", oder? Du könntest versuchen bei der Zieladresse in der NAT Regel die WAN Adresse von A einzutragen.

Ansonsten mal in die Liveansicht der Protokolldateien schauen. Und warum du HBCI in einer solchen Konstellation weiterleiten willst will ich wahrscheinlich nicht wissen :-)

VG
Title: Re: Portforwarding geht nicht
Post by: shb256 on November 14, 2022, 08:53:59 PM
Hallo,


Du willst von A nach B zugreifen. - Ja
Auf B sieht das so aus, wie ein Zugriff von extern. - JA
Wenn du NAT sagst meinst du daher "Portweiterleitung: NAT", oder? - Ja

QuoteDu könntest versuchen bei der Zieladresse in der NAT Regel die WAN Adresse von A einzutragen.
Du meinst anstatt any -> This Firewall?
Wenn ja, dann habe ich das gerade geändert. Gleiches verhalten.


QuoteAnsonsten mal in die Liveansicht der Protokolldateien schauen. Und warum du HBCI in einer solchen Konstellation weiterleiten willst will ich wahrscheinlich nicht wissen :-)


Ja das weiß ich auch nicht :o Spaß bei Seite. HBCI liegt auf Port 3000 und ich habe auf Port 3000 einen Webservice laufen, desegen zeigt opnsense sie als known Port an.

Ich erweitere mein Schaubild

Code Select

------------+  +------------------------------------------------             +-----------------------------------------------------------------+
|Internet--- |opnsense (Netz A)                               |----------| opnsense (Netz B)                                                     |
|              |   |WAN (DHCP) LAN(192.168.200.1/24)  |             | WAN (DHCP 192.168.200.194) LAN (10.201.1.1/24) |
------------+  +-------------+------------------------+---------             +------------------------------------------------------------------
                                      |                                |
                    +-------------------------------+        |
                     | Netz C (172.16.2.0/24)  |         |
                     +-------------------------------+       |
                                                         +-----------+----------------+
                                                          |Netz D (172.16.3.0/24 |
                                                          +---------------------------+


Ich habe noch zwei weitere Netze Netz C und Netz D.
aus beiden Nezten komme ich wie erwartet über das Netz A und die Portweiterleitung auf das dahinter liegende Netz B
Folglich ist die Portweiterleitung korrekt eingerichtet.
Ich habe aus dem Netz A verschiedene Endgeräte probiert um in das Netz B zu kommen, leider habe ich es mit keinem Gerät geschafft.

Hier habe ich den Auszug aus der Live View
Hier öffnen der Webseite mit dem Browser
Code Select

lan 2022-11-14T19:36:34 172.16.2.101:63396 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:24 172.16.2.101:63395 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:24 172.16.2.101:63394 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:24 172.16.2.101:63393 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:23 172.16.2.101:63392 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:22 172.16.2.101:63391 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:35:01 192.168.200.113:58713 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:35:01 192.168.200.113:58712 10.201.1.3:3000 tcp let out anything from firewall host itself


mit der IP 192.168.200.113 sehe ich nur zwei Anfragen die zurück gehen. Mir ist auch nicht klar warum ich die eingehenden auf dem WAN Interface nicht sehe
mit der IP 172.16.2.101 gibt es ein paar mehr Paket und die Seite wird auch aufgebaut


Hier noch der Auszug mit folgenden Befehl
Code Select
Test-NetConnection -computername 192.168.200.194 -port 3000

Code Select

lan 2022-11-14T19:47:43 192.168.200.113:58932 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:47:27 172.16.2.101:63429 10.201.1.3:3000 tcp let out anything from firewall host itself


für beide Connect versuche erhalte ich je ein Eintrag, allerdings kann ich aus dem Netz 192.168.200.0/24 keine verbindung aufbauen

Text only | Text with Images