OPNsense Forum

 Ich habe mich die letzten Tage damit beschäftigt bei einer Portweiterleitung weiter zu kommen.
Im Forum und Internet gibt es viele Anleitungen die oft ins Leere laufen.
Leider auch bei mir ☹

Aktueller Zustand bei mir:
Vodafone Fritzbox 6591 cable Öffentliche IP
Internet --- Freigaben --- Portfreigaben --- Exposed Host
Heimnetz --- Netzwerk --- DNS-Rebind-Schutz (Domain eingetragen welche auf die Öffentliche IP verweist)

Die 1. IP-Adresse ist reserviert als Vodafone Business-Netzwerk Adresse                             109.90.xxx.8
Die 2. IP-Adresse ist reserviert als Vodafone Business-Gateway-Adresse (Modem)           109.90.xxx.9
Die 3. IP-Adresse ist frei und kann von Ihnen genutzt werden. (www.wasistmeineIP.de) 109.90.xxx.10
Die 4. IP-Adresse ist reserviert als Vodafone Business-Broadcast-Adresse                            109.90.xxx.11

Meine eigenen Ports (2. IP-Adresse und 3. IP-Adresse) scanne ich hiermit:
http://www.dnstools.ch/port-scanner.html (http://www.dnstools.ch/port-scanner.html)

OPNSense (Feste Lan Anschlüsse, kein VLan)
igc0WAN                             (wan, igc0)          109.90.xxx.10/30             (IPv4 Upstream Gateway 109.90.xxx.9)
igc1LAN                               (lan, igc1)            192.168.1.1/24
igc2Synology-Extern           (opt1, igc2)         192.168.10.1/24
igc3Frei                                (opt2, igc3)         192.168.20.1/24

Firewall --- Einstellungen --- Erweitert
Reflektion für Portweiterleitungen                                        Haken rein
Reflektion für 1:1                                                                  Kein Haken
Automatisches ausgehendes NAT für Reflektion                   Haken rein

Firewall --- NAT --- Portweiterleitung
Weiterleitungseintrag bearbeiten
Deaktiviert                         Diese Regel deaktivieren
Kein RDR (NICHT)            Kein Haken
Schnittstelle                       WAN
TCP/IP Version                 IPv4
Protokoll                             TCP
Ziel / Umkehren               Kein Haken
Ziel                                        WAN Adresse
Zielportbereich                von:       HTTP     an:         http
Ziel-IP umleiten                Einzelner Host oder Netzwerk                   feste IP von Synology NAS
Zielport weiterleiten      HTTP
Pooloptionen:                  Standard
Protokoll                             Kein Haken
NAT reflection                  Aktivieren
Filter Regel Zuordnung Erlauben

Das gleiche auch bei HTTPS

Wo ist mein Fehler, was habe ich übersehen oder wo kann ich was nachlesen wo mir helfen könnte?

Gerade weitere Beiträge hier durchgelesen aber keine Lösung gefunden:Forum Beitrag 1 (https://forum.opnsense.org/index.php?board=24.60)Forum Beitrag 2 (https://forum.opnsense.org/index.php?topic=28792.30)Forum Beitrag 3 (https://forum.opnsense.org/index.php?topic=31923.0)Forum Beitrag 4 (https://forum.opnsense.org/index.php?topic=8783.15)
Was könnte ich falsch machen?

Hast Du das Firewall UI auf 80/443? Mach mal das Anti-Lockout-Gedöns aus, das ist m.E. sowieso Quatsch. Nachdem du sichergestellt hast, dass du LAN-Regeln hast, durch die du auf das UI kommst.

Hallo pmhausen,
meinst Du unter Firewall - Nat - Ausgehend umstellen von Automatisch auf Manuell?

Nein, Firewall > Settings > Advanced > Disable anti-lockout

Hallo pmhausen,
ich habe mich die Tage nochmal damit beschäftigt.Ich habe Regeln geschrieben das ich vom Lan auf die Oberfläche mit Ports 80 und 443 Zugriff habe. Trotzdem sperre ich mich aus wenn ich Disable anti lockout mache.
Ich habe meine Sicherung wieder eingespielt.Das andere Problem ist das ich mich nicht mal von außen (Internet) richtig anpingen kann.Ich habe diese Anleitung hier im Forum dazu gelesen und genau so umgesetzt. (https://forum.opnsense.org/index.php?topic=20884.0)Leider kein Erfolg.

Du brauchst doch auf LAN keine Portweiterleitung. Die Standard allow Regel sorgt dafür, dass der Zugriff auf das UI funktioniert.

Alle Portweiterleitungen auch alle Ports von Wan offen zum Test führen zu keinem Ergebnis.Es kommt immer alle Ports geschlossen und auch kein Ping von Online (Handy oder http://www.dnstools.ch). (http://www.dnstools.ch/port-scanner.html)

Nochmal ...

* du hast auf deinem LAN eine "allow all" Regel
* du hast dein Web UI auf Listen Interface - all (recommended)
* du machst die Anti-Lockout Nummer aus

Dann solltest du von LAN auf das Web UI kommen aber von außen sollte noch alles dicht sein.

Dann kannst du von außen nach innen ein Port-Forwarding anlegen:

* Interface: WAN
* Source: any
* Destination: WAN_Address
* Destination Port Range: 80 - 80
* Filter rule association: pass
* Redirect target IP: IP-Adresse von deinem internen Server

Dasselbe für 443, und am besten legst du dir für den internen Server einen sinnvoll benannten Alias an.

HTH
Patrick

Ich habe Deine Schritte bis hoffentlich richtig umgesetzt:
Dann solltest du von LAN auf das Web UI kommen aber von außen sollte noch alles dicht sein.

Wenn ich diese beiden Haken bei Interface und Anti Lockout rein setze sperre ich mich aus.

Wie sieht denn System > Settings > Administration > Listen Interfaces aus?

Da steht im Dropdown:All (recommended)
Oder muss ich alle 4 manuell anklicken?

Nein, All ist prima.

Also du hast keinerlei Port Forwardings aktiv? Du hast ein "allow all" auf LAN? Und wenn du die Anti-Lockout-Geschichte aus machst, sperrst du dich aus?

Das geht m.E. nicht. Ich hab das hier genau so. Also - das einzige, was wir bisher noch nicht hatten, waren evtl. irgendwelche Port Forwardings. Mach die doch mal weg.

Listen All
Allow all auf LAN
Disable Anti-Lockout

Das muss so in dieser Kombination funktionieren, wenn sonst nichts rein pfuscht.

Und wenn du das hast, dann gucken wir nach den eingehenden Port Forwardings.

Supi, es geht.
Jetzt an einen Test das ich von außen irgendwie einen Ping/Port sonst was Rückmeldung bekomme.

Erster Versuch der Portweiterleitung fehlgeschlagen.

Wie ist die Filter rule association konfiguriert für diese beiden Port Forwards?