OPNsense Forum
International Forums => German - Deutsch => Topic started by: vfi on April 30, 2024, 01:41:51 pm
-
Hallo zusammen,
wir nutzen eine Opensense VM auf einem ESX-Cluster. Die VM wird dient als Gateway und Firewall für interne Netze und Dienste.
Problem: Es kommt eine RDP-Anfrage von einem unserer internen Netze und möchte eine Verbindung mit einem RDP-Server im öffentlichen Netz herstellen. Die Pakete der RDP Anfrage passieren unsere Opensense ohne Probleme. Das Paket des RDP Servers wird auch ordnungsgemäß zurückgegeben und kommt am WAN-Interface der Opensense an. Wir nutzen ein Outbound NAT, welches die privaten Netze auf die öffentliche IP-Adresse unsere Opensense übersetzt, zwecks Routing ins Netz. Dies funktioniert auch. Nun kommt die Rückantwort am WAN Interface an und wird in die private IP-Adresse der eigentlichen Quelle wieder übersetzt. Danach wird es zum nächsten internen Hop weitergeleitet. Genau hier liegt das Problem. Die IP-Adresse, wo es hingeschickt werden soll stimmt, aber nicht die DST-MAC. Die DST-MAC ist nicht die des Next-Hop intern, sondern die des nächsten Gateways Richtung Internet. Sprich statt intern weiter zu Quelle zurückzufließen landet das Gerät wieder im öffentlichen Netz. Komischerweise ist der Paketfluss bei einem Ping an den RDP-Server erfolgreich und findet den richtigen Rückweg.
Ich hoffe das Problem ist etwas verständlich, bei Bedarf kann ich gern die Paket-Capture nachreichen.
Danke für jede Hilfe!
-
Da hast du wahrscheinlich irgendwo bei einer Firewall-Regel explizit einen Gateway gesetzt, wo er nicht hingehört.
Oder die Route zu dem internen Next-Hop für das tatsächliche Qell-Netz fehlt komplett.