Hallo Zusammen,
ich habe aktuell ein Problem mit dem Port Forwarding. Folgende Ausgangslage habe ich.
- Subdomain die per DNS auf die feste IP an meinem Anschluss geleitet wird
- An meinem Anschluss habe ich eine OPN
Ich möchte jetzt, dass mittels Aufruf im Browser "subdomain.domain.de:8080" Daten von einem Webserver in meinem Lokalen Netz angezeigt werden.
Leider kommt dann, dass die Webseite nicht erreichbar ist. Gleiches wenn ich über die feste IP und den Port gehe.
Wenn ich meinen Lokalen PC mittels IP und Port aufrufe, klappt das.
Für das Port Forwarding habe ich folgende Einstellungen gemacht, siehe Anhänge. Ich finde da für mich jetzt leider keinen Fehler. Kann mir da jemand einen Tipp geben oder weiterhelfen?
Danke im voraus.
Wie ist NAT Reflection auf Deinem System eingestellt? Du kannst es auch hier lokal nur für diese Regel einschalten.
Und ist die o.a. IP im LAN oder ist das die selbe wie die WAN IP?
Wo genau finde ich die NAT Reflectioin?
Die IP ist die aus meinem LAN und nicht die gleiche wie die öffentliche
Schau mal genau in Deinen eigenen Screenshots, vielleicht findest Du es...
Hallo,
die Webseite liegt außerhalb deines Netzwerks im Internet, wenn ich das richtig interpretiere?
Und die Aufrufe sollen ebenfalls von außen kommen?
Von intern sollte es mit NAT Reflection klappen.
Die Möglichkeit dazu hast du in der Port Forwarding Regel selbst. Dein zweiter Screenshot zeigt die Einstellung an vorletzer Stelle.
Oder global für alle NAT Regeln in Firewall: Settings: Advanced.
@meyerguru
Sorry, übersehen. Ich habe jetzt beides ausprobiert. Es funktioniert weder bei "Enable" noch bei "Disable".
@viragomann
Nein, die Webseite liegt in meinem Lokalen Netz und ich möchte sie von einem anderen Rechner außerhalb meines LANs übers Internet erreichen.
Quote from: BeTZe313 on January 28, 2026, 08:48:56 AMNein, die Webseite liegt in meinem Lokalen Netz
Tut sie nicht lt. deinem Bildchen.
Weil bei Destination "Wan Address" ausgewählt ist?
Quote from: BeTZe313 on January 28, 2026, 10:56:59 AMWeil bei Destination "Wan Address" ausgewählt ist?
Nein, der Verdacht kam auf, weil die Target IP eine öffentliche.
Die kann aber auch innerhalb deines Netzwerks liegen, daher meine Frage. Antwort akzeptiert.
Allerdings halte ich öffentliche Adressräume im LAN doch für zweifelhaft. Die wären besser in einer DMZ aufgehoben.
Vielleicht könntest du da mal Klarheit zu deinem Aufbau schaffen.
Eigentlich sollte die Port Forwarding Regel die Anfragen aus dem Internet auf deine WAN IP Port 8080 eben auf den Zielserver Port 8080 weieterleiten, vorausgesetzt, eine Firewall-Regel am WAN erlaubt das auch.
Mögliche Ursachen für ein Nicht-funktionieren außerhalb von OPNsense könnten sein
- der Zielserver nutzt ein anderes Upstream-Gateway als OPNsense
- der Zielserver erlaubt den Zugriff nicht
Ansonsten mach ein Packet Capture auf dem Interface, an dem der Zielserver hängt, um zu sehen, ob die weitergeleiteten Pakete rausgehen und Antworten auch zurückkommen.
Also wären meine Einstellungen wie auf meinen Screenshots so Ok?
Das mit der IP weiß ich. Ist hier leider aus einer "älteren" Zeit und wurde noch nicht geändert.
In dem LAN war vorher ein IPCop. Wenn ich den anschließe, klappt der Zugriff. Wenn ich meine OPNsense anschließe, leider nicht mehr.
Bin leider gerade überfragt, woran es noch liegen kann, da es beim alten IPCop funktioniert hat.
Wie sieht denn die zugehörige Firewall-Regel aus?
Die wurde ja automatisch erstellt als ich das Port Forwarding gespeichert habe. Die kann ich nicht bearbeiten. Folgendes kann ich da sehen
Man kann das auch von "automatisch" auf "none" stellen und die Regeln selbst verwalten, deshalb wäre da Potential für eine Fehlkonfiguration. Aber wenn du den Automaten benutzt hast, sollte die passen.
tcpdump anwerfen und von außen nach innen auf jedem Interface gucken, was genau passiert ...
Quote from: BeTZe313 on January 28, 2026, 05:37:53 PMDie wurde ja automatisch erstellt als ich das Port Forwarding gespeichert habe. Die kann ich nicht bearbeiten. Folgendes kann ich da sehen
Das sieht jetzt nicht so aus, als ob diese Regel von der o.a. Forwarding Regel kommen würde. Da ist ein Source Port definiert. Das geht gar nicht. Der muss any sein, weil dynamisch.
In der NAT Regel musst du bei Source "Advanced" öffnen, um an den Port zu kommen. Steht dieser da drinnen?
Würde mir erwaten, dass das eingeblendet wird, wenn eine Option da definiert ist. Aber nein, OPNsense macht das leider nicht so.
Quote from: viragomann on January 28, 2026, 05:51:18 PMDa ist ein Source Port definiert. Das geht gar nicht.
Gut entdeckt - war mir nicht aufgefallen. Wahrscheinlich liegt da der Fehler.
@Patrick
Vielleicht könntest du deinen gewichtigen Einfluss nutzen, dass die OPN GUI dahingehend optimiert, dass Advanced Settings immer angezeigt werden, wenn gesetzt.
Ich hatte mich selbst schon öfter über diesen Umstand geärgert.
Auch so bspw., dass gesetzte Optionen, die nur mit "advanced mode" oben eingeschaltet, angezeigt werden, standardmäßig beim Öffnen nicht sichtbar sind.
Ich hatte das mit dem Source Port nachträglich mal eingetragen. Vorher aber nicht gemacht.
Ich habe jetzt alles wieder so eingestellt wie auf den beiden Screenshots in meinem ersten Beitrag.
Dann habe ich es probiert mit NAT reflection auf Enable und auf Disable. Leider bei allem kein Erfolg.
In der Firewall Regel ist der Source Port nun auch nicht mehr zu finden?
Dann sollte es ja eigentlich funktionieren, vorausgesetzt, dein Netzwerk ist so simple aufgebaut und konfiguriert, wie wir uns das vorstellen dürfen. Details dazu möchtest du ja nicht bekannt geben.
Die Empfehlung, den Traffic mittels Packet Capture zu analysieren, hatte ich auch schon gegeben.
Wenn da nicht mal mehr als "kein Erfolg" zurückkommt, ist es nicht wirklich möglich, dir weiter zu helfen.
Der Source Port ist in der Firewall Regel auch nicht mehr zu sehen.
Aufgebaut ist das Netzwerk wie folgt:
- Am Telefonanschluss hängt ein Speedlink 5501.
- Von da geht geht ein Kabel in die OPNsense
- Von der OPNsense geht ein zweites Kabel ins Netzwerk
- Im Netzwerk sind verschiedene Rechner und Drucker
- Auf einem PC ist ein Webserver den ich übers Internet erreichen möchte. Der läuft auf Port 8080
In der OPNsense habe ich folgende Interfaces
- LAN, OPT1 und WAN
Das OPT1 ist für pppoe. Darüber übergebe ich auch meine Zugangsdaten für die Telekom.
Im Speedlink sind die Zugangsdaten allerdings auch hinterlegt und der wählt sich ein. Außerdem habe ich da auch eine Portfreigabe. Ich habe da nichts weiter geändert, da es mit den Einstellungen bim alten IPCop funktioniert hat.
Was müsste man zum Netzwerk noch wissen?
Quote from: BeTZe313 on January 30, 2026, 09:19:41 AMIm Speedlink sind die Zugangsdaten allerdings auch hinterlegt und der wählt sich ein.
Das ergibt für mich keinen Sinn. Es können sich doch nicht die OPNsense und der Speedlink gleichzeitig per PPPoE einwählen?
Stimmt natürlich auch wieder. Was ich eben auch entdeckt habe ist, dass auf der OPNsense ein Gateway eingetragen ist. Und zwar ist das der Speedlink.
Brauche ich dann das mit dem PPPoE auf der OPNsense überhaupt?
Und einmal zum tcpdump. Mache ich das aus meinem Netz raus? Oder von außen in mein Netz?
Quote from: BeTZe313 on January 30, 2026, 09:42:26 AMStimmt natürlich auch wieder. Was ich eben auch entdeckt habe ist, dass auf der OPNsense ein Gateway eingetragen ist. Und zwar ist das der Speedlink.
Brauche ich dann das mit dem PPPoE auf der OPNsense überhaupt?
Nein, natürlich nicht. Die Idee bei Nutzung einer OPNsense ist aber, den Provider-Router zu ersetzen. Wozu ist deine OPNsense denn da, wenn du einen Router hast?
Quote from: BeTZe313 on January 30, 2026, 09:42:26 AMUnd einmal zum tcpdump. Mache ich das aus meinem Netz raus? Oder von außen in mein Netz?
Du machst das auf der OPNsense während du versuchst, von außen (das ist ja das, was nicht funktioniert) auf den Server zuzugreifen.
Quote from: Patrick M. Hausen on January 30, 2026, 11:01:18 AMNein, natürlich nicht. Die Idee bei Nutzung einer OPNsense ist aber, den Provider-Router zu ersetzen. Wozu ist deine OPNsense denn da, wenn du einen Router hast?
Ok, d.h ich stecke das Kabel was aus der Wanddose kommt direkt in den WAN Port der OPNsense? Und konfiguriere darüber meinen DSL Telekom Anschluss?
Nein, du steckst das Kabel aus der Wand in ein DSL-Modem und ein Kabel vom DSL-Modem in die OPNsense. Oder du schaltest den Speedport in den Modem-Modus, falls der so etwas kann, was ich nicht weiß.
Den Speedlink konnte ich in den Modemmodus versetzen. Das habe ich gemacht. Einwahl über die OPNsense klappt jetzt auch.
Den Speedlink habe ich jetzt nicht mehr im Netz hängen.
Leider funktioniert die Port Forward Geschichte noch immer nicht. Muss ich denn nur eine Firewall Regel bei WAN eintragen? Oder auch bei dem PPPoE Interface? Oder muss ich das Port Forward generell beim PPPoE Interface anlegen?
WAN ist doch pppoe0 ...
Da brauchst du eine Port-Forward-Regel unter NAT und eine Firewall-Regel unter Rules, es sei denn, du trägst bei NAT untern "Pass" ein, dann brauchst du nur die.
Also ich habe folgende Interfaces
LAN Device re0
OPT1 Device pppoe0
WAN Device re1
Ist das so nicht richtig? Das OPT1 wurde angelegt, als ich das pppoe für die Telekom angelegt habt.
Ich habe jetzt mal folgendes beim tcpdump gemacht
tcpdump i- re1 port 8080
Wenn ich dann von extern die Seite aufrufen möchte, erscheinen da keine Einträge.
Wenn ich den Port weglasse, erscheinen jede Menge Einträge
Das ist falsch. WAN muss pppoe0 sein. re1 sollte überhaupt nicht zugewiesen sein.
Ich habe es umgestellt und nun funktioniert es.
Danke für die Hilfe und Geduld