OPNsense Forum
International Forums => German - Deutsch => Topic started by: maik on November 19, 2015, 12:58:15 am
-
Hallo,
ich wollte testweise ein port forwarding vom WAN ins LAN einrichten.
Dazu habe ich unter Firewall: NAT: Port Forward eine RUle angelegt:
Interface WAN, Dest.: Single host.. > meine LAN IP, port range 8080-8080
Dann habe ich versucht über meine statische IP:8080 auf den testweise laufenden Webserver zu kommen.
Das hat leider nicht funktioniert.
An was könnte das liegen?
OPNsense läuft hinter einer FritzBox, in der die OPNsense als Exposed Host eingetragen ist.
Gruß
Maik
-
haste die vielleicht aktiviert?
block * RFC 1918 networks * * * * Block private networks
Block private networks
When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 172.16/12, 192.168/16) as well as loopback addresses (127/8). You should generally leave this option turned on, unless your WAN network lies in such a private address space, too.
-
Ja das war drin unter
Interfaces: WAN > Block private networks
Habe es deaktiviert, aber ich komme von aussen trotzdem nicht auf meinen Test-Tomcat.
Was könnte es noch sein?
-
Habe jetzt noch meinen Test-Tomcat in die DMZ/OPT1 gesetzt und ein entsprechendes Firewall: NAT: Port Forward
erstellt. Keine Änderung, d.h. kein Zugriff von aussen über die statische IP auf Port 8080. Mache ich etwas falsch? Habe ich einen Denkfehler beim Port Forwarding?
Bitte um Hilfe.
-
Hallo Maik,
die Block private Networks Option solltest Du drin lassen, da dies nicht mit dem Port forwarding zu tun.
Ich habe bei mir ein Port forwarding für FTP eingerichtet (siehe Bilder). Mehr ist nicht von Nöten.
Vielleicht kannst Du ja mal Deine Forwarding Regel posten, dann sieht man vielleicht das Problem bei Dir?!
Gruß
Ralf
-
OPNsense läuft hinter einer FritzBox, in der die OPNsense als Exposed Host eingetragen ist.
Hast du es tatsächlich von außen probiert? Also z.B. per Handy oder von einem anderen Anschluss aus? Oder nur von innen - also Anfrage von innen auf deine externe IP?
Letzteres klappt selten, da viele NAT-Implementationen das nicht können/unterstützen. Keine Ahnung, was eine Fritzbox bei solchen Paketen macht, aber es würde mich nicht wundern, wenn die diese Pakete schluckt.
-
Hallo Ralf,
Danke für deine screen shots. Da sieht man natürlich einige Unterschiede. Ich hänge hier mal mein port forwarding an.
'Dest.' dachte ich, wäre meine LAN Adresse gemeint, also die IP wo mein Test Tomcat auf 8080 läuft. Scheint aber wohl anders zu sein, wenn ich mir dein forwarding anschaue.
Dein 'Endziel' scheint die unter 'NAT IP' eingetrage IP zu sein, richtig? Aber
1) wie bekomme ich den Eintrag unter 'NAT IP' überhaupt hin?
2) was ist dann eigentlich unter Dest. IP gemeint, wenn nicht das "Endziel"? Was entspräche das bei mir?
3) Rules habe ich überhaupt nicht def., wozu benötigt man die?
Danke und Gruß
Maik
-
@Zeitkind, Danke für den Hinweis, habe es auch per Handy probiert, aber das Problem scheinen meine Def. zu sein, siehe oben
Gruß
Maik
-
Hallo Ralf, habe natürlich auch Rules, man muss nur richtigerweise unter 'WAN' schauen :-)
-
Hallo Maik,
wenn ich alles bisher richtig verstanden haben, dann müsste Du am besten einen Alias für den Tomcat Port 8080 anlegen (siehe Screenshot), und danach eine Port forwarding Regel, wo Du als Destination Deine Public IP (WAN Adresse?) und als Port den angelegten Alias angibst und als Redirect die IP vom Tomcat und wieder den Port Alias. Den Rest kannst Du in den default Einstellungen lassen (siehe Screenshots).
Damit sollte es gehen.
Gruß
Ralf
-
Super Ralf, vielen Dank, funktioniert!
Ganz schön komplex das Ganze. Ich dachte, ein einfaches port forwarding reicht - wie bei einer Fritzbox.
Jetzt hab ich hier einen Alias, eine Rule und ein port forwarding. Aber egal, Hauptsache ich habe jetzt eine Vorlage, wie ich meine DMZ aufsetzen kann (der Tomcat war ja nur in Test).
Also, Danke noch mal.
Problem gelöst.
Gruß
Maik
-
Tja, so ist das halt mit einer richtigen Firewall. Da ist alles etwas komplexer wie bei einer FritzBox, die schliesslich für "normale" Endkunden gedacht ist. ;)
Aber freut mich, das ich helfen konnte.
Viel Spass noch.