OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest16424 on September 15, 2017, 11:36:01 am
-
Hallo,
ich beschäftige mich bereits seit längerem mit einer technischen Lösung.
Mehrere Lösungsansätze konnte mir die sufu bereits zeigen, jedoch löst keine das Problem.
Es soll ein Homeserver betrieben werden, welcher natürlich auch von außen erreichbar sein soll.
Voraussetzungen:
Am normalem Kabelinternet hängt ein Modem. An diesem hängt ein Router, in welchem ein DMZ-Host angelegt wurde.
An besagtem DMZ hängt die Sense.
Modem <-> Router : Automatische IP.
Der DMZ-Host hat eine statische IP.
Sense:
Der WAN Port hat eine statische IP und Gateway.
Der LAN Port hat ebenfalls eine statische IP, jedoch kein Gateway.
Ich habe Internetverbindung, jedoch steht der Status des Gateway auf "ausstehend".
Wenn ich mit einem Onlineportscanner ohne Sense teste, werden die Ports als offen vermerkt. Mit Sense ist richtigerweise ohne weitere config. alles zu.
Welche Einstellungen muss ich treffen, um einzelne Ports freizugeben?
-
Was möchtest du denn erreichbar machen?
Einen Host der im LAN hinter der OPNsense hängt oder einen Dienst auf der OPNsense
Für erstes musst du unter
Firewall -> NAT -> Portforward
eine Regel erstellen die besagten Server erreichbar macht (Interface [WAN]). Ein Filter Rule die das erlaubt wird standardmäßig automatisch mit erzeugt.
Im zweiten Fall musst du nur die Filterregel unter
Firewall -> Rules -> [WAN] anlegen
-
Danke für deine Tipps. :)
Um aufgrund von Halbwissen und eventuellen Begrifflichkeiten nix falsch aufzufassen, hole ich etwas aus.
Die Sense ist nur für das Netzwerk zuständig.
An einem Lan Port hängt das WAN. Am zweiten der Server.
Aktuell läuft auf dem Server nur ein Webserver. Also muss ich Port 80 und 443 freigeben. Nur diese sollen vorerst erreichbar sein.
Habe ich das richtig verstanden, dass ich demnach deine erste Lösung nutze und je nach Dienst erweitere, sollten mehr erreichbar gemacht werden?
-
Ja so ist das schon korrekt.
ABER
Also du hast einen Internet Router der dir diese DMZ (Exposed Host/Full NAT wie auch immer) für einen Host anbietet.
Damit erreichst du, das dieser eine Rechner alle Ports deiner öffentlichen IP durchgereicht bekommt.
Jetzt stellst du dort die OPNsense auf um diese Ports wieder zu schließen.
Das bringt dir nicht wirklich viel mehr Sicherheit als vorher, denn du kannst ja wahrscheinlich auch schon im ersten Router statt der DMZ nur einzelne Ports weiterleiten.
Damit du jetzt eine erhöhte Sicherheit bekommst, musst du schon etwas mehr anstellen als dir hinter der geöffneten Haustüre eine zweite Haustüre mit Sperrkette zu stellen. Vor allem wenn du dich gegen etwas schützen willst, dass ja auch vorher schon einem geschlossenem Port (das wäre immer das Optimum - alle Dienste auf dem Server die du nicht benötigst lieber erstmal entfernen / deaktivieren) gestoßen wäre.
Damit du jetzt ein wenig mehr Sicherheit durch die OPNsense bekommst wäre das Plugin HAproxy als auch die bereits integrierte Intrusion Detection etwas in das du dich einlesen solltest.
Das mit dem Halbwissen ist schon nicht ganz ungefährlich, wenn jetzt aber auf dem Server nix Lebenwichtiges ist, ist es schon mal ein guter Schritt damit zu experimentieren um mehr Erfahrung damit zu bekommen.
-
Ja, da hast du recht.
Der erste Router ist eig. für das gesamte Netzwerk zuständig. Die Sense hängt auch mit Absicht an dem mehr oder weniger DMZ damit dieser alles durchlässt.
Die Sense und der Server sind komplett getrennt zu betrachten da nichts mit dem Rest gemein. Ich hatte den Router nur erwähnt um bei einer möglichen Fehlerfindung die Variable eines doppel NAT mit drin zu haben.
Vielen Dank für deine Hilfe, ich werde das ganze jetzt mal versuchen.
-
Vielen Dank nochmal, funktioniert wie gewünscht. ;)
-
hi, ich muss nochmal spamen.
Die gewünschten Ports sind zugänglich von außen kann ich auch auf einem hinter der sense laufenden Webserver zugreifen.
Jedoch nur auf http Seiten wenn ich meine IP eingebe.
Demnach habe ich vermutlich noch ein DNS Problem?.
Nach etwas lesen, habe ich mich für den Unbound DNS entschieden und zum Test aktiviert. Jedoch habe ich weiterhin keinen Zugriff.
Jetzt fällt mir kein Reim mehr ein. Bin ich komplett auf dem Holzweg?
-
> Nach etwas lesen, habe ich mich für den Unbound DNS entschieden und zum Test aktiviert. Jedoch habe ich weiterhin keinen Zugriff.
Was sollte Unbound denn ändern, wenn du von AUSSEN auf den Server über die Sense zugreifen willst? Unbound ist ein DNS Resolver und du wirst wohl eher eine URL/Namen brauchen, der auf deine externe IP zeigt, wenn du darauf per Name zugreifen willst. Damit hat Unbound primär erstmal gar nichts zu tun.
-
@JeGr
Du meinst mit "URL/Namen" DDNS?
Ich nutze DDNS. Das ganze hat auch bereits funktioniert. Deswegen bin ich etwas Ratlos.
-
> Ich nutze DDNS. Das ganze hat auch bereits funktioniert. Deswegen bin ich etwas Ratlos.
Danke. Ergo benutzt du DDNS. Mit einem DDNS Namen, der extern von DNS Servern verwaltet wird, und der deine externe IP enthält, korrekt? Und was funktioniert damit nicht? Der Zugriff von außen geht - und was geht nun nicht? Dass du von INTERN den externen Namen bzw. das externe Forwarding nicht erreichen kannst ist völlig normal. Weil das Forwarding im Normalfall nur greift wenn du VON außen kommst. Von Innen muss es ja nichts NATten, weil du intern auf die Ressourcen ja direkt zugreifen kannst.
Entweder nutzt du somit intern die internen Adressen, legst dir mittels eigenem DNS ein Overwrite der DDNS Namen von extern an, die du dann auf intern zeigen lässt (à la Split-Horizon DNS) oder aktivierst NAT Reflection auf deinen Port Forwards die du angelegt hast.
Meine Präferenz wäre zwar eher intern auch direkt auf die Ressourcen zuzugreifen, aber das handhabt jeder anders - ich habe nur ungern mehr Geräte involviert als es braucht ;)
-
Hi @JeGr,
ich habe noch immer iwie einen Denkfehler. - Es darf gelacht werden, ich mache es selbst. :D :-\
Nach dem ich deinen Tipp versuchte und dieser nicht zum Erfolg führte, vermutete ich das Problem an der Installation.
Die Sense läuft auf einer apu. Zuerst versuchte ich die Preinstall Version. Jetzt habe ich die Seriel Variante installiert jedoch ohne Besserung.
Die Sense hat Netz. Updaten ist problemlos möglich. Jedoch komme ich einfach nicht mit dem angeschlossenen Rechner ins Netz. Lediglich zur GUI der Sense.
Gibt es ein tut oder irgendetwas in dem die Grundschritte beschrieben sind? Vermutlich stelle ich mich auch extrem dumm an, jedoch habe ich einfach keine Idee was man alles nach dem ersten Anschluss freigeben muss um Internet zu bekommen.
-
Nach mehreren Versuchen funktioniert es nicht. auch der Tipp:
Wichtig um Internet auf dem LAN zu bekommen, ist nur die PASS Regel auf dem LAN Interface und die NAT-Regel auf dem WAN Interface mit Source LAN_NET auf INTERFACE_ADDRESS.
bringt keinen Erfolg.
Hat jemand bitte ein Screenshot oder eine kurze Auflistung was wo eingetragen werden muss um die Regel zu setzen? Beziehungsweise was nötig ist um auf den Lanport Internet zu bekommen.
Ich wäre euch wirklich sehr dankbar.
-
Interface WAN
Die Haken bei Block Bogus und private IPS sind gesetzt? Raus damit, auf jedenfall bei private
-
Beide sind nach wie vor entfernt.
Ich nutze eine statischeIPv4 konfig. - Funktioniert. Ich konnte eben updaten.
Weitere Einstellungen wurden nicht vorgenommen.
-
@NilsS
Auf der Lan Schnittstelle habe ich ebenfalls eine Statische IPv4 Konfiguration. Jedoch da es in der "Nano" Installation funktionierte keinen Gateway.
Jetzt also wie von dir geschrieben eine Regel unter Firewall -> Regeln unter "LAN" Eine Pass Regel erstellen in der man lediglich:
Schnittstelle: Lan auf die IP des betreffenden PC's eingibt?
Und unter NAT -> ausgehend WAN mit der IP des PC's als Quelle?
Sry das ich so doof und ausführlich frage, jedoch konnte ich in der Test install. ohne Regeln Internet nutzen - hatte dort andere Probleme.
-
Auf der Lan Schnittstelle habe ich ebenfalls eine Statische IPv4 Konfiguration
eigentlich standard
Installation funktionierte keinen Gateway.
auch normal ... da das Gateway ja WANseitig ist
Schnittstelle: Lan auf die IP des betreffenden PC's eingibt?
das verstehe ich nicht so ganz. Du willst jetzt ausgehenden Traffic erlauben oder?
Dann kannst du das auch beschränken auf nur diese eine IP, diese muss dann jedoch auf SOURCE stehen, kannst du aber auch (sofern du da nicht weitere Clients im LAN hast, die kein Internet haben sollen) LAN net stellen
Und unter NAT -> ausgehend WAN mit der IP des PC's als Quelle?
?? Nee eher so nicht ..
Beim NAT musst du eigentlich (wenn unter OUTBOND auf auto steht) meist garnichts machen,
du kannst aber überprüfen ob es dort eine Regel gibt die Interface WAN, im SOURCE LAN_NET hat und als IP INTERFACEADDRESS hat.
Im Gegensatz dazu, benötigst du wenn du Zugriff ZUM LAN brauchst (also dort einen Port von außen erreichbar mache willst)
Die Zugriffsregel auf dem WAN Interface mit DESTINATION IP deines Rechners, diese wird beim erstellen der NAT Regel PORTFORWARD eigentlich automatisch angelegt.
-
Vielen Dank @NilsS für deine Mühe.
Ich möchte vorerst nur den Lanport online bekommen. Ohne Portfreigabe etc. Vorerst nur Webseiten aufrufen.
Vermutlich bei der Einrichtung wurden einmal für IPv4 und einmal für IPv6 folgende Regel erstellt.
Quelle: Lan Netzwerk
Port: *
Ziel: *
Port: *
Gateway: *
Kann es sein das irgendwas anderes "Bugt"? Ich konnte eigene Regelerstellung mit der "Nano" Variante ins Netz. Mit der Serial funktioniert es nicht.
-
Nach dem ich eine RMA bei der Hardware durchführte, funktioniert es.
Danke an alle für die Hilfe.