OPNsense Forum
International Forums => German - Deutsch => Topic started by: sweider on November 30, 2017, 08:32:35 pm
-
Hallo zusammen,
ich bin frischer opnsense User. Soweit sogut, Internet direkt über 192.168.220.2 funktioniert. Aber irgendwie bekomm ich kein funktionierendes Port Forwarding vom WAN nach LAN. Anbei ein Plan.
Über die FritzBox WAN Adresse und die in der FritzBox eingerichteten Forwardings funktionieren alle Dienste - alles einwandfrei.
Über die WAN Adresse der opnsense FW leider nicht. Der obere Screenshot zeigt einen Scan aus dem www. Leider werden auf der 91er Adresse keine Ports erkannt. Mit der passenden FW Regel antwortet diese aber auf Ping aus der Wolke. Das habe ich allerdings wieder deaktiviert.
In der Mitte der Screenshot zeigt die Forwarding Regeln aus opnsense. Die für 3389 ist genau so aufgebaut. Die FW Regeln wurden automatisch erzeugt. Alles auf Standard belassen.
In den Firewall Protokollen finde ich nichts geblocktes auf die 443er oder 8081er LAN Adressen. Aber wie gesagt, ich sehe ja die Ports von Außen erst gar nicht. Habe ich etwas elementares übersehen?
Vielen Dank für Eure Unterstützung. Was kann ich tun?
-
Huhu sweider,
Zuallererst: Cooles Bild! Das macht es wesentlich einfacher. :)
hab bei ner OPNsense noch kein Port Forwarding eingerichtet,
aber im Grunde dürfte das ähnlich sein, wie bei anderen Firewalls/Routern. :)
Dein Port-Forwarding sieht richtig aus, sofern der Alias (z.B.:SBS2011 und NAS11) die richtigen privaten IP Adressen eingetragen haben. Aber davon geh ich mal stark aus. ;)
Du brauchst aber natürlich beides, Firewallfreischaltung UND Port Forwarding.
Schau deshalb vielleicht mal ob du eine Firewall Regel auf dem WAN91 Tab der OPNsense erstellen kannst, die von extern (!RFC1918) den Traffic auf 217.xxx.xxx.91 mit TCP Port 443/8081 erlaubt.
Wenn jetzt jemand die externe IP der OPNsense auf Port 443 anwählt, landet er auf dem jeweiligem geforwardetem Server. An dieser Stelle musst du aber wissen, dass Port 443 schon von der WebGUI der Firewall genutzt wird.
Hier also entweder einen alternativen Port für das Port Forwarding nehmen oder halt den HTTPS Port für die WebGui der Firewall abändern.
Das wiederum kannst du unter System > Settings > Administration bei "TCP Port" nachholen.
Schöne Grüße
Oxy
-
Hallo Oxy,
den Port der Web GUI hatte ich sicherheitshalber vorher schon geändert.
Bild1: Die gelb markierten Regeln legt opnsense automatisch an. Die rot gerahmte habe ich jetzt noch zusätzlich angelegt. Ändert aber auch nichts. Im Firewall Protokoll taucht auch weder meine Quelladresse aus dem www auf, noch der Zielport 8081. Wenn ich filtere bleibt das Ergebnis leer - kein Eintrag weder erlaubt noch geblockt. Muss ich zum Loggen des WAN Ports noch irgendwo einen Haken setzen? Andererseits gibt es jede Menge Einträge zu Port "WAN91" mit irgendwelchen externen Adressen über UDP (Bild4). Wobei mir die Adressen und Ports überhaupt nichts sagen????
Bild2: Über die Funktion Schnittstellen - Porttest bekomme ich auch keine Verbindung von WAN91 zum LAN-Host
Bild3: Was ist der Unterschied zwischen "WAN91" und "WAN91 IPv6 Link-Local"?
Oder Denkfehler???
Danke
-
Hi sweider,
na jetzt wirds ja kompliziert. :)
In deiner Regel ist das Gateway "GW_WAN" eingetragen. Firewalls interpretieren gesetzte Gateways in Firewallregeln als "Policy Routing". Da also vielleicht mal das "GW_WAN" als Gateway in der Firewall Regel rausnehmen.
Muss ich zum Loggen des WAN Ports noch irgendwo einen Haken setzen?
Yep. :) Es gibt einmal allgemeine WAN Loggings, die du steuern kannst, siehe:
System > Settings > Logging
Dort kannst du dann folgendes an/ oder abhaken:
[ ] Log packets matched from the default block rules put in the ruleset
[ ] Log packets matched from the default pass rules put in the ruleset
[ ] Log packets blocked by 'Block Bogon Networks' rules
[ ] Log packets blocked by 'Block Private Networks' rules
Das Logging der einzelnen Regeln legst du wiederum in der Regel selbst fest, indem du bis ganz nach unten Scrollst in der Firewall Regel und ganz unten folgendes anklickst:
[ ] Log packets that are handled by this rule
Nachschauen tust du dann unter Firewall > Log Files > Normal View
Dort werden die geblockten/erlaubten Pakete gezeigt. Vom www auf dein WAN91 Interface mit Port 8081 z.B. müsste dann dort auftauchen.
Vielleicht gibt es auch ein Problem mit deinem Default Gateway, weil du ja irgendwie warum auch immer 2 WAN Interfaces hast, lauter deiner TAB-Übersicht von den Firewall Regeln. Davon hattest du vorher aber nicht gesprochen. :)
Unter System > Gateways > All mal bitte nachschauen, welches von beiden WAN Interfaces auf "(default)" steht.
Was ist der Unterschied zwischen "WAN91" und "WAN91 IPv6 Link-Local"?
Das eine ist IPv4 und das andere IPv6. ;)
Wenn kein IPv6 genutzt/gewollt ist, kannst/solltest du es sicherheitshalber ausschalten. Denn für IPv6 wird kein NAT konfiguriert. Siehe hierfür:
Firewall > Settings > Advanced
[ ] Allow IPv6
Oder Denkfehler???
Irgendwas stimmt noch nicht, aber das kriegen wir schon hin, wär doch gelacht soen bissel Port Forwarding. :D
Vielleicht ist OPNsense da auch einfach nur besonders störrig. Wer weiß. ;)
Schöne Grüße
Oxy
-
Ich hab es befürchtet? ??? Also Punkt für Punkt und zu allererst mal die Erklärung zum WAN92: Das ist ein weiteres Interface im Company Connect Netz -> WAN91 = 217.xxx.xxx.91 / WAN92 = 217.xxx.xxx.92 und ist für diesen Fall -> Ich benötige durchgehend 2x TCP 443, einmal für den Exchange und einmal für mein NAS. Ich kann und möchte da an der jeweiligen Portkonfiguration nichts ändern, sonst könnte man natürlich auch am Eingangsport "drehen", aber meine genutzten IOS Apps für Mail und DMS lassen derzeit keine Portänderung zu. Meine bisherigen Tests beschränken sich lediglich auf WAN91.
Es gibt nur ein Standard-Gateway -> 217.xxx.xxx.89, und das ist an WAN91 gebunden. (Bild8) Dazu gleich eine Frage: ich kann das Gateway nicht gleichzeitig für den WAN92 Adapter auswählen. Wie wird das gehandhabt? 2x das gleiche Gateway kann ich sicher auch nicht anlegen. Oder kann ich mein 2x TCP443 auf 2 unterschiedliche LAN Adressen auch anders regeln?
Das Logging war soweit schon aktiviert, aber ich sehe wie vorher schon beschrieben nichts, was auf Port 8081 Richtung LAN will.
In der Firewall Regel kann man unter erweiterte Optionen das Gateway konfigurieren (Bild9). Was ist Standard? Kein Gateway, oder das im Bild8 konfigurierte? Wenn ich auf das kleine (i) drücke bekomme ich als Erklärung: "Lassen Sie es auf 'Standard' um die Systemroutingtabelle zu verwenden oder wählen Sie einen Gateway um richtlinienbasiertes Routing zu verwenden."
Desweiteren wird ja erklärt, dass beim Anlegen eines Port Forwardings die passende Firewallregel mit erstellt wird. Dies kann ich dann ja auch nicht editieren. Darin wird der Verkehr vom WAN-Interface ins LAN geregelt. Benötige ich dann trotzdem noch eine Regel, die erst irgendwas von irgendwoher aufs WAN-Interface zulässt? Und ist diese so wie ich sie angelegt habe richtig? (Bild10) GW habe ich jetzt auf "Standard" konfiguriert s.o.
Nachdem ich jetzt ein paar mal die Seite von Extern aufgerufen habe (Bild11). Bekomme ich im Firewall Protokoll nur folgendes angezeigt (Bild12). Da stimmt doch grundlegend etwas nicht.
Auf Bild13 sieht man, dass ich online bin. Ausgehend ist an den Servern und dem NAS als Gateway die LAN Adresse der opnSense konfiguriert. Das funktioniert soweit auch alles (Internet) super. Auch mein WAN91 Interface kann ich vom www aus anpingen - ist also ja generell möglich. Wo ist der Fehler?
Danke
-
Hier Bild12 und 13
-
Hi ich nochmal :)
ohman das ist ja echt unglaublich bei dir. Ehrlich gesagt finde ich den Fehler auch nicht mehr wirklich. Weiß nich ob ich dir da noch groß weiterhelfen kann. :(
Was du mal machen kannst, ist am Ende der WAN91 Firewallregeln ein DENY ANY ANY mit aktiviertem Logging anzumachen. Deine Firewallregel auf das WAN Interface ist schon seeeehr offen formuliert, also daran kann es nicht liegen. Wenn wirklich irgendwas geblockt wird kriegst du das mit der DENY ANY ANY Regel sichtbar.
Wenn jetzt also wirklich weder die DENY ANY ANY Regel oder deine Allow Regel am Anfang greift, dann kommt das Paket gar nicht erst zum Packet Filter von der Firewall und geht schon vorher flöten.
> Es gibt nur ein Standard-Gateway -> 217.xxx.xxx.89, und das ist an WAN91 gebunden. (Bild8)
Kannst du bei den Interface Assignments nicht für das WAN92 das Upstream Gateway extra auf WAN_GW ändern?
> Das Logging war soweit schon aktiviert, aber ich sehe wie vorher schon beschrieben nichts, was auf Port 8081 Richtung LAN will.
Naja in den Firewall Logs wirst du nur sehen, dass jemand von extern auf 217.xxx.xxx.91 über Port 8081 zugreifen möchte. Die Port Weiterleitung zu einer internen Adresse solltest du da meines Erachtens nicht sehen.
Nur eine Idee, leider keine Ahnung.
> In der Firewall Regel kann man unter erweiterte Optionen das Gateway konfigurieren (Bild9). Was ist Standard? Kein Gateway, oder das im Bild8 konfigurierte?
Standard ist auf jeden Fall Standard. Er nimmt dann immer das Default Gateway (was auch immer das in diesem Moment ist.) Du hast aber eh nur ein Default Gateway. Von daher, nimmt er eh dann GW_WAN.
> Darin wird der Verkehr vom WAN-Interface ins LAN geregelt. Benötige ich dann trotzdem noch eine Regel, die erst irgendwas von irgendwoher aufs WAN-Interface zulässt?
Das macht jede Firewall anders, aber die Regel sollte den externen Zugriff auf die WAN Interface Adresse von WAN91 zulassen auf egal welchem Port. Wenn du dann Port 8081 anwählst, greift das Port Forwarding. (So die Theorie)
> Bekomme ich im Firewall Protokoll nur folgendes angezeigt (Bild12).
Ich hatte mir letztens auf Arbeit die Zähne ausgebissen und am Ende war es die Windows Firewall.
Hier an dieser Stelle also einfach mal so in den Raum geworfen. Die vielleicht auch entsprechend einrichten oder testweise mal ausmachen. :)
> Auch mein WAN91 Interface kann ich vom www aus anpingen
Ha! Hier die Fang Frage die alles entscheidet: Siehst du diesen Ping in den Logs? (ICMP)
EDIT: Jetzt wo ich mir das so ansehe, glaube ich dass einfach grundlegend, das WAN Interface falsch angelegt ist. Das WAN91 ist für die OPNsense das Default Upstream Gateway für sämtlichen Traffic und hat die 217.xxx.xxx.89 Adresse für ihn und eben NICHT die 217.xxx.xxx.91. Ist ja auch logisch, weil genau das ja genau so auch bei der Gateway Übersicht steht. Das erklärt auch warum du kein zweites WAN anlegen kannst.
-
Ich hab jetzt den ganzen Faden nicht komplett gelesen, deshalb verzeihe man mir aber an dem Punkt bin ich stutzig geworden:
Es gibt nur ein Standard-Gateway -> 217.xxx.xxx.89, und das ist an WAN91 gebunden. (Bild8) Dazu gleich eine Frage: ich kann das Gateway nicht gleichzeitig für den WAN92 Adapter auswählen. Wie wird das gehandhabt? 2x das gleiche Gateway kann ich sicher auch nicht anlegen. Oder kann ich mein 2x TCP443 auf 2 unterschiedliche LAN Adressen auch anders regeln?
Verstehe ich das richtig: du hast 2 eigene Interfaces angelegt, die im EXAKT gleichen Netz sind, nur einmal mit .91 und mit .92?
Das kann natürlich NIE funktionieren, deshalb frage ich lieber mal nach!
-
Danke für dein Feedback JeGr. Ich habe ja im Company Connect Netz 4 IP Adressen zur Verfügung. Meine Frage bezieht sich darauf, wie ich 2 Adressen daraus dahingehend nutzen kann, dass ich eingehend über je eine Adresse eine Portweiterleitung von EXTERN TCP 443 auf INTERN TCP 443 machen kann. Mein 1. Ansatz dazu war es einen weiteren WAN Adapter anzulegen mit der passenden Adresse. Und meine Idee dahinter - darüber auch eine weitere Portweiterleitung konfigurieren zu können. Dazu meine Frage: "Oder kann ich mein 2x TCP443 auf 2 unterschiedliche LAN Adressen auch anders regeln?"
Mein ursprüngliches Problem kann nichts damit zu tun haben, denn auch ohne aktiviertes 2. WAN Interface habe ich keine Portweiterleitung auf Interne IP Adressen bekommen. Ein Portscanner zeigt keine offenen Ports am Interface 217.x.x.91 an.
Ich habe das Problem jetzt dahingehend gelöst indem ich mir eine Sophos UTM installiert habe. Dort funktioniert die Portweiterleitung wie gewünscht inkl. der Weiterleitung über eine 2. WAN Adresse. (Allerdings kann man dort dem WAN INterface einfach mehrere IP Adressen geben -> muss ich mir bei opnsense mal anschauen ob das auch geht).
Mein Favorit wäre jedoch klar eine funktionierende Lösung mit opnsense. Deshalb bitte. Wer noch Lösungsvorschläge hat. Bitte bitte melden.
@Oxy. Viele neue Denkanstöße -> Danke dafür schon mal.
Vielen Dank
-
>Dazu meine Frage: "Oder kann ich mein 2x TCP443 auf 2 unterschiedliche LAN Adressen auch anders regeln?"
Nicht kann, sondern muss :) Zwei Mal WAN konfigurieren ist grundlegend falsch, da das nicht korrekt geroutet werden kann. Der richtige Weg ist - entweder a) die Adressen alle geroutet zu bekommen, so dass sie dir auf eine vorhandene Adresse der Sense geschickt werden. Ist wahrscheinlich bei dir nicht der Fall nach der Beschreibung. Oder b) einfach die anderen beiden Adressen als Alias IP auf der WAN Adresse zu konfigurieren, dann kannst du sie entsprechend auch in Weiterleitungen, Regeln und Co verwenden.
Dass ein Portscanner nichts anzeigt hat erstmal nichts zu heißen, erstmal müssten dazu die Port Forwardings und zugehörigen Regeln stimmen - und der Portscanner würde auch nur von extern funktionieren, nicht von intern.
Gruß