OPNsense Forum

International Forums => German - Deutsch => Topic started by: jinn on April 13, 2018, 04:02:57 pm

Title: NAT Port-Forward will nicht
Post by: jinn on April 13, 2018, 04:02:57 pm
Nachdem ich alle schwereren Probleme behoben habe, wollte ich noch ein simples Port-Forward einrichten.

Leider klappt dieses momentan nicht, wie es soll.

Interface: WAN
TCP/IP: IPv4
Protocol: TCP/UDP
Destination: 86.167.153.109 (externe IP als Virtual IP angelegt)

Destination port range
from: SSH to: SSH
(optional habe ich es auch mit http versucht)

Redirect target IP: Single host or Network
172.16.18.41
Redirect target port: SSH

NAT reflection: Disable
Filter rule association: Pass


Egal ob mit SSH oder HTTP die Anfragen kommen bei den Servern nie an, in den OPNsense logs sehe ich immer nur folgenden Eintrag:
Interface: lan
Source: 1.2.3.4:####
Destination: 86.167.153.109:22
Proto: tcp
Label: let out anything from firewall host itself
Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 16, 2018, 02:14:48 pm
Wenn du nen Eintrag auf dem LAN bekommst, testest du gerade einen NAT Port Forward von INNEN also dem LAN wo der Forward eigentlich hin soll? Das ist Quark und funktioniert ohne Helfer nicht. Entweder NAT Reflection (BÄH) oder Split DNS und den Host intern direkt aufrufen. Aber den Forward zu testen indem man von innen nach außen wieder nach innen geht kann auf Grund der Natur von NAT nicht gehen.
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 16, 2018, 03:12:14 pm
Ich gehe zum testen über die aktive Firewall (und nicht die opnSENSE) raus, daher kommt der Zugriff auf die OPNsense auch aus dem Internet (so wie es in der Zukunft auch passieren) wird.

Zusätzlich habe ich zur Sicherheit aber auch den Zugriff von einem anderen Standort und dem mobilen Netz versucht.
Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 16, 2018, 03:22:21 pm
OK, ansonsten müsste man sich den Forward Eintrag nochmal genau ansehen. Wenn im FW Log die ext. IP noch steht, dann hat der FW nicht gegriffen und hat nicht auf die Verbindung gematcht, also ist was noch falsch konfiguriert. Könntest du den Screen mal zeigen?

BTW: tcp/22 genügt, auf UDP läuft da nichts :)
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 17, 2018, 11:07:21 am
Gerne, hier mal als Screenshot und ein Screenshot vom Log beim versuchten Zugriff.

Unter Source steht die externe IP über die ich reinkomme, als Destination wird der Server angezeigt. Auf dem Server sehe ich aber keine Zugriffsanfrage. Ich habe auch eine neue ubuntu VM getestet, auf die ich, über das port-forward, auch nicht zugreifen kann.


Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 17, 2018, 11:15:04 am
Was ich nicht verstehe ist, dass du einen Log Hit auf dem LAN siehst. Das dürfte da gar nicht auftauchen. Bzw. das sieht mir nach einem "pass" aus (ist ja grün) und sagt nur, dass er auf der 144:22 rausgeht. Was ist denn die .144? Die sehe ich sonst nirgends, weder oben als Ziel noch als Adresse?
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 17, 2018, 11:25:05 am
Das war die ubuntu VM (172.16.18.144:22)
Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 17, 2018, 02:45:18 pm
Die in deinem OP nicht auftaucht, deshalb meine Frage, was der Eintrag soll?
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 17, 2018, 04:01:38 pm
ich habe die screenshots etwas zeitversetzt erstellt. Zu dem Zeitpunkt stand im NAT auch die 172.16.18.144.
Andersrum stand zu dem Zeitpunkt des Screenshot des NAT die andere IP im Log.
Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 17, 2018, 04:05:36 pm
OK das verwirrt mehr als das es hilft. Kannst du das bitte nochmal vom gleichen Setup testen und nicht mit unterschiedlichen Forwards und sonstigem?!

Und ist in der FOrward Regel auch als letztes eine Filter Rule Association an? Gibt es also eine FIlterregel für den NAT Eintrag?
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 17, 2018, 04:15:05 pm
Ich habe jetzt nochmal die Screenshots mit jeweils gleicher IP angehangen (172.16.18.144)

Die Regel wird mit "Add associated filter rule" erstellt (3. Screenshot beinhaltet die aktuelle Regeltabelle)

Ich habe zwischenzeitlich auch versucht ein Port Forward mit Port 3389 zu erstellen, hier zeigt sich allerdings das gleiche Bild wie bei Port 22. Daher habe ich noch irgendwo einen Fehler in der OPNsense Konfiguration.
Title: Re: NAT Port-Forward will nicht
Post by: fabian on April 17, 2018, 04:25:22 pm
Nachdem deine Zeile immer noch grün ist, würde ich mal auf ein Routingproblem schließen. Mach mal ein Packet capture an dem Netz, in dem der Server steht. (Idealerweise auf Port TCP/22 gefiltert)
Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 17, 2018, 04:26:10 pm
a) SSH ist TCP, nicht TCP/UDP. Das ist kein Problem aber unnötig in der Regel
b) Wenn du die Adressen alle totschwärzt, kann man kein Problem erkennen. Woher soll ich bspw. in meiner Glaskugel sehen, dass der schwarze Kasten bei Address in der Forward Regel die richtige Adresse vom WAN Interface der OPNsense hat?
c) Die Filterregel mit der .144 sieht soweit OK aus, die wird korrekt durch die association erstellt. Das wollte ich sehen.

Da du aber bspw. auf dem WAN noch DROPs vorher hast (Spamhaus & Co) kann niemand sagen, ob deine IP von der du testest nicht ggf. in der Filterliste drinsteht.

Zudem heißen deine Screenshots seltsam. Das was du Forward nennst, sieht mir nach Regeln aus, nicht nach NAT und das WAN_rules sieht mir wie die Forwards aus.

Privacy der IPs in allen Ehren, aber so macht hier debuggen keinen Spaß... Das ist Glaskugellesen. Versuche mal im Port Forwarding nicht irgendeine IP einzugeben, sondern zum Testen "this firewall" zu nehmen und teste dann. ZUdem editiere mal die automatisch angelegte Regel (müsste gehen) und aktiviere das Logging, dann müsste es einen sauberen Eintrag fürs WAN geloggt geben.

Gruß
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 17, 2018, 04:45:18 pm
Jetzt nochmal die Screenshots mit weniger Schwarz
Die Regel konnte ich nicht bearbeiten, habe diese daraufhin manuell neu angelegt, und die automatisch erstellt deaktiviert, dadurch kam ein neuer Eintrag im Log pro Zugriffsversuch
Die Regeln habe über die Spamhaus listen gelegt, damit diese nicht geprüft werden

Leider funktioniert der Zugriff immer noch nicht, den Tipp von fabian werde ich noch nachgehen

Packet Capture am WAN gibt folgenden Eintrag:
Code: [Select]
16:59:25.138164 00:a0:c8:e8:27:gb > ac:1f:6b:63:6g:21, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 126, id 10997, offset 0, flags [DF], proto TCP (6), length 52)
    62.25.178.21.24901 > 86.167.153.109.22: Flags [S], cksum 0xead8 (correct), seq 1894655469, win 65535, options [mss 1400,nop,wscale 7,nop,nop,sackOK], length 0

Auf dem LAN ist das File leer
Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 17, 2018, 05:02:47 pm
Nein, nicht "WAN net", das ist quark. "This Firewall" solltest du beim Port Forward auswählen. Und die Destination ist nicht /21 sondern nur diese IP (/32 also genau dieser Host).

Aber ja, was Fabian sagt: dein Request kommt rein und geht wohl auf dem LAN wieder raus und durch. Wenn der dann beim Host nicht ankommt, ist auf deiner LAN Seite was schief. Kann die Sense überhaupt 172.16.18.144 pingen etc.?
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 17, 2018, 05:11:53 pm
>Nein, nicht "WAN net", das ist quark. "This Firewall" solltest du beim Port Forward auswählen. Und die Destination ist nicht /21 sondern nur diese IP (/32 also genau dieser Host).

Umgestellt, am Log und Packet Capture ändert sich allerdings nichts

>Aber ja, was Fabian sagt: dein Request kommt rein und geht wohl auf dem LAN wieder raus und durch. Wenn der dann beim Host nicht ankommt, ist auf deiner LAN Seite was schief. Kann die Sense überhaupt 172.16.18.144 pingen etc.?

Ping geht, über port probe erhalte ich auch eine Rückmeldung wenn ich als Source "any" oder die Virtual IPs auswähle. Nur wenn ich als source address "WAN" nutze bekomme ich einen Fehler: Connection failed (Refused/Timeout)

Gleiches übrigens auch mit RDP(3389) auf einem anderen Server
Title: Re: NAT Port-Forward will nicht
Post by: JeGr on April 17, 2018, 05:23:13 pm
hat der Server als Default GW überhaupt die Sense? Packet Capture angeschaut wenn man einen Ping vom WAN aus absetzt? Kommt da überhaupt ein Paket zurück?
Title: Re: NAT Port-Forward will nicht
Post by: jinn on April 17, 2018, 05:33:51 pm
 :-[
Ich habe schon die IP der VHID Group eingestellt (die noch nicht konfiguriert ist und daher natürlich nicht erreichbar war)
Vielen dank für die Unterstützung, ich komm jetzt endlich auf den Server  ::)

Jetzt fehlt mir nur noch die Konfiguration vom VPN