OPNsense Forum
International Forums => German - Deutsch => Topic started by: Nephiria on April 27, 2018, 08:54:34 pm
-
Hallo zusammen,
ich habe einige Threats hier gefunden zu dem Thema auch im englischen Forum.
Aber leider keine Lösung dazu.
Mein Problem derzeit ist das mein 1:1 Nat momentan nicht wirklich funktionieren will und ich mich frage ob es evtl. an der Firmware liegt. Port Forwarding funktioniert. Ich sehe nur das ich derzeit mit der Anfrage bis zur Firewall komme und danach ist ende.
Habe die Public IPs Konfiguriert und auch die Rule erstellt auf dem WAN Interface nur leider kommt die Anfrage nicht bis zu meinem TEST Webserver durch.
Kann hier evtl. jemand helfen oder ist das Problem erst mit der Version 18.1.7 etc. lösbar?
Danke.
-
> Port Forwarding funktioniert. Ich sehe nur das ich derzeit mit der Anfrage bis zur Firewall komme und danach ist ende.
Die beiden Aussagen beißen sich. Entweder funktioniert es mit einem Forwarding oder nicht. Wenn man nur bis zur Firewall kommt hat auch das Forwarding nicht geklappt. Also was ist nun der Fall?
Logging in den Regeln eingeschaltet? Firewall Log angeschaut? NAT Regeln falsch gesetzt?
Dran gedacht, dass bei 1:1 NAT KEINE Regeln automatisch angelegt werden sondern man diese manuell(!) erstellen muss?
Logs? Screenshots?
Bitte :)
-
Danke JeGr für deine Antwort.
Aber es geht hier nicht darum vielleicht habe ich mich falsch ausgedrückt das das Portforwarding nicht funktioniert.
Ich habe hier Probleme mit dem 1:1 Nat.
Von meinem Provider habe ich mehrere Fixe IP in einer range mitgeteilt bekommen.
Ich habe auch testweise eine VM am laufen wo ein Webserver innerhalb meines Netz läuft.
Nur leider bekomme ich die Webseite nicht von Aussen erreichbar über das 1:1 Nat.
Hier besteht mein Problem.
Firewall 1:1 Nat Rule:
WAN 213.221.212.121/29 172.29.2.50/24 * Webserver NAT
Virtual IP Address:
213.221.212.121/29 WAN IP Alias Public IP#2
Firewall Rules:
IPv4 TCP * * 172.29.2.50/24 80 (HTTP) * Internal Webserver
Ich habe mir mehrere Dokumentationen dazu angesehen und habe gehofft dass irgendwo was vergessen hatte zu konfigurieren aber leider hatte nicht mehr dazu gefunden sämtliche Config Beispiele zu PFsense / Opnsense wurde es so beschrieben einzurichten.
-
> Ich habe auch testweise eine VM am laufen wo ein Webserver innerhalb meines Netz läuft.
also im internen Netz? in einer DMZ?
> 1:1 NAT ...
Dein 1:1 NAT ist falsch. Wenn du die Range mit /29 angibst, wird m.W. versucht, die komplette Range (also alle IPs des 29er Netzes) durchzumappen und zwar 1:1 - nicht gut! Du willst nur eine IP mappen, also mach hier nur /32. Ebenso beim Ziel, sonst mappst du komplette Netze 1:1 und das kann nicht gut gehen :)
Also erstmal die Adressen gerade ziehen auf /32 und nur eine IP auf eine IP mappen und dann nochmal schauen, was die Logs dazu sagen. Bei der angelegten Regel auch das Logging anmachen, damit man sieht ob sie greift.
Grüße
-
Danke für deine Antwort werde ich probieren.
Gebe wieder Bescheid.
-
Gern, halt uns auf dem Laufenden
-
Guten Morgen JeGr,
das mit der 32 Maske scheint recht gut zu funktionieren mein denkfehler.
Aber leider funktioniert das 1:1 Nat irgendwie nicht.
Das steht bei mir im Log.
WAN May 5 11:10:53 178.197.228.144:32414 213.221.212.121:80 tcp let out anything from firewall host itself
WAN May 5 11:10:53 178.197.228.144:32414 213.221.212.121:80 tcp USER_RULE: HTTP Allow
Die pakete werden nicht geblockt aber die Webseite wird nach aussen nicht angezeigt.
Testweise habe ich aber zwischenzeitlich auch mit Portforward auf die IP rumgespielt hier ist es so das der Port 80 auf die IP interessanter weiser ohne Probleme freigeben kann und sehe die Webseite sofort.
Hier scheint aber irgendwas oberfaul zu sein.
Ich habe bisher auch nicht soviele regeln das es unübersichtlich wird oder so alles andere funktioniert soweit. Nur das 1:1 Nat geht komischerweise im moment nicht.
Danke für dein Feedback.
-
> Aber leider funktioniert das 1:1 Nat irgendwie nicht.
Du hast für die 1:1 NATs auch entsprechend korrekte Firewall Rules angelegt? Bei 1:1 werden keine automatisch angelegt, bei Forwardings schon!
> Ich habe bisher auch nicht soviele regeln das es unübersichtlich wird oder so alles andere funktioniert soweit. Nur das 1:1 Nat geht komischerweise im moment nicht.
Siehe oben. Zusätzlich liest sich dein WAN Log so, als ob da kein NAT stattgefunden hat, da die externe IP drin steht. Bei korrekter NAT Regel müsste aber die interne IP hier gelistet sein, sprich da wird wohl was mit der 1:1 NAT Rule nicht passen.
Poste doch mal bspw. ein Port Forward Regel die funktioniert und dann lösche die und leg es nochmal als 1:1 an und poste das ebenso, damit man vergleichen kann, was du gemacht hast. Ohne Details wird das hier zum ziemlich weitläufigen Glaskugellesen :)
-
Hallo JeGr,
danke für deine Hilfe.
Ich kann folgendes zu dem Thema noch beisteuern.
Ja unter den Firewall Rules als Destination habe ich die IP Adresse des "webserver" angeben aber leider funktioniert es nicht.
Ich habe auch mal testweise eine Rule angelegt von Any to Any aber auch dann ging es nicht es kam immer die Externe IP im Log.
Ich werde mich aber mit einem Reverse Proxy behelfen und über Port Forwarding und werde dann über diese meine Services sowohl absichern als auch entsprechend freigeben nach aussen.
Aber normal sollte es doch gehen das man Portforwarding und 1:1 Nat gleichzeitig aktiv hat oder?
Zumind. kenne ich es so von den 0815 Produkten von Hersteller wie Fortinet, Zyxel etc.
Zusätzlich lese ich aber immer wieder hier im Forum das leute Probleme haben mit dem 1:1 gibt es da vielleicht irgentwie einen bug?
Danke viele Grüsse
-
> Aber normal sollte es doch gehen das man Portforwarding und 1:1 Nat gleichzeitig aktiv hat oder?
Ja tut es definitiv. Haben wir in mehreren Installationen schon problemlos so gelöst, dass 1:1 NAT auf bspw. eine andere interne IP geht als das Port Forwarding auf der gleichen externen IP. Da die Forwardings vor den 1:1 Einträgen gelesen werden ist das absolut machbar. Da du keine Screenshots etc. zur Diagnose gepostet hast, kann man zu allem anderen leider nur raten.
Gruß