OPNsense Forum

International Forums => German - Deutsch => Topic started by: mdiehl on August 06, 2018, 01:33:42 am

Title: Mehrere IP-Adressen auf einem WAN-Anschluss
Post by: mdiehl on August 06, 2018, 01:33:42 am

Hallo Forum,
ich habe alle Suchergebnisse durch, bekomme aber mein Wunschsetup nicht zum Laufen:

Was ich technisch habe:
Sophos SG-220 Apliance mit OPNSense 18.7
Externer IP-Kreis: 84.xxx.xxx.80/28, davon eingerichtet als Gateway: 84.xxx.xxx.81
OPNSense läuft auf 84.xxx.xxx.82
Dahinter laufen ein internes Netz 192.168.254.0/24 an LAN und 192.168.253.0/24 an LAN2
Über die 84.xxx.xxx.82 komme ich in das Netz 192.168.254.0 per IPSEC VPN Site to Site
Jetzt möchte ich eine VM (192.168.254.3) mit der 84.xxx.xxx.83 ansprechen.

Dazu habe ich ein 1:1 NAT unter Firewall => NAT => One-to-One eingerichtet:

Interface  External IP       Internal IP        Destination IP
WAN    84.xxx.xxx.83    192.168.254.3

und eine Firewallregel um auf die HTTPS-Seite zu kommen

PROTO       Source    Port               Destination         Port                 Gateway
IPv4 TCP    *            443 (HTTPS)   192.168.254.3   443 (HTTPS)     *

Allerdings komme ich damit nicht auf die interne IP.
Hat jemand eine Idee was ich falsch mache?

Danke
mdiehl

Title: Re: Mehrere IP-Adressen auf einem WAN-Anschluss
Post by: JeGr on August 07, 2018, 01:59:42 pm

Bei 1:1 bleibt Destination bitte auf "any". Da du nichts angegeben hast, hoffe ich mal dass dem so ist :)

Deine Regel ist zudem falsch. HTTPS kommt nicht von Port 443, er hört nur (Destination) auf Port 443. Nimm den Source Port raus, dann sollte es gehen. :)

Title: Re: Mehrere IP-Adressen auf einem WAN-Anschluss
Post by: mdiehl on August 07, 2018, 09:05:20 pm

Hallo JeGr.
vielen Dank für Deine Antwort.
Ich habe mal die Regeln kopiert. Ich denke ich habe verstanden wie es sein soll, aber es geht leider nicht.
Die Firewall-NAT-One-to-One Einstellungen und die Regel findet man im Anhang.

Ich dachte das würde bedeuten, dass automatisch ein NAT zwischen externer IP und interner IP stattfindet. Dann müsste ich mit der passenden Regel den Traffic auf die interne IP zulassen und könnte mit https://externe.ip auf https://interne.ip zugreifen.
Leider funktioniert das nicht.

Title: Re: Mehrere IP-Adressen auf einem WAN-Anschluss
Post by: mdiehl on August 07, 2018, 09:21:49 pm

Okay, jetzt geht es. Ich dachte man müsse entweder Virtual IP setzen oder 1:1 NAT.
Mit der Virtual xxx.xxx.xxx.84 / 28 klappt es jetzt :)

Title: Re: Mehrere IP-Adressen auf einem WAN-Anschluss
Post by: JeGr on August 08, 2018, 04:20:54 pm

Jein ;)

Du musst in deinem Szenario die Virtual IP konfigurieren, weil du das Netz nicht geroutet bekommst, sondern die IPs dir selbst zuordnen musst - sonst reagiert niemand darauf. Erst dann kommt das Paket an und kann 1:1 NAT und die Firewall Regel durchlaufen.

Nebenbei: Deine Regel genügt mit TCP und HTTPS, auf UDP/443 lauscht normalerweise kein Webservice und daher sollte man das auch nicht öffnen :)

Grüße

Title: Re: Mehrere IP-Adressen auf einem WAN-Anschluss
Post by: mdiehl on August 08, 2018, 09:25:57 pm

Vielen Dank für deine Hilfe!
Ich habe die Rules angepasst und es läuft alles. Vielen Dank!