OPNsense Forum
International Forums => German - Deutsch => Topic started by: shinduke on August 07, 2018, 12:38:47 pm
-
Hallo zusammen,
ich habe ein kleines Problem und kann die Ursache nicht finden.
Wir haben bei uns einen Reverse Proxy hinter der Firewall laufen. Der Ablauf soll wie folgt sein. Anfragen aus dem WAN, die auf Port 80 und 443 kommen, sollen von der Firewall an den Reverse Proxy geleitet werden und der soll die Weiterleitung an die richtigen Server veranlassen.
Die Weiterleitung hat bisher mit einer PFsense problemlos funktioniert. Die Konfiguration wurde 1:1 übernommen jedoch komme ich nun von Außerhalb nicht auf meine Websites der Server.
Laut Protokoll blockiert die OPNsense die eingehende Verbindung auf Port 443 (Default deny rule)
Ich habe folgende Sachen hierzu eingerichtet:
Alias
Reverse Proxy wurde mit einer internen LAN IP versehen
Regeln WAN
Protokoll TCP Quelle Port Ziel Port Gateway
IPv4 TCP * * * Reverse Proxy 80 *
IPv4 TCP * * * Reverse Proxy 443 *
NAT Portforwarding
Schnittstelle Protokoll Adresse Ports Adresse Ports IP Ports
WAN TCP * * * 80 Reverse Proxy 80
WAN TCP * * * 443 Reverse Proxy 443
Die Firewall funktioniert ansonsten tadellos.
Ich hoffe ihr könnt mir hier helfen.
;)
-
Hast du es testhalber mal mit der IP statt dem Alias versucht?
-
Jup. Ich hab vorher schon ein wenig gesucht und auch anstallt mit dem Alias mit der IP rumprobiert.
Edit: Jedoch scheint nicht ein einziger Port offen zu sein. Der FTP Port wird beim Portscan auch nicht erreicht.
-
Dann würde ich das Logging bei den Regeln einschalten und mir das Filterlog anschauen und dann von außen den Zugriff testen. Dann müsste es entweder geblockt werden wegen irgendwas oder es geht durch und das Problem liegt am Proxy dahinter.
-
Das bekomme ich bei der Orginalansicht des Protokolls. Ich wüßte nicht wo sonst noch Logs einzusehen sind.
filterlog: 6,,,0,sk0,match,block,in,4,0x0,,117,24903,0,DF,6,tcp,52,79.219.72.204,212.237.xxx.xxx,49485,443,0,S,985056002,,64240,,mss;nop;wscale;nop;nop;sackOK
Gibt es noch weitere Logs, und wenn ja, wo finde ich diese?
Für mich sieht es so aus, als würden keine Regeln oder Portweiterleitungen zugelassen werden. Egal ob FTP odt ein anderer Port. Alles, was von Außen kommt wird geblockt.
Bin mit meinem Latein am Ende
-
Ich hab die Einträge bei den Regeln und NAT nun alle gelöscht, hab die FW auf die neueste Version aktualisiert und die NAT Einträge neu erstellt. Dabei wurden die Regeln automatisch erstellt.
Das hat jedoch keinerlei Besserung gebracht. Meine Anfragen werden direkt von der FW geblockt.
Hier die detailierte Regelinfo, die die Anfragen Blockt.
__timestamp__ Aug 8 11:13:24
ack
action block
anchorname
datalen 0
dir in
dst 212.237.xxx.xxx
dstport 80
ecn 0
id 9076
interface sk0
ipflags DF
label Default deny rule
length 52
offset 0
proto 6
protoname tcp
reason match
ridentifier 0
rulenr 6
seq 2449132184
src 79.219.72.204
srcport 64551
subrulenr
tcpflags SEC
tcpopts
tos 0x2
ttl 117
urp 8192
version 4
Irgend ne Idee? Ich bin langsam am verzweifeln, da ich keine Ahnung hab woran das ganze liegen könnte.
Hier nochmal meine Einstellungen
-
Ich hab es hinbekommen. Ich verstehe zwar nicht warum aber es geht jetzt. :)
Folgendes habe ich gemacht:
1. Ich habe alle Ports in einen Alias verpackt
2. Danach habe ich anstatt mehreren Regeln eine einzige erstellt, mit dem Alias für die Ports
3. Zunächst hatte ich ebenfalls den Alias für meinen Server hinter der Firewall, jedoch hat das nicht funktioniert
4. Danach habe ich die IP des Servers genommen - das hat dann sofort funktioniert
5. Wieder den Alias für den Server und es geht immer noch - die Frage ist warum ging es vorher nicht
Es ist ein sehr sonderbares Verhalten , da ich exakt das selbe Verhalten bei einer zweiten Regel für meinen FTP Server hatte.
Ich habe die selben Schritte (siehe oben) durchgeführt, da bei einer normalen Regel mit dem Ausgewähltem Port und einem Alias für den Server ging es auch nicht. Nachdem ich jedoch wieder die Ports in einen Alias verpackt habe und zunächst eine IP angegeben habe ging es (ich hatte vorher auch wieder den Alias für den Server drin und es ging nicht). Danach den Alias für den Server hergenommen und es geht.
Mich beschleicht das Gefühl, dass es hier ein Bug ist oder sowas, da es in meinen Augen absolut keinen Unterschied zu den eigentlichen Regeln gibt sondern die OPNsense hier rumspinnt. Es sind die selben Ports und die selben IPs. :o
-
Blöde Frage: Warum hast du als Alias Typ bitte URL(IP) gewählt?! Du willst doch nur die IP x.y.z.a via Alias XYZA erreichbar machen. Das ist dann Typ "Host" und nicht Typ "URL(IP)". Dann ist es auch kein Wunder, dass dein Alias nicht funktioniert, da die Sense bei URL Typen versucht, von der angegebenen Adresse eine Liste(!) abzurufen und diese als Alias Tabelle einzulesen!
Zitat der Hilfe(!):
Type URL: Enter an URL containing a large number of IPs, ports or subnets. After saving the lists will be downloaded(!) and scheduled for automatic updates when a frequency is provided.
-
Das hatte ich bei den Test eingestellt (hatte das irgendwo gelesen). Ich habe es auch mit der normalen Server IP probiert und trotzdem ging das nicht. Deshalb war ich ein wenig verwundert.
Natürlich ist der Alias als Host eingerichtet.
Es funktioniert jetzt und ich freu mich :)
Danke für die Hilfe.
-
Das ist das Wichtigste :)