Messages

Danke für dein Feedback JeGr. Ich habe ja im Company Connect Netz 4 IP Adressen zur Verfügung. Meine Frage bezieht sich darauf, wie ich 2 Adressen daraus dahingehend nutzen kann, dass ich eingehend über je eine Adresse eine Portweiterleitung von EXTERN TCP 443 auf INTERN TCP 443 machen kann. Mein 1. Ansatz dazu war es einen weiteren WAN Adapter anzulegen mit der passenden Adresse. Und meine Idee dahinter - darüber auch eine weitere Portweiterleitung konfigurieren zu können. Dazu meine Frage: "Oder kann ich mein 2x TCP443 auf 2 unterschiedliche LAN Adressen auch anders regeln?"

Mein ursprüngliches Problem kann nichts damit zu tun haben, denn auch ohne aktiviertes 2. WAN Interface habe ich keine Portweiterleitung auf Interne IP Adressen bekommen. Ein Portscanner zeigt keine offenen Ports am Interface 217.x.x.91 an.

Ich habe das Problem jetzt dahingehend gelöst indem ich mir eine Sophos UTM installiert habe. Dort funktioniert die Portweiterleitung wie gewünscht inkl. der Weiterleitung über eine 2. WAN Adresse. (Allerdings kann man dort dem WAN INterface einfach mehrere IP Adressen geben -> muss ich mir bei opnsense mal anschauen ob das auch geht).

Mein Favorit wäre jedoch klar eine funktionierende Lösung mit opnsense. Deshalb bitte. Wer noch Lösungsvorschläge hat. Bitte bitte melden.

@Oxy. Viele neue Denkanstöße -> Danke dafür schon mal.

Vielen Dank

Hier Bild12 und 13

Ich hab es befürchtet? ??? Also Punkt für Punkt und zu allererst mal die Erklärung zum WAN92: Das ist ein weiteres Interface im Company Connect Netz -> WAN91 = 217.xxx.xxx.91 / WAN92 = 217.xxx.xxx.92 und ist für diesen Fall -> Ich benötige durchgehend 2x TCP 443, einmal für den Exchange und einmal für mein NAS. Ich kann und möchte da an der jeweiligen Portkonfiguration nichts ändern, sonst könnte man natürlich auch am Eingangsport "drehen", aber meine genutzten IOS Apps für Mail und DMS lassen derzeit keine Portänderung zu. Meine bisherigen Tests beschränken sich lediglich auf WAN91.

Es gibt nur ein Standard-Gateway -> 217.xxx.xxx.89, und das ist an WAN91 gebunden. (Bild8) Dazu gleich eine Frage: ich kann das Gateway nicht gleichzeitig für den WAN92 Adapter auswählen. Wie wird das gehandhabt? 2x das gleiche Gateway kann ich sicher auch nicht anlegen. Oder kann ich mein 2x TCP443 auf 2 unterschiedliche LAN Adressen auch anders regeln?

Das Logging war soweit schon aktiviert, aber ich sehe wie vorher schon beschrieben nichts, was auf Port 8081 Richtung LAN will.

In der Firewall Regel kann man unter erweiterte Optionen das Gateway konfigurieren (Bild9). Was ist Standard? Kein Gateway, oder das im Bild8 konfigurierte? Wenn ich auf das kleine (i) drücke bekomme ich als Erklärung: "Lassen Sie es auf 'Standard' um die Systemroutingtabelle zu verwenden oder wählen Sie einen Gateway um richtlinienbasiertes Routing zu verwenden."

Desweiteren wird ja erklärt, dass beim Anlegen eines Port Forwardings die passende Firewallregel mit erstellt wird. Dies kann ich dann ja auch nicht editieren. Darin wird der Verkehr vom WAN-Interface ins LAN geregelt. Benötige ich dann trotzdem noch eine Regel, die erst irgendwas von irgendwoher aufs WAN-Interface zulässt? Und ist diese so wie ich sie angelegt habe richtig? (Bild10) GW habe ich jetzt auf "Standard" konfiguriert s.o.


Nachdem ich jetzt ein paar mal die Seite von Extern aufgerufen habe (Bild11). Bekomme ich im Firewall Protokoll nur folgendes angezeigt (Bild12). Da stimmt doch grundlegend etwas nicht.

Auf Bild13 sieht man, dass ich online bin. Ausgehend ist an den Servern und dem NAS als Gateway die LAN Adresse der opnSense konfiguriert. Das funktioniert soweit auch alles (Internet) super. Auch mein WAN91 Interface kann ich vom www aus anpingen - ist also ja generell möglich. Wo ist der Fehler?

Danke

Hallo Oxy,

den Port der Web GUI hatte ich sicherheitshalber vorher schon geändert.

Bild1: Die gelb markierten Regeln legt opnsense automatisch an. Die rot gerahmte habe ich jetzt noch zusätzlich angelegt. Ändert aber auch nichts. Im Firewall Protokoll taucht auch weder meine Quelladresse aus dem www auf, noch der Zielport 8081. Wenn ich filtere bleibt das Ergebnis leer - kein Eintrag weder erlaubt noch geblockt. Muss ich zum Loggen des WAN Ports noch irgendwo einen Haken setzen? Andererseits gibt es jede Menge Einträge zu Port "WAN91" mit irgendwelchen externen Adressen über UDP (Bild4). Wobei mir die Adressen und Ports überhaupt nichts sagen????

Bild2: Über die Funktion Schnittstellen - Porttest bekomme ich auch keine Verbindung von WAN91 zum LAN-Host

Bild3: Was ist der Unterschied zwischen "WAN91" und "WAN91 IPv6 Link-Local"?

Oder Denkfehler???

Danke

Hallo zusammen,

ich bin frischer opnsense User. Soweit sogut, Internet direkt über 192.168.220.2 funktioniert. Aber irgendwie bekomm ich kein funktionierendes Port Forwarding vom WAN nach LAN. Anbei ein Plan.

Über die FritzBox WAN Adresse und die in der FritzBox eingerichteten Forwardings funktionieren alle Dienste - alles einwandfrei.

Über die WAN Adresse der opnsense FW leider nicht. Der obere Screenshot zeigt einen Scan aus dem www. Leider werden auf der 91er Adresse keine Ports erkannt. Mit der passenden FW Regel antwortet diese aber auf Ping aus der Wolke. Das habe ich allerdings wieder deaktiviert.

In der Mitte der Screenshot zeigt die Forwarding Regeln aus opnsense. Die für 3389 ist genau so aufgebaut. Die FW Regeln wurden automatisch erzeugt. Alles auf Standard belassen.

In den Firewall Protokollen finde ich nichts geblocktes auf die 443er oder 8081er LAN Adressen. Aber wie gesagt, ich sehe ja die Ports von Außen erst gar nicht. Habe ich etwas elementares übersehen?

Vielen Dank für Eure Unterstützung. Was kann ich tun?