"
Guten Tag
Zurzeit bin ich dabei ein kleines Testprojekt aufzubauen. Das Setup hierfür sieht wie folgt aus, ich habe einen Server, mit vier Ports, auf dem OPNSense läuft. An diesem habe ich drei Clients angeschlossen, welche alle unterschiedliche Subnetze repräsentieren. Diese habe ich wie folgt an den OPNSense Server angeschlossen:
Auf dem Rechner welcher das WAN abbildet habe ich einen Webserver und einen FTP Server laufen, um zu testen, ob die Firewall auch wie gewünscht funktioniert. Momentan läuft alles noch in einem abgeschlossen System, also ohne Zugang zum Internet oder ähnliches, lediglich die 4 Geräte stellen die Infrastruktur.
Problembeschreibung
Nun habe ich folgendes Problem das NAT funktioniert nicht wie erwartet. Mit den Regeln (ich habe vor allem floating und NAT Regeln Port Forward Regeln erstellt) die ich erstellt habe und den. Ich habe versucht eine Verbindung zu dem FTP Server aufzubauen, allerdings nicht erfolgreich. Nach durchschauen einiger Log Daten der OPNSense, habe ich festgestellt, dass die Anfrage durchkommt, allerdings die Antwort nicht durchzukommen scheint, also habe ich noch eine Regel hinzugefügt welche den Rückweg erlaubt. Danach hat es wie gewünscht funktioniert.
Allerdings hätte ich gerne eine stateful Lösung, also dass ich nur eine Regel für den Ausgang brauche (da ich so wenig Regeln wie möglich erstellen möchte um die Übersicht zu verbessern und außerdem muss ich ja für den Rückweg die ganzen dynamischen Ports in die Regel aufnehmen, was nicht sinnvoll ist für eine Firewall) und sich die Firewall, dann quasi der Client hat eine Anfrage geschickt, die Antwort lasse ich also auch wieder durch. Dies funktioniert bei mir aber scheinbar nicht.
Ich habe unter den Firewall -> Settings -> general bereits folgende Einstellungen vorgenommen (einen Haken gesetzt):
Zusammenfassung:
Vielen Dank im voraus für Hilfe und Antworten
Zurzeit bin ich dabei ein kleines Testprojekt aufzubauen. Das Setup hierfür sieht wie folgt aus, ich habe einen Server, mit vier Ports, auf dem OPNSense läuft. An diesem habe ich drei Clients angeschlossen, welche alle unterschiedliche Subnetze repräsentieren. Diese habe ich wie folgt an den OPNSense Server angeschlossen:
- igb0 = WAN (95.xxx.xxx.xxx/28)
- igb1 = LAN (21.xxx.xxx.xxx/24)
- igb2 = LAN_2 (10.xxx.xxx.xxx/24)
Auf dem Rechner welcher das WAN abbildet habe ich einen Webserver und einen FTP Server laufen, um zu testen, ob die Firewall auch wie gewünscht funktioniert. Momentan läuft alles noch in einem abgeschlossen System, also ohne Zugang zum Internet oder ähnliches, lediglich die 4 Geräte stellen die Infrastruktur.
Problembeschreibung
Nun habe ich folgendes Problem das NAT funktioniert nicht wie erwartet. Mit den Regeln (ich habe vor allem floating und NAT Regeln Port Forward Regeln erstellt) die ich erstellt habe und den. Ich habe versucht eine Verbindung zu dem FTP Server aufzubauen, allerdings nicht erfolgreich. Nach durchschauen einiger Log Daten der OPNSense, habe ich festgestellt, dass die Anfrage durchkommt, allerdings die Antwort nicht durchzukommen scheint, also habe ich noch eine Regel hinzugefügt welche den Rückweg erlaubt. Danach hat es wie gewünscht funktioniert.
Allerdings hätte ich gerne eine stateful Lösung, also dass ich nur eine Regel für den Ausgang brauche (da ich so wenig Regeln wie möglich erstellen möchte um die Übersicht zu verbessern und außerdem muss ich ja für den Rückweg die ganzen dynamischen Ports in die Regel aufnehmen, was nicht sinnvoll ist für eine Firewall) und sich die Firewall, dann quasi der Client hat eine Anfrage geschickt, die Antwort lasse ich also auch wieder durch. Dies funktioniert bei mir aber scheinbar nicht.
Ich habe unter den Firewall -> Settings -> general bereits folgende Einstellungen vorgenommen (einen Haken gesetzt):
- reflection for Port forwarding
- automatic outbound NAT reflection
- use sticky connections
- use shared forwarding
- bypass firewall rules on the same interface
Zusammenfassung:
- Wie kann ich das NAT so einstellen, dass die Antworten auch durchkommen ohne das eine zweite Regel notwendig ist.
- Wo kann ich die Interface Überwachung ausstellen, so dass automatic outbound rules erstellt werden?
Vielen Dank im voraus für Hilfe und Antworten
