Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Kriege Portforwarding /NAT nicht hin
« previous
next »
Print
Pages: [
1
]
Author
Topic: Kriege Portforwarding /NAT nicht hin (Read 3649 times)
jstrebel
Full Member
Posts: 188
Karma: 23
Kriege Portforwarding /NAT nicht hin
«
on:
May 29, 2020, 07:38:55 pm »
Hallo, bin am umsteigen auf OPNsense (OPNsense 20.1.7-amd64) von einem anderen Router/Firewall.
Ich möchte vom Internet via SSH auf ein internes Gerät zugreiffen.Trotz lesen und testen bin ich leider erfolglos.
Ich vermute, dass ich auf meine eigenen Füssen stehe. Im Anhang die beiden Screens von (FW Rules und NAT forward) Ich denke das ist das EInzige was für mein Vorhaben relevant ist.
Danke für Tips. Jakob
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #1 on:
May 29, 2020, 11:39:20 pm »
SSH ist TCP und der Quellport ist ein Port größer 1024.
Also entweder als Quellport "any" setzen oder Bereich "1025:65535".
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
jstrebel
Full Member
Posts: 188
Karma: 23
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #2 on:
May 30, 2020, 08:16:51 am »
Danke für deine Antwort. Ich verwende bei ssh den Standard port 22. Der hat beim alten setup funktioniert. Ich glaube, dass ich etwas Grundsätzliches OPNsense spezifisches übersehe. Jakob
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #3 on:
May 30, 2020, 08:53:11 am »
Du verstehst mich nicht. 22/tcp als Zielport ist korrekt, aber nicht zusätzlich als Quellport.
allow src any port any to wan port 22/tcp
oder
allow src any port 1025:65535 to wan port 22/tcp
Bei Forwarding ebenfalls.
Wenn du bei deinem SSH Client nicht explizit angibst, das 22 als Quellport verwendet wird, dann nimmt er immer einen unpriviligierten Port. Schließlich sollen ja auch Nutzer ohne Root/Adminrechte SSH nutzen können.
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
jstrebel
Full Member
Posts: 188
Karma: 23
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #4 on:
May 30, 2020, 09:40:02 am »
Ich habe den Eindruck, dass die Ursache noch eine Stufe vor dem "Verbindungsaufbau" liegt. Wenn ich einen Portcheck auf port 22 mit
Open Port Check Tool
https://networkappers.com/tools/open-port-checker
mache erhalte ich die Meldung blocked. Danke, dass du mir hilfts. Jakob
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #5 on:
May 30, 2020, 09:53:09 am »
Solange Du den Quellport nicht auf any oder 1025:65535 stellst, wirst Du eben blocked erhalten.
Jedes Programm nutzt Ports größer 1024 als Source Port. Auch dein Portscanner. Schau doch einfach ins Log. Da steht sicher nicht 22 als Quellport drinnen.
Es gibt echt nur wenige Protokolle, die den Quellport vorgeben und noch weniger, die Ports unter 1024 nutzen. Spontan fallen mir nur DNS (53), IKE (500) und NTP (123) ein. Und selbst da gibt es immer mehr Clients, die sich nicht an den ursprünglichen Standard halten, vermutlich weil man sie aus Sicherheitsgründen nicht als root starten will.
TL;DR
Solange Du Deinen Quellport nicht änderst, wird dir hier niemand helfen können.
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
jstrebel
Full Member
Posts: 188
Karma: 23
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #6 on:
May 30, 2020, 10:53:23 am »
Das mit dem Quellenport und TCP hatte ich umgehend nach deiner Empfehlung geändert. (Entschuldige, dass ich es nicht erwähnt hatte.) Leider hat es nichts gebracht. Danke Jakob
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #7 on:
May 30, 2020, 12:08:24 pm »
Lösch mal die WAN rule und den Forward und lege dann den Forward nochmal an mit der Option automatisch eine passende WAN Regel zu erstellen. Normalweise werden die Regeln dann intern verknüpft und man kann nur die Forwarding rule bearbeiten.
Bei Dir kann man beide bearbeiten. Daher nehme ich an, das Du die WAN Regel selbst erstellt hast.
Ich würde es mit einer automatisch generierten Regel versuchen
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
jstrebel
Full Member
Posts: 188
Karma: 23
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #8 on:
May 30, 2020, 04:06:35 pm »
Wie erstelle ich automatisch eine Regel? Im Menue finde ich nichts, habe ich etwas übersehen. Auf jeden Fall vielen Dank für deine Tips. Jakob
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: Kriege Portforwarding /NAT nicht hin
«
Reply #9 on:
May 30, 2020, 04:24:34 pm »
https://docs.opnsense.org/manual/nat.html#port-forwarding
Filter rule association
Associate this with a regular firewall rule.
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Kriege Portforwarding /NAT nicht hin