Port-Forwarding aus Privatem Lan funktioniert nicht

[x86]

Hi,

nachdem ich schier am verzweifeln bin wende ich mich mal ans Forum.
Ich wollte eine Opnsense als Abtrennung zwischen meinem LAN und einer "LAB"-Umgebung nutzen.
Opnsense also die Tage installiert mit der aktuellen Version, WAN-Anschluss auf DHCP, LAN-Adresse Standard.
Internet ist vom LAB-LAN auch ohne Probleme erreichbar auch mein LAN ist vom LAB-LAN aus erreichbar.
Wollte dann ein bisschen mit einem Test-Server rumspielen, also Port-Forwarding angelegt, Port 80 TCP, Ziel WAN-Adresse, Forwarding IP 192.168.1.155, TCP Port 80.
Eigentlich kein Problem, schon zigmal gemacht, funktioniert aber hier nicht. Laut Wireshark bzw. Paketverfolgung kommen die Pakete an der WAN-Schnittstelle der Firewall an, werden korrekt an den Server geleitet, der Server antwortet auch und laut tcpdump schickt sogar die Firewall die Pakete wieder korrekt an meinen Client zurück. Nur kommt bei dem laut Wireshark nichts an.
Dazwischen hängt nur ein Switch auf dem eigentlich nichts konfiguriert ist, der sollte ja eigentlich keine Pakete verwerfen.
Gibt es da einen Bug den ich nicht kenne? Kann das mal jemand nachspielen? Ein Kollege hats dann zuhause auch mal getestet, hat das gleiche Problem.
Die Haken bei Block Bogons und Block private Netze sind natürlich nicht gesetzt.
Beim Test auf meiner "Produktiv"-Opnsense auch zum Testen mal Port 443 aufs NAS geforwardet, das ging wie erwartet ohne Probleme (die hat auch auf WAN eine Private-IP da noch eine Fritzbox davor hängt).

Kann ich mir nicht erklären und nervt mich gerade wahnsinnig. Da will man nur kurz was testen und hängt an so einem Fehler.

mfg

[micneu]

um deinen text besser zu verstehen, bitte mal einen grafischen netzwerkplan

[x86]

Habe ich mal an diesen Post angehängt...
Wie gesagt, auf der "LAB"-Opnsense funktioniert das Portforwarding nicht wie erwartet.
Gateways, DNS und Subnetzmasken bei den Clients sind so wie sie sein sollen.
Auf der "Produktiv"-Opnsense gibt es hingegen kein Problem mit dem Forwarding. Wobei ich es da noch nicht aus dem Fritz.Box Netzwerk 192.168.178.0/24 versucht habe sondern nur von komplett extern.

[lewald]

Ich nehme mal an das auf deinen Clients /Servern die Produktiv OPNsense als gateway gesetzt ist.
Das heißt dort gehen alle Pakete hin di enicht in da Lan gehören. Dort musst du eine Route für dein LAB Lan  setzen. In der OpnSense Lab eine Route zur OPNsense Produktiv für Pakete aus dem LAB Lan.

Wenn ich mich nicht täusche. Oder auf den Clients/Servern eine Route.

Die Firewall Regeln müssen natürlich auch angepasst werden.

[x86]

Hi,

nein, ich möchte nicht routen.
Ich möchte an meinem Client die http://192.168.198.43 aufrufen und dabei mit Port 80 auf dem Server mit der 192.168.1.155 ankommen.

[lewald]

Und wie soll Dein Netz wissen über welches Gateway es gehn muss ?

[x86]

Braucht es nicht zu wissen?
Die 192.168.198.43 ist im gleichen Netz wie mein Client.
Und ausgehend sollte die Opnsense auch in der Lage sein zu erkennen dass das 192.168.198.0/23 Netz direkt an ihrer WAN-Schnitstelle angeschlossen ist und dementsprechend die Pakete nicht zu ihrem Standardgateway schicken.

[lewald]

Nein,

als rückadresse ist dein Client aus dem Lab drinnen (zumindest mit normalen Nat). Und das Netz kennt das primäre Gateway nicht.