Portweiterleitung je nach Domain

[Sabo]

Hi ich hab da mal eine Frage.
Kann ich portweiterleitung je nach Domainanfrage auf meine feste IP machen?
domain.de an 10.0.12.1:3901
test.domain an 10.0.12.1:3902
Hierbei handelt es sich aber nicht um Webserver sondern TeamSpeak Server.
Also die Anfrage vom TS Client wird egal welche Domain ich eingebe ja immer auf 3901 ankommen Standart mäßig wenn ich keinen Port mitgebe. Die OPNsense soll also quasi wenn die 3901 Anfrage von test.domain.de kommt auf 3902 umleiten. Was sie bei domain.de halt nicht machen soll.

Grüße Sabo

[Monviech (Cedrik)]

Eine Portweiterleitung bei der sich der Port verändern soll, ist ein Destination NAT (Network Address Translation), in Kombination mit einem PAT (Port Address Translation).

Hierbei handelt es sich aber um eine Funktion auf Schicht 3/4 des OSI Modells. Das bedeutet, die Firewall sieht nur IP Addressen und Ports, und kann diese umschreiben. Das bedeutet, dass man z.B. eine Anfrage auf 203.0.113.1:3901 nach 10.0.12.1:3901 umschreiben kann (Reines DNAT). Des weiteren ist es möglich, 203.0.113.1:3901 nach 10.0.12.1:3902 umzuschreiben (DNAT mit PAT).

Aber beides gleichzeitig geht nicht mit NAT, da die Firewall hier nur stump die IP Adresse und den Port umschreibt. Das heißt, es geht hier nur ein Port von außen nach ein Port von innen. Also z.B. Port 3901 nach 3901, und 3902 nach 3902 etc...

------------------------------------------------------------

Das bedeutet, dass du dein Ziel mit etwas erreichen musst, dass den Header eines Pakets analysieren kann. Dafür gibt es den Reverse Proxy. Dieser kann in der Anwendungschicht (7) des OSI Schichtenmodells in die eigentliche Anfrage hineinschauen, sieht z.B. dass es "test.domain" ist, und leitet die Anfrage dann an 10.0.12.1:3902 weiter. Das heißt, die Portfreigabe der OPNsense zeigt auf den Reverse Proxy, und der Reverse Proxy entscheidet dann Anhand des Headers wo es weiter hingeht.

Bekannte Reverse Proxys sind z.B. "nginx" oder "HA-Proxy" auf der OPNsense direkt. Wenn es dahinter in einer VM oder so passieren soll, gibt es Lösungen wie "Caddy" was sehr einfach zu konfigurieren ist.

[meyergru]

Tatsächlich geht das mit Portweiterleistung und IPv4 nicht. Aber je nachdem, was Du damit erreichen willst, könntest Du es mit IPv6 machen, weil Du dort nicht den Port, sondern die IP beliebig wählen kannst.

Ich gehe mal davon aus, dass Du auf dem selben System mehrere Teamspeak-Server aufbauen willst. Das könnten z.B. mehrere VMs sein, die dann unter verschiedenen IPv6-Adressen erreichbar sind. Setzt natürlich voraus, dass die Clients auch IPv6 können.

[Monviech (Cedrik)]

Mit IPv6 wäre es die richtige Vorgehensweise.

Gerade bei Teamspeak gibt es ja noch RTP Ports (Voice, UDP, 9987), die sind mit einem Reverse Proxy schwer weiterzuleiten. Dafür bräuchte man schon nginx plus wo support für Streams drin sind.