Opnsense Port Forwarding für RDP mit Custom Port nicht erfolgreich

[johannes.lueke]

Hallo und frohe weihnachten :D ,

Aktuell versuche ich mich mit Opnsense etwas näher auseinander zu setzen. Mein aktuelles Ziel ist es eine VM mit Opnsense zum laufzubekommen, diese als Quelle für eine Fritzbox zu nutzen und eine Portweiterleitung zu einem customport für das RDP protokol erfolgreich einzurichten. ... leichter gesagt als getan.

Ich hab den post von meyergru (https://forum.opnsense.org/index.php?topic=39556.0) gelesen. Und bin eigentlich der auffassung das mein setup eigentlich so passen sollte. Ich muss dennoch etwas nicht verstanden haben. Das Problem das ich aktuell habe ist, das mein Router, der von Opnsense mit dem "Internet" versorgt wird, anfragen an den Weitergeleiteten Port gar nicht erst erreichen, wenn man wireshark vertraut.



Was ist der aktuelle Ist-Zustand:

- VM via Proxmox
  - 3 dedizierte hardware Ethernet ports stehen für die VM zu Verfügung á 2.5
  - 4 GB RAM
  - 45 GB SSD
- 2 Fritzboxen
  - 7530 - um sich mit dem IPS zu verbinden und meine heim geräte zu erreichen
  - 4060 - zum herum experimentieren
- 2 Computer. Einer im netz der 7530 der andere im netz der 4060.

Die VM war leicht aufgesetzt und beide interfaces können erreicht werden. der Computer im netz der 4060 bezieht über opnsense erfolgreich das internet.

Code Select Expand


 +--------------------+                               
 |                    |                               
 |  ISP - o2          |                               
 |  IPv4              |                               
 |  IPv6              |                               
 |           +------+ |                               
 +-----------|------|-+                               
             | DSL  |                                 
             +-|----+                                 
               |                                       
               |                                       
               |                                       
               |                                       
             +-|----+                                 
             | WAN  |                                 
+------------|------|+                                 
| FritzBox   +------+|                                 
|                    |                                 
| 10.0.0.1/8         |                                 
|                    |                                 
|                    |                                 
| +-----+ +-----+    |                                 
+-|-----|-|-----|----+                                 
  |LAN 1| |Lan 2|                                     
  +--|--+ +-----+-----------> PC 2 (10.0.0.44)                                     
     |                                                 
     |                                                 
     |                                                 
  +--|--+                                             
  | WAN | 10.0.0.42 via DHCP                           
 +|-----|-------------+                               
 |+-----+             |                +--------------+
 |Opnsense           +---------+       |              |
 |                   || (opt)  |       |  switch      |
 |                   || LAN    ---------              |
 |                   +---------+       |              |
 |             +-----+|                +--------------+
 +-------------|-----|+                               
               | Lan | 192.168.21.253                 
               +--|--+ static IPv4                     
                  |                                   
                  |                                   
               +--|--+                                 
               | WAN | 192.168.21.10 via DHCP                               
  +------------|-----|-+                               
  |            +-----+ |                               
  |Fritzbox            |                               
  |                    |                               
  |192.168.20.1/24     +-------> PC 1 (192.168.20.39)                               
  |                    |                               
  |                    |                               
  +--------------------+                               

ich habe versucht die Portweiterleitung sehr offen einzurichten:

Interface:	WAN (opnsense)
Protocol:	TCP
Source:	ANY
Source port range:	any	any
Destination:	WAN Address
Destination port range:	4390	4390
Redirect target IP:	192.168.20.39
Redirect target Port:	4390

Zurzeit akzeptiere ich jede eingehende Verbindung, unabhängig von IP und Port, und habe die WAN-Adresse von OPNsense als Ziel festgelegt. Der Datenverkehr soll letztendlich auf PC 1 umgeleitet werden, basierend auf der Redirect-Ziel-IP und dem entsprechenden Port.

Man könnte nun vermuten, dass PC 2 keine Verbindung zu Diensten herstellen kann, die von OPNsense bereitgestellt werden. Allerdings ist es PC 2 problemlos möglich, auf das Webinterface von OPNsense zuzugreifen. Noch überraschender ist, dass auch PC 1 über dieselbe IP (10.0.0.42) wie PC 2 auf die Weboberfläche zugreifen kann.

Die Portweiterleitung funktioniert jedoch nicht. Momentan habe ich das Gefühl, den Wald vor lauter Bäumen nicht mehr zu sehen.

Hat jemand eine Idee, was ich übersehen haben könnte? Oder könnt ihr mir sagen, welche zusätzlichen Informationen ihr benötigt, um weiterzuhelfen?


-----

Ich hab jetzt alternative den Standard port wieder für RDP auf PC 1 Konfiguriert, Leider das gleiche ergebnis - es kann keine RDP verbindung aufgebaut werden.

Interface:	WAN (opnsense)
Protocol:	TCP
Source:	ANY
Source port range:	any	any
Destination:	WAN Address
Destination port range:	3389	3389
Redirect target IP:	192.168.20.39
Redirect target Port:	3389

Eine weitere Erkenntnis hab Ich dennoch gewonnen: unter den Logfiles hab ich in der Live View festgestellt, das eine Eingehende und Ausgehende Regel getriggert wird.

Einmal aus dem

• WAN In die Firewall (in) (Src:10.0.0.44.60134;Dst:192.168.20.39.3389)
• Lan aus der Firewall heraus (out) (Src:10.0.0.44.60134;Dst:192.168.20.39.3389)

leider aber nur exakt die zwei events und nicht mehr. wenn ich die Port Forwarding regel wieder entferne bekomme ich stattdessen ein gutes Dutzend events das die anfrage blockiert wird. Das gleiche hätte ich mit dem Port Forwarding erwartet minus dem blockieren