RDP von Primary intern LAN zu Testnetz intern LAN

[Novell2]

Ich versuche schon seit einiger Zeit eine einfach Regel zu setzen um RDP zu nutzen im Primary LAN, damit die Hosts im Test-Lan 192.168.1.x erreichbar sind.
Also ich habe ein Primary LAN 192.168.100.x, und ein Test-Lan 192.168.1.x
Ich möchte nun im Primary LAN mit der Remoteconsole auf die Hosts im Test-Lan 192.168.1.x zugreifen.
Im Bild habe ich es verucht mit dem Interface Namen WAN.
Opnsense ist als VM auf einem esxi zwischen den zwei LANs. Im Testnetz 192.168.1.x funktioniert alles wie es muss Internet etc.
Wer hat eine ähnliche Lösung, oder Printscreen für die korrekte Regel des RDP Portforwarding?
Vielen Dank, und wünsche eine gute Woche!
Novell2

[viragomann]

Im Bild habe ich es verucht mit dem Interface Namen WAN.

Da hast du eine Port Forwarding Regel erstellt. Da dürften aber mehrere Dinge falsch sein. Allerdings fehlen einige Infos zum Aufbau.

Ich vermute, geschrieben hast du es nicht, das WAN der OPNsense ist mit deinem "Primary LAN" 192.168.100.x verbunden und das "Test-Lan" 192.168.1.x liegt am anderen Interface.

Vorweg, wenn das Interface "WAN" jenes ist, das OPNsense intern als "WAN" bezeichnet, ist da von Haus aus das Blocken von privaten IP Adressen aktiviert. Das müsstest du erstmal in den Interface Einstellungen deaktivieren, wenn du aus dem Pirmary LAN darauf zugreifen möchtest.

Dann, möchtest du das mit einer Weiterleitung lösen?
Falls die Geräte im Primary LAN keine Route für das Test LAN haben, ist das auch die einzige Möglichkeit. Dann können sie nämlich nur die WAN IP von OPNsense erreichen. Allerdings müsste dann diese das Ziel in der Port Forwarding Regel sein, also bspw. 192.168.100.100.
192.168.100.100 wäre dann die Hostadresse für den RDP-Client.

Und für RDP solltest du die Regel auf TCP/UDP ändern.

[Novell2]

Hallo Viragomann, danke, scheint mir einiges komplizierter zu sein als gedacht... Hättest du mir bitte ein Beispiel Printscreen dazu? Damit ich die Regel richtig setzen kann?
Besten Dank für deine Geduld!
Wünsche Dir eine gute Woche!

Novell2

[meyergru]

Übrigens: Unabhängig von den notwendigen Firewall-Regeln, wegen RDP:

Mit Rustdesk kannst Du Dir das alles sparen und hast noch das bessere Produkt:

1. Keine Windows-"Pro"-Versionen notwendig.
2. Andere OSe werden unterstützt.
3. Du kannst Leute unterstützen, die sehen können, was Du tust.
4. Es ist egal, wo die Clients stehen, sie müssen nur Internet-Zugriff haben. Weitere Firewall-Regeln sind verzichtbar.
5. Du kannst (optional) einen eigenen Rustdesk-Vermittler aufmachen.

[viragomann]

scheint mir einiges komplizierter zu sein als gedacht... Hättest du mir bitte ein Beispiel Printscreen dazu? Damit ich die Regel richtig setzen kann?

Kompliziert ist meine Antwort geworden, weil mir unklar ist, wie du es lösen möchtest, mit NAT oder mit Routen. Eine noch bessere Möglichkeit wäre, das OPNsense WAN von deinem Primary LAN zu trennen und ein gesondertes Netzwerk Segment zum Hauptrouter aufzubauen. So könntest du dir die statischen Routen ersparen.
Ich weiß aber nicht, ob dein Router mehrere Netzwerksegmente beherrscht.

NAT würde für jedes Ziel eine andere IP oder einen anderen Port auf dem OPNsense WAN erfordern. Das wäre mir zu unübersichtlich, also würde ich es mit statischen Routen lösen:

• auf deinem Destop eine statische Route für 192.168.1.0/24 hinzufügen und auf die OPNsense WAN IP als Gateway setzen
• am OPNsense WAN Interface "Block private networks" deaktivieren
• am WAN eine Pass-Regel hinzufügen: Source = dein PC, Source Port = any, Destination = 192.168.1.0/24, Destination Port = 3389

Wenn du den Zugriff auf bestimmte Ziel-IPs beschränken möchtest, kannst du für diese einen Alias anlegen und diesen als Ziel verwenden.