RDP und 2 Internetanschlüsse

[Horst]

Hi Gauss23

dake für deine Info , Problem ist alles umzuändern auf ein andere Lan wird eine Menge Arbeit. Was ich nicht verstehe das es wenn ich das ganze lokal mache - problemlos funktioniert.
Shit , trotzdem danke - sollte dir noch ein wenig einfacherer Weg einfallen wäre das super.
( Bin mit GFI Firewall sattelfest aber mit opnsense - voller noob )

[Gauss23]

Hi Gauss23

dake für deine Info , Problem ist alles umzuändern auf ein andere Lan wird eine Menge Arbeit. Was ich nicht verstehe das es wenn ich das ganze lokal mache - problemlos funktioniert.
Shit , trotzdem danke - sollte dir noch ein wenig einfacherer Weg einfallen wäre das super.
( Bin mit GFI Firewall sattelfest aber mit opnsense - voller noob )

Es würde ja schon reichen auf der OPNsense einen eigenen IPsec-Road-Warrior-Zugang einzurichten und dann darüber von außen zu testen. Dann sollte RDP problemlos laufen. Du kannst natürlich auch OpenVPN oder WireGuard nehmen. Um die alte Firewall abzulösen, müsstest Du ja ohnehin einen VPN Zugang auf der Box einrichten.

[JeGr]

Es liegt an Deiner - mit Verlaub - etwas unglücklichen Doppel-GW Lösung bzw dieses merkwürdig geteilte /24er Netz. Bau es um, dann läuft es.

Asymmetrisches Routing ist immer ein Problemkind. Man könnte es nur lösen wenn man beim Schritt:

FW-IPsec-Server->RDP-Host

dem FW-IPsec-Server irgendwie outbound verklickert, dass er NATten soll, damit die RDP Session beim RDP Host nicht mit der echten IP ankommt (die er dann problematisch an die Sense schickt), sondern mit der IP des IPsec Servers, damit er die Antworten da wieder hin zurück schickt. Ist aber krude und eher nicht so schick. Netz sauber aufziehen ohne Asymmetrie im Routing macht es wesentlich besser. :)

[Zoki]

Hier kann ich noch was beitragen:

- Man kann problemlos Floating IPs auf den Firewall legen und dann Ports per NAT auf interne Rechner weiterouten. Insofern geht das nicht nur theoretisch, sondern auch ganz praktisch.
- Wenn man seinen Firewall nicht über das WAN administrieren möchte, kann man auch mit einem ssh-Tunnel die Web-Oberfläche über einen 2. Rechner, dem am Internet hängt und am "LAN" hängt umleiten:
ssh -A -L 4430:<interne IP der OPNsense>:443 -N user@jumphost

jumphost ist während der Installation eine VM, die sowohl eine öffentliche und eine interne IP hat.
Später wird der jumphost vom WAN getrennt und ist nur über den Firewall erreichbar (NAT Regel für Port 22)

Irgendwo liegt hier noch eine bebilderte Anleitung rum, ich muss nur mal zum redigieren kommen, dann stelle ich einen Link ein.

Nachteile:
- Man verbraucht halt Floating IPs, weil die IPs für die Rechner nur  im internen Netz hängen sollen nict wiederverwendet werden können
- der gesamte ausgehende Traffic läuft über den Firewall und verbraucht die 20TB, das Kontingent der internen Rechner kann nicht genutzt werden.

[Gauss23]

Hier kann ich noch was beitragen:

- Man kann problemlos Floating IPs auf den Firewall legen und dann Ports per NAT auf interne Rechner weiterouten. Insofern geht das nicht nur theoretisch, sondern auch ganz praktisch.
- Wenn man seinen Firewall nicht über das WAN administrieren möchte, kann man auch mit einem ssh-Tunnel die Web-Oberfläche über einen 2. Rechner, dem am Internet hängt und am "LAN" hängt umleiten:
ssh -A -L 4430:<interne IP der OPNsense>:443 -N user@jumphost

jumphost ist während der Installation eine VM, die sowohl eine öffentliche und eine interne IP hat.
Später wird der jumphost vom WAN getrennt und ist nur über den Firewall erreichbar (NAT Regel für Port 22)

Irgendwo liegt hier noch eine bebilderte Anleitung rum, ich muss nur mal zum redigieren kommen, dann stelle ich einen Link ein.

Nachteile:
- Man verbraucht halt Floating IPs, weil die IPs für die Rechner nur  im internen Netz hängen sollen nict wiederverwendet werden können
- der gesamte ausgehende Traffic läuft über den Firewall und verbraucht die 20TB, das Kontingent der internen Rechner kann nicht genutzt werden.

Ich glaube Du bist im falschen Beitrag gelandet :)