NAT treibt mich in den Wahnsinn :-D

Started by SkullCollector, June 02, 2024, 06:03:47 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 02, 2024, 06:03:47 PM
Hallo zusammen,

hier mal meine SPECS :
OPNsense 24.1.8-amd64
FreeBSD 13.2-RELEASE-p11
OpenSSL 3.0.13

Eingesetzt auf einem Dedizierten Rechner mit 4 Netzwerkkarten.


LAN Interface : igb1 : 192.168.250.1 / 16 static IPV4
Im LAN läuft der DHCP für die Range 192.168.0.2 - 192.168.255.254

So gut wie alle Geräte hier bekommen per Reservierung ihre IP zugewiesen.

Am WAN Interface (igb0) hängt ein Vigor 167 im Modem Modus (Bridged Mode) ha die IP 192.168.0.1/16
Verbindung ins I-Net wird über PPPOE durch die OPNSense durchgeführt.

Verbindung steht und soweit läuft alles.

Und nun hab ich ein Verständnis Problem.

Folgendes Scenario :
2 Aliase angelegt.
zum einen mit den Ports für Teamspeak Server
zum anderen mit der IP für den Teamspeak Server

Dann habe ich einen NAT Eintrag gemacht, Port Foward.
Interface WAN
Protocol : TCP/UDP
Source : ANY
Source Port Range : Any

Destination any
Destination Port Range from : TS3_Server_Ports
Redirect target IP : TS3_Server
Redirect target port : TS3_Server_Ports

NAT reflection : Use System default
Filter Rule association : NONE

Unter Rules im WAN Interface folgende Regel erstellt :

Action : PASS
Interface : WAN
Direction : IN
TCP Version : IPV4
Protocol : TCP/UDP
Source : any
Destination : TS3_Server
Destination Port Range : TS3_Server_Ports
Gateway : default


Ansonsten nichts verändert in dieser Regel.

WEnn ich nun versuche den TS3 Server zu erreichen, klappt das sehr gut.
Versuche ich nun aber einen anderen TS3 Server zu erreichen, lande ich entweder auch auf meinem eignen
oder aber es kommt zu keiner Verbindung.

Gleiches gilt auch für Port Forwarding auf meine internen Webserver.
Trage ich Regeln dafür ein also einmal NAT / Port Forward und die Regel im Anschluß bei den Rules. Komme ich auf meinen Server,aber ich kann ansonsten keine Webseite mehr aufrufen.

Muss ich zusätzlich zum NAT überhaupt noch eine Regel auf den WAN Interface erstellen oder ist die Überflüssig ?

Also entweder geht nur mein Server und nichts anderes, oder aber es geht alles andere und ich erreiche meinen eignen Server nicht mehr.

Habe ich da irgendwo einen Denkfehler ? Ist alles generell falsch ?


Ich verzweifel irgendwie. :-D

Danke schonmal vorab für die eventuelle Hilfe :-)
Grüße
Skully
Alles nichts oder :-D
June 03, 2024, 08:27:04 PM #1
Hi,

Sehe ich das richtig, das Interface igb0 ist WAN? Und du die OPNsense macht PPPoE?
So ganz kenne ich mich damit nicht aus, da ich diese Konfiguration verwende, aber WAN muss das durch PPPoE angelegte Interface pppoe0 (oder so) sein.

Gruß
KH
June 04, 2024, 06:54:29 AM #2
Quote from: SkullCollector on June 02, 2024, 06:03:47 PM

Dann habe ich einen NAT Eintrag gemacht, Port Foward.
Interface WAN
Protocol : TCP/UDP
Source : ANY
Source Port Range : Any

Destination any
Destination Port Range from : TS3_Server_Ports
Redirect target IP : TS3_Server
Redirect target port : TS3_Server_Ports


Destination any <= sollte hier nicht "WAN Adresse" stehen?
June 04, 2024, 10:21:15 AM #3
Ich hab beides schon probiert.
Weder bei ANY noch bei WAN Address ändert sich das Verhalten der OPN Sense.

Gleiches gilt auch VOIP. Egal wie ich es konfigiere, ich krieg die Telefonnummern nicht konfiguriert.
Die Voip Ports werden an meine FritzBox durchgeleitet. Diese scheint das aber nicht zu interessieren.
Schon seit einigen Tagen kann ich nicht mehr über Festnetz telefonieren. Schön ruhig hier  ;D

Und ja das WAN Interface wurde durch meine Auswahl PPPoE angelegt. Habe gerade nochmals den Assistenten durchlaufen lassen, da ich dachte ich hätte das bei der manuellen Einstellung nach der Installation vergeigt.

Sieht genauso aus wie vorher. Scheint also richtig gewesen zu sein.

Gruß Skully
Alles nichts oder :-D
June 04, 2024, 10:23:32 AM #4
Quote from: KHE on June 03, 2024, 08:27:04 PM
Hi,

Sehe ich das richtig, das Interface igb0 ist WAN? Und du die OPNsense macht PPPoE?
So ganz kenne ich mich damit nicht aus, da ich diese Konfiguration verwende, aber WAN muss das durch PPPoE angelegte Interface pppoe0 (oder so) sein.

Gruß
KH

Ja, der Rechner auf der OPNSense läuft hat 4 Schnittstellen. igb0 - igb3
igb0 hab ich als PPPoE eingestellt, hier wird dann das WAN interface auch so angelegt.
igb1 ist mein internes Interface für alles was in meinem Netz so rumschleicht :-D
Alles nichts oder :-D
June 05, 2024, 10:19:50 AM #5
Seltsamerweise funktioniert es nun.

was ich allerdings merkwürdig finde ist die Tatsache , das ich weder Port 80 noch 443 an meinen Reverseprox weiterleiten kann der seinerseits diese anfragen zu meinen Webservern umlenken soll.

Egal was ich mache, ich lande immer auf der Sense. Wieso zum Geier hört die OPNSense auf dem WAN Interface eigentlich auf 80 / 443 ?
Wer bitte loggt sich über WAN auf seine Firewall ein und nicht über einen VPN Tunnel ?

Das ist, meines Erachtens ziemlich Sinnbefreit irgendwie.
Alles nichts oder :-D
June 05, 2024, 10:36:25 AM #6
Hier steht was du machen musst um Port 80 und 443 nutzen zu können. Am Beispiel von Caddy:

https://docs.opnsense.org/manual/how-tos/caddy.html#prepare-opnsense-for-caddy-after-installation
Hardware:
DEC740
June 05, 2024, 07:45:56 PM #7
Quote from: Monviech on June 05, 2024, 10:36:25 AM
Hier steht was du machen musst um Port 80 und 443 nutzen zu können. Am Beispiel von Caddy:

https://docs.opnsense.org/manual/how-tos/caddy.html#prepare-opnsense-for-caddy-after-installation

Zuerstmal vielen Dank für den Hinweis. Werde ich mir durchlesen.
Was ich seltsame find , das diese Ports von Hause offen sind am Wan interface.

Danke jedenfalls für Deinen Tip.


Alles nichts oder :-D
June 05, 2024, 08:05:15 PM #8
Quote from: SkullCollector on June 05, 2024, 07:45:56 PM
Was ich seltsame find , das diese Ports von Hause offen sind am Wan interface.
Sind sie nicht. Ohne ausdrückliche Regel ist an WAN alles zu.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 06, 2024, 06:34:42 AM #9
Quote from: Patrick M. Hausen on June 05, 2024, 08:05:15 PM
Quote from: SkullCollector on June 05, 2024, 07:45:56 PM
Was ich seltsame find , das diese Ports von Hause offen sind am Wan interface.
Sind sie nicht. Ohne ausdrückliche Regel ist an WAN alles zu.

Du hast recht, ohne regel ist alles zu. Allerdings als ich versuchte per Portforward Regel die Ports 443 und 80 auf meine Webserver umzuleiten, landete ich auf der Sense und nicht auf den Webservern.
Ich behalte das mal weiter im Auge :-)
Alles nichts oder :-D
June 06, 2024, 11:40:08 AM #10
Quote from: SkullCollector on June 06, 2024, 06:34:42 AM
Quote from: Patrick M. Hausen on June 05, 2024, 08:05:15 PM
Quote from: SkullCollector on June 05, 2024, 07:45:56 PM
Was ich seltsame find , das diese Ports von Hause offen sind am Wan interface.
Sind sie nicht. Ohne ausdrückliche Regel ist an WAN alles zu.

Du hast recht, ohne regel ist alles zu. Allerdings als ich versuchte per Portforward Regel die Ports 443 und 80 auf meine Webserver umzuleiten, landete ich auf der Sense und nicht auf den Webservern.
Ich behalte das mal weiter im Auge :-)

Dann stimmen deine Port-Forwards nicht und die erzeugten Regeln dazu haben dann schlicht das WAN für die Ports aufgemacht, dein NAT hat aber nicht gegriffen -> darum auch die Empfehlung die WebUI genau wegen solcher Dinge weg vom Standard von 80/443 zu legen (oder/und ggf. nur auf dem Interface zu binden, auf dem man es braucht, also bspw. localhost, management und ggf. sync aber nicht auf dem WAN).

Cheers :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions