NAT Reflection mit diversen Subnets hinter der OPNsense?

[Hellgirl]

Ich betreibe in meinem LAN einen Nextcloud Server. Diesen will ich per Domain von außen erreichen. Das klappt. Ich erreiche ihn aber nicht aus dem LAN. Hier ist das Stichwort ja NAT Reflection soweit ich weiß.

NAT Reflection klappt aber hier nur, wenn der LAN Client im selben Subnet liegt, wie die OPNsense. Komme ich aus einem anderen LAN Subnet, bekomme ich einen Timeout auf meiner Domain. Die Domain löst korrekt auf die WAN Adresse auf.

Ich denke hier ist das Problem wieder Routing/Outbound Rules oder wo muss ich da ansetzen? Ich denke er bekommt bei der NAT Reflection eine IP aus einem falschen Subnet zugewiesen. In den Firewall Logs findet man dazu nichts auffälliges. Keine dementsprechenden Blocks.

OPNsense IP im VLAN2: 10.10.2.2
Nextcloud IP im VLAN3: 10.10.3.8
Client PC im VLAN10: 10.10.10.15      // NAT Reflection geht nicht und per Domain kommt keine Antwort.

OPNsense IP im VLAN2: 10.10.2.2
Nextcloud IP im VLAN3: 10.10.3.8
Client PC im VLAN10: 10.10.2.100     // NAT Reflection arbeitet korrekt und ich komme auch per Domain auf die
                                                          Nextcloud.

Im WAN ist nur die Rule für den Webserver offen. Im LAN gibt es eine Scheunentor Rule für die 10.10.0.0/16er Netze.

Die Outbound Rule habe ich im Screenshot mal angehängt.

Vielen Dank schon mal für deine Antwort :-)

[mimugmail]

Du brauchst eine manuelle outbound NAT rule:

Interface VLAN3
Source VLAN10
Destination Nextcloud IP
Translation Interface Address

[Hellgirl]

Oh ich habe noch etwas vergessen zu erwähnen. Ich setze einen Layer 3 Switch ein, der das interVLAN Routing erledigt.

Auf die OPNsense kommt lediglich der Internettraffic. Der Port am Switch steht somit auf Access und nicht auf Trunk! Die OPNsense weiß daher nichts über die diversen VLAN´s.

Wie verhält es sich dann hierbei?

[mimugmail]

Der Interfacename reicht .. also dann der von LAN wahrscheinlich. Ansonsten bitte Netzplan