Torrent Download Standardmäßig nicht möglich über opnsense? os-upnp?

[ziegler]

Hallo,

ich habe eine Frage zu Torrent Downloads.
In meinem interne LAN habe ich an der WLAN Schnittstelle von der opnsense einen AccessPoint mit openwrt angeschlossen.
Auf diesem AccessPoint habe ich aria2 (Downloadmanager) installiert.

Klassische Downloads funktionieren ohne das ich extra in opnsense was in der Firewall freigeben musste.
Bittorrent klappt aber nicht, es kommt keine Verbindung zu stande, z.B. beim Torrent von LinuxMint.

Muss ich damit Bittorrent funktionieren kann (weil ja auch eine ausgehende Verbindung aufgebaut werden muss) das Plugin os-upnp installieren? Hatte das im englischen Forum mal gelesen aber nicht ganz verstanden. Wenn ja, reicht das dann aus ohne das ich Ports extra in der Firewall öffnen muss?  Und was macht da os-upnp, wofür wird das gebraucht?

Ist das dann eigentlich ein "Sicherheitsrisiko" weil ja die Firewall Ports öffnen muss?

[Layer8]

UPNP ist dazu da, dass Programme auf einem Endgerät der Firewall sagen können, welche Ports die Firewall an das Endgerät weiterleiten sollen.

Das ist sicherheitstechnisch eher nicht zu empfehlen, denn theoretisch können auch Schadprogramme UPNP nutzen und sich dann ein Loch in die Firewall machen.

Damit Torrent-Clients im Internet auch eine Verbindung zu deinem Torrent-Client aufbauen können, wäre es besser, nicht auf UPNP zu setzen, sondern einen festen Port auf deinen Torrent-Client weiterzuleiten. Welchen Port du dafür nimmst, ist herzlich egal, aber er muss halt in deiner Torrentsoftware konfiguriert werden.


Die Sense blockt Torrent-Traffic nicht explizit. Es kommt halt drauf an, welchen Traffic du an deinem WLAN-Interface filterst. Wenn da eine Allow-All-Regel drauf ist, sollte dein openwrt eigentlich alles dürfen. Was für Regeln hast du in deinem WLAN-Interface konfiguriert?

[ziegler]

Danke für die Erklärung-
Das mit dem UPNP habe ich mir eigentlich schon so gedacht.

Nach meinem Verständins müsste eigentlich Bittorrent auf dem AccessPoint (192.168.2.2) klappen.

Im Anhang habe ich meinen Netzplan hochgeladen und meine Regeln auf dem WLAN Interface.
Ich verbiete da vom LAN aus den Zugriff auf das WLAN.
Vom WLAN wird der Zugriff auf das Webinterface der VodafoneStation verboten und auf das opnsense Interface.
Die letze Regel sollte eigentlich Torrent erlauben.

[Layer8]

Du brauchst also ein Portforward von der Vodafone-Station auf deine WAN-IP von der Sense. Und auf der Sense brauchst du dann noch einen Portforward auf deinen Torrent-Client.

Das deshalb, weil du doppelt NAT hast. EInmal auf deiner Vodafone-Station und einmal am WAN-Interface der Sense.

Wenn du das eingerichtet hast, wird wahrscheinlich auf dem WAN-Interface der Sense automatisch eine Regel eingerichtet, die den Portforward durch lässt.

Empfehlenswert wäre an der Stelle halt, DHCP vom WAN-Interface der Sense zu nehmen und ne feste IP einzutragen (dann halt auch die Vodafone-Station als Gateway und DNS-Server eintragen).

[ziegler]

Puh... das kling sehr kompliziert.
Ich habe immer gedacht ich habe gar kein doppeltes NAT weil die Vodafone Station ja im Bridge-Modus geschaltet ist.
Also als Modem fungiert, soweit man das bei Vodafone so schalten kann.

Im Dashboard der sense steht unter Gateways eine WAN_DHCP IP. Das ist aber nicht meine öffentliche IP die mir z.B. "www.wieistmeineip.de" anzeigt. Das 3te Oktet der IP ist um plus 1 höher.
Und unter Interfaces steht bei mir beim WAN-Interface die öffentliche IP.

Also als Beispiel:
WAN_DHCP: 65.14.170.1
WAN: 65.14.171.34

Ist das dass doppelte NAT?

Woher kommt eigentlich die IP an WAN_DHCP?
Weil das ist ja nicht die öffentliche IP die ich vom Provider bekomme. Erzeugt die die Vodafone Station selber?

Und ich kann das doppelte NAT nicht einfach umstellen auf ein einfaches NAT?
Habe einen Kabelanschluss von Vodafone.

Wenn ich auf dem WAN Interface DHCP rausnehme, hätte ich dann kein doppeltes NAT mehr?
Aktuell habe ich z.B. unbound DNS auf der sense aktiviert.  Auf dem LAN Client habe ich als Gateway + DNS dann die IP des LAN Interfaces (192.168.1.1) eingetragen. Bei den WLAN Clients die IP des WLAN-Interfaces (192.168.2.1).
Wenn ich die IP der Vodafone Station (192.168.100.1) dann als Gateway auf den CLients eintrage, habe ich dann den Satndard DNS von Vodafone wieder?

Sorry für die ganzen "blöden" Frage.
Ich bin noch recht neu was Netzwerke angeht.



 

[Layer8]

Sorry, dann war das ein Irrtum von mir. Hab nur die Grafik angeschaut und was von einem 192.168.er Netz zwischen Vodafone-Station und deiner Sense gelesen. :-)

Du hast dann kein doppeltes NAT, da deine WAN-Schnittstelle eine öffentliche IP-Adresse zieht. Somit brauchst du einen Portforward von deiner WAN-Schnittstelle auf deinen Torren-Client.

[ziegler]

Dann glaube ich das ich es etwas besser verstehe.

Ich erstelle auf dem WAN Interface eine IN Regel das der Port 6900 z.b. erlaubt wird auf das Ziel 192.268.2.2 (Gerät wo der aria2 Downloader läuft).

Dadurch öffnen ich aber dann doch meine Firewall, oder?

WIe läuft das eigentlich wenn ich jetzt nur so einen Provider-Router habe, also ohne sense.
Da muss man soweit ich weiss ja keine Regel extra erstellen für Torrent.
Aber trotzdem ist dann doch beo z.B. einem online Firewall Check alle Ports auf der FW vom Providerrouter geschlossen.

Eine weitere Frage habe ich noch.
DIe WAN_DHCP IP, also nicht die WAN IP die die sene bekommt, bekommt die Vodafone Station die nach einem bstimmten Muster? Und kommt die vom Provider?

[Layer8]

Du erstellst unter Firewall -> NAT -> Port Forward eine neue Regel.


Interface: WAN

Destination: WAN address

Destination Port Range: Other / Other und z.B. 6881 / 6881 oder 6881 / 6889 geht auch.
Hinweis dazu: Das ist der Port, der von Torrent-Clients die sich im Internet befinden erreicht werden kann.   Standardmäßig scheint Torrent hier wohl 6881 zu nutzen. Du kannst aber auch jeden anderen Port eintragen der unter 65 535 liegt. Manche sind halt schon reserviert und sollten besser nicht  genutzt werden. Es macht aber aus Sicherheitsgründen durchaus auch Sinn, nicht unbedingt den Standard Port zu nehmen.

Redirect IP: Signle Host or Network, 192.268.2.2, 32

Redirect Target port: Sollte gleich sein wie Destination Port Range.

Description: Bittorrent Port Forward oder sowas...

Rest kann bleiben.

Du musst halt wie gesagt die Port Range noch in deinem Torrent-Client konfigurieren.

Die Firewallregel für diesen Port-Forward erstellt die Sense von alleine.  Wenn nicht, noch folgende Firewallregel auf dem WAN-Interface hinzufügen:

IPv4/TCP * * WAN-Address PortoderPortrange * * Description

[ziegler]

Ah ok, unter dem Punkt NAT habe ich noch gar nicht reingeschaut.

Nur noch mal zum Verständnis.
Wenn ich das dann so einstelle, heisst das dann aber auch das z.B. der Port 6889 dann auch von aussen aus "geöffnet" wäre? Damit Bittorrent funktioniert muss der Port ja von aussen frei zugänglich sein, oder?

[Layer8]

Der Port ist in der Firewall dann geöffnet, das heißt die Sense blockt oder verwirft Pakete, die vom Internet kommen und an deine WAN-IP auf Port 6889 gehen dann nicht mehr. Das allein hat aber erstmal keine Auswirkung und ist sicherheitstechnisch kein Problem.

Ein Schuh wird erst draus, weil du durch den Portforward der Sense sagst, dass Pakete, die auf der WAN-IP auf Port 6889 ankommen dann an dein Downloadprogramm im internen Netz geschickt wird. Auch das ist sicherheitstechnisch erstmal kein Problem, solang dein Downloadprogramm keine Sicherheitslücken hat oder du nicht ausversehen deine private Fotosammlung über den Torrent-Client frei gibst ;-)

[micneu]

@ziegler, darf ich fragen warum du das Linux Mint image über torrent laden musst, es geht doch so?
z. b. https://mirrors.layeronline.com/linuxmint/stable/21/linuxmint-21-cinnamon-64bit.iso
oder hat es noch andere gründe für torrent (ich persönlich habe es bestimmt schon 10 jahre nicht mehr genutzt)

[ziegler]

Erste mal vielen Dank an Layer8 für die gute Erklärung und Hilfe :-)

@micneu
Ja, das frage ich mich gerade auch. Hatte auf dem AP aria2 installiert und der kann auch torrents.
Habe testweise LinuxMint über torrent geladen weil ich das testen wollte. Und das ging dann nicht.
Ansonsten habe ich auch keine weitere Verwendung mehr für torrents.

Da ich ja jetzt durch Layer8 weiss das es doch eine "kleines" Loch in die Firewall reisst, werde ich das mit dem torrent lassen.
Warum FW aufmachen wenn ich torrent eh nicht wirklich nutze. Linux ISOS gibt es ja auch zum direkten Download.

Bei einem direkten Download, über welche Ports geht das eigentlich in der Regel, Port 80 bzw. 443?

Nochmals vielen Dank :-)