Multi-Wan Portfreigabe und Rückweg

[AndreK]

Hallo zusammen,

Zuerst einmal Lob an das Forum, ich habe hier schon viele Antworten auf meine Fragen gefunden.

Bei meinem aktuellem Problem habe ich leider nichts passendes gefunden.

Mein Ziel:
Ich habe einen Cloud Server (zum testen aktuell Ubuntu mit einem SSH Server drauf keine FW aktiv). Auf diesen möchte ich per SSL von Intern 192.168.11.0/24 und vom Internet zugreifen.

Was bisher geht:
1. Ich kann vom 192.168.11.0/24 auf den SSH Server zugreifen (Regel erstellt alles schön).

2. Ich kann vom Cloudserver ins Internet. Er zeigt mir dort auch meine statische externe IP an (www.wieistmeineip.de).
Sprich mein PPPoe über Vlan112 geht. Regel als Bild im Anhang.

3. Ich komme auf das Management des Vigor Modem drauf, nachdem ich die Route zum 192.168.11.0/24 eingetragen habe.

4. Ich sehe den Traffic der über das Internet auf dem Interface WAN_Cloud_PPPoe landet.

5. Ich habe eine NAT Regel erstellt, die den Traffic auf Port TCP 22 auf die interne Adresse 192.168.102.2 umbiegt erstellt.

Was nicht geht:
Ich versuche von außen eine SSh Sitzung aufzubauen aber es kommt zum Timeout. Die Frage ist warum?
Die Pakete müßten doch aufgrund der Regel oben auch wieder über den DSL-Anschluss würd die Cloud geroutet werden.

Anbei auch noch einmal der Gesamte Testaufbau auch als Anhang.

Hich hoffe jemand kann mir Rat geben.

Und kann ich Attachments an bestimmten Stellen einbinden?

Grüße Andre

[micneu]

Ich habe mir das gerade angeschaut, aber bitte für mich die begrifflichkeiten:
cloudserver = aws, google-cloud?
oder was ist ein cloud-server bei dir?

[JeGr]

> möchte ich per SSL von Intern 192.168.11.0/24 und vom Internet zugreifen.

Du meinst SSH?

> 1. Ich kann vom 192.168.11.0/24 auf den SSH Server zugreifen (Regel erstellt alles schön).

Check :)

> 2. ... Sprich mein PPPoe über Vlan112 geht. Regel als Bild im Anhang.

Was für ein VLAN/PPPoE? Zudem macht dein Diagramm untendrunter keinen Sinn, da wird zwei Mal das gleiche VLAN 112 mit unterschiedlichen Netzen verwurstet? Oder schlecht gezeichnet, dass es gerade in meinem Kopf keinen Sinn macht.

> 3. Ich komme auf das Management des Vigor Modem drauf, nachdem ich die Route zum 192.168.11.0/24 eingetragen habe.

Das .11.0er Netz ist doch mit Lancom bezeichnet. Was hat das denn jetzt mit dem Vigor und Zugriff aufs Modem zu tun und VON wo versuchst du das überhaupt?

> Ich versuche von außen eine SSh Sitzung aufzubauen aber es kommt zum Timeout. Die Frage ist warum?

VON wo NACH wo überhaupt? Ich kann das beim Besten Willen aus dem Diagramm nicht nachvollziehen was du da überhaupt machen willst ;)

Zudem steht bei deinem Screen der Regel kein Interface, man weiß also nicht, wo das überhaupt konfiguriert ist. Und abgehender Traffic auf Port 22 hat nichts mit eingehendem zu tun. Nur weil du abgehend eine Regel hast die irgendwas erlaubt, heißt das noch nicht, dass du eingehend SSH ebenfalls erlaubst.

Bitte mal das Diagramm ein wenig logischer aufräumen (siehe angepinnter Thread für Netzdiagramme) und weniger physikalisches und logisches Netzwerkdiagramm zusammenmixen, dann verstehen wir vielleicht auch was du wo tust und warum :)

Zudem "die Regel oben" - die hast du nicht gepostet, bzw. nicht wirklich.

[AndreK]

Hallo,

Der Cloudserver ist aktuell nen Nextcloud und Matrix Server.

Sorry natürlich meinte ich SSH.

Ich versuche es mal aufzulösen

Was für ein VLAN/PPPoE? Zudem macht dein Diagramm untendrunter keinen Sinn, da wird zwei Mal das gleiche VLAN 112 mit unterschiedlichen Netzen verwurstet? Oder schlecht gezeichnet, dass es gerade in meinem Kopf keinen Sinn macht.

Ich habe ein Vlan112 auf der Sense angelegt (192.168.112.1) um dem Modem aus diesem Netz eine Adresse geben zu können.

Dann habe ich ein 2tes Interface (WAN_Cloud) mit Vlan112 angelegt, damit ich das PPPoe Device daran binden kann , da ich keine seperate Nic dafür mehr über habe.

Nun kann ich per PPPoe mich bei O2 einwählen.

Das .11.0er Netz ist doch mit Lancom bezeichnet. Was hat das denn jetzt mit dem Vigor und Zugriff aufs Modem zu tun und VON wo versuchst du das überhaupt?

Das 11er Netz hält momentan alle Clients auch meinen. Ich wollte damit nur sagen mein Routing von meinem PC in alle Netze funktioniert und ich kann auf den Vigor schauen und sehen was passiert.

VON wo NACH wo überhaupt? Ich kann das beim Besten Willen aus dem Diagramm nicht nachvollziehen was du da überhaupt machen willst ;)

Ich möchte mich vom Internet auf die feste IP 85.183.150.65 per SSH verbinden.

Zudem steht bei deinem Screen der Regel kein Interface, man weiß also nicht, wo das überhaupt konfiguriert ist. Und abgehender Traffic auf Port 22 hat nichts mit eingehendem zu tun. Nur weil du abgehend eine Regel hast die irgendwas erlaubt, heißt das noch nicht, dass du eingehend SSH ebenfalls erlaubst.

Doch ist da wenn man das Bild öffnet ;) leider schneidet das Forum die Vorschau zurecht. Wenn man auf den Filenamen klickt sieht man auch das Interface.

Mein Traffic verlässt mit dieser Regel das Netz über den richtigen DSL Anschluss.

Wenn ich nun per SSH von außen auf die 85.183.150.65 zugreife lande ich in einem Timeout.
Natürlich habe ich vorher ein NAT angelegt was ankommen Traffic von der IP 85.183.150.65 Port 22 auf die interne IP 192.168.102.12 Port 22 umbiegt.

Ich sehe auch in der Liveview das er dies tut. Bekomme jedoch keine Verbindung.

Hoffe die Erklärung hilft weiter.

Gruß Andre

[JeGr]

Also das Bild ist mega verwirrend weil hier Physik und Logik gemixt versucht wird darzustellen ;) Besser nicht so zeichnen, das ist an vielen Stellen komplett irritierend und eher kontraproduktiv.

> Doch ist da wenn man das Bild öffnet ;) leider schneidet das Forum die Vorschau zurecht. Wenn man auf den Filenamen klickt sieht man auch das Interface.

Nope, habs mir sogar runtergeladen. Das Interface wie in "Firewall: Rules: LAN" ist nicht zu sehen. Darum gehts, ich sehe nicht auf welchem Interface die Regel konfiguriert ist. Ich mutmaße DMZ wegen der Description aber sehen tu ichs nicht. ;)

> Mein Traffic verlässt mit dieser Regel das Netz über den richtigen DSL Anschluss.

Aber nur der Traffic aus der DMZ.

> Ich möchte mich vom Internet auf die feste IP 85.183.150.65 per SSH verbinden.

Aber die IP gehört dem Cloud Server? Oder wo ist die inwiefern vergeben?

[AndreK]

Hi,

Hmm bei mir geht das. Egal.

Hier nochmal die Bilder in komplett.

NAT:


Regel Cloud Server ins Internet:


Die 85.183.150.65 ist die IP der Sense im Internet. Der Server hat die 192.168.102.2.

Hier auch nochmal die gewünschten Bilder vom Netz in Physik.

Code Select Expand


                                                                     
               WAN1                            WAN2                   
        +----------------+               +---------------+           
        |  Vigor Modem   |               |  Zyxel Modem  |           
        |                |               |               |           
        +----------------+               +---------------+           
                 ^   ^192.168.103.2              ^                   
                 |    \                          |                   
                 |     \                         |                   
                 |      \                        |                   
                 |       \                       |                   
                 v        \                      v                   
        +----------------+ \             +---------------+           
        |    OPENsene    |  \            |     Lancom    |           
        |                |   \           |               |           
        +----------------+    \          +---------------+           
  192.168.11.2   ^             \                 ^ 192.168.11.1       
192.168.102.1   |              \                |                   
192.168.105.1   |               \               |                   
192.168.103.1   |                \              |                   
                 |                 \             |                   
                 v                  v            v                   
         +----------------------------------------------+             
         |                                              |             
         |                                              |             
         |                   Cisco 5000                 |             
         |                                              |             
         |                                              |192.168.105.2
         +----------------------------------------------+             
                ^                                ^                   
                |                                |                   
                v                                v                   
         +-------------+                   +------------+             
         |Server       |                   |Workstation |             
         |192.168.102.2|                   |192.168.11.2|             
         +-------------+                   +------------+             


[JeGr]

Erhelle mich doch mal fix, wo du in diesen Bildern das Interface siehst? Mit nem roten Kasten drumrum, denn irgendwie bin ich anscheinend blind ;) Und ich meine nur die Regel, bei NAT ist es ja klar.

OK also zwei WANs wobei uns nur eines interessiert, weil offenbar die OPNsense mit dem anderen WAN nichts zu tun hat?

Mehrere interne Netze? Alle auf dem gleiche LAN? Oder sind das VLANs? Oder wo kommen die 4 unterschiedlichen 192.168er Netze her?

Und jetzt soll SSH von der WAN Seite der Sense auf intern 192.168.102.2 gehen? Was hat der für eine Default Route?

[AndreK]

Erhelle mich doch mal fix, wo du in diesen Bildern das Interface siehst? Mit nem roten Kasten drumrum, denn irgendwie bin ich anscheinend blind ;) Und ich meine nur die Regel, bei NAT ist es ja klar.

Das Interface ist Vlan102_DMZ. Sorry ich hatte das Gateway im Kopf nicht das Interface an sich. Ja das kann man nicht sehen stimmt.

OK also zwei WANs wobei uns nur eines interessiert, weil offenbar die OPNsense mit dem anderen WAN nichts zu tun hat?

Teils. Bisher geht aller Traffic ins Internet über den Lancom außer das Netz VLAN102_DMZ.

Mehrere interne Netze? Alle auf dem gleiche LAN? Oder sind das VLANs? Oder wo kommen die 4 unterschiedlichen 192.168er Netze her?

:D Darum ja mein Bild ganz oben. Das sind alles Vlans darum brachte die Hardware Zeichnung nicht viel und ich habe sie nicht genutzt, da im Grunde kaum noch Hardware da ist.

Und jetzt soll SSH von der WAN Seite der Sense auf intern 192.168.102.2 gehen? Was hat der für eine Default Route?

Genau. Von intern 11er Netz (am Lancom) geht es (Regel vorhanden).

Default Route der Sense ist der Lancom 192.168.11.1

Default Route des Server ist die 192.168.102.1 also das Interface der Sense.

[JeGr]

> Default Route der Sense ist der Lancom 192.168.11.1

Wait what? Die Sense hängt am Modem und hat direkt Internet aber ihre Default Route ist der Lancom? Was soll das für nen Sinn machen?

Wie wäre es wenn du es SO zeichnest - was ich die ganze Zeit schon gesagt hatte - wie es LOGISCH aufgesetzt funktionieren soll? Und das ist weder das was du ganz oben noch das was du anscheinend in Textform gepostet hast.

Da kann ich nur nochmal auf den angepinnten Post verweisen. Es ist doch nicht so schwer einzuzeichnen, dass bspw. intern 4 VLANs existieren (jedes als ein LAN/Switch o.ä. angedeutet) und es irgendwelche Wege ins Internet gibt?

Aber je mehr du schreibst umso weniger macht alles Sinn.

Wie ist die OPNSense aufgesetzt? Was ist für SIE denn WAN? Oder gibts mehrere WANs (einmal Modem direkt, einmal über nen Lancom und dann Modem - warum auch immer dann der Lancom überhaupt noch was drin zu suchen hat)?

Das kann doch nicht so schwer zu definieren sein. Aber immer wenn ich denke ich habs endlich verstanden kommt wieder sowas wie "Lancom ist Default für Sense" was wieder überhaupt keinen Sinn laut Zeichnung macht.

[AndreK]

> Default Route der Sense ist der Lancom 192.168.11.1

Wait what? Die Sense hängt am Modem und hat direkt Internet aber ihre Default Route ist der Lancom? Was soll das für nen Sinn machen?

In diesem Fall viel. Ich habe 3 VDSL100. Ein Anschluss dient dem Nextcloud u.ä, der 2te ist mein DSL fürs Voice (ich weiß die Leitung werd ich nie brauchen kostet aber das gleiche wie ne langsame) und der 3te wird zum Surfen und fürs Gast-Wlan genutzt.

Ich kann aber nicht einfach alles nieder reißen und umstellen sondern muß migrieren, daher dieser Weg.

Wie wäre es wenn du es SO zeichnest - was ich die ganze Zeit schon gesagt hatte - wie es LOGISCH aufgesetzt funktionieren soll? Und das ist weder das was du ganz oben noch das was du anscheinend in Textform gepostet hast.

Wo fehlt beim ersten Bild die Logik?
Ich habe vergessen einen Pfeil vom Cloudserver ins Internet zu zeichnen da gebe ich dir Recht.

Das Hardware Bild hattet ihr gewünscht, daher hab ich es überhaupt gepostet. Mir war aber schon klar das es keinem hilft. Aber manchmal werden Wünsche war  ;)

Da kann ich nur nochmal auf den angepinnten Post verweisen. Es ist doch nicht so schwer einzuzeichnen, dass bspw. intern 4 VLANs existieren (jedes als ein LAN/Switch o.ä. angedeutet) und es irgendwelche Wege ins Internet gibt?

Daher das erste Bild. Es gibt 4 Vlans und die Default Route ist der Lancom. Außer für den Cloudserver dort ist es der direkte Weg über das Modem.

Wie ist die OPNSense aufgesetzt? Was ist für SIE denn WAN? Oder gibts mehrere WANs (einmal Modem direkt, einmal über nen Lancom und dann Modem - warum auch immer dann der Lancom überhaupt noch was drin zu suchen hat)?

Die Sense ist auf einem ESX wie alles andere auch. Bis auf der Switch,Lancom und Modem ist alles virtuell.

Ich habe die Umgebung leider nicht seit Bestehen. Daher ziehe ich diese aktuell gerade. Dazu mache ich halt die Segmentierung und ziehe die 3 Netze Voice,Cloud und Intern nach und nach von dem alten Lancom auf die Sense.

Sprich am Ende hat die Sense 3 mal WAN über 3 Modems. Und alle 3 Netze haben ihren eigenen Ausgang.

Das kann doch nicht so schwer zu definieren sein. Aber immer wenn ich denke ich habs endlich verstanden kommt wieder sowas wie "Lancom ist Default für Sense" was wieder überhaupt keinen Sinn laut Zeichnung macht.

Die Default Route steht auch im ersten Bild ;) warum es Sinn macht steht weiter oben ;)