Port Weiterleitung in IPSEC Tunnel

[wupperi]

Hallo in die Runde,

der Engländer sagt, "banging my head against the wall"... :-)
Ich kriege folgende Herausforderung nicht hin:

Ich habe zwei OPNsense Firewalls.

FW-A: (Beim hoster, virtuelle OPNsense auf Esxi)
-> hat extern ein statisches /28 IPv4 Netz.
-> LAN Netz (A)
-> DMZ Netz (A)

Die öffentlichen, statischen IP Adressen sind als virtuelle IPs auf das externe Interface gebunden.

FW-B (Bei mir zu Hause, auf physikalischer HW)
-> extern DynDNS
-> LAN Netz (B)

Zwischen den beiden läuft ein gerouteter IPSEC Tunnel mit Gateways.
Ping zwischen LAN(A) und LAN(B), bzw LAN(B) und DMZ(A) geht. Tunnel geht also und routing durch den Tunnel passt. Regeln für das IPSEC interface sind beidseitig any any allow.

Jetzt sollen aber services die im LAN(B) bei mir zu Hause stehen, aus dem Internet erreicht werden.
Ich habe also eine Portweiterleitung auf der FW(A) eingerichtet:

Quelle (any) --- Ziel (öffentliche statische IP Adresse, Port 80 bspw) ---> Weiterleitung auf (private LAN(B) Server adresse, Zielport 80)
FW Regel automatisch erstellen lassen.

D.h. nach meinem Verständnis:
Die Anfrage schlägt als Ziel auf der öffentlichen IP der FW(A) auf, Ziel wird genattet auf die private Adresse im LAN(B) und durch den Tunnel transportiert.

Ich bekomme aber - egal was ich mache - keine Verbindung hin.
In der Liveansicht sehe ich, dass Pakete (public Quell-IP -> private server IP) durchgelassen.

Ich vermute, dass Problem ist, dass das Antwortpaket meines Server im LAN(B) an die ursprüngliche anfragende öffentliche IP Adresse geht, und quasi durch meine FW(B) zu Hause ins Internet will. Das wäre dann asymmetrisch und in der FW(B) sollte es geblockt werden, wegen fehlendem state... 

Ist mein Verdacht richtig? Wie kann ich das lösen?
Danke vorab für Eure Hilfe.


wupperi

[Snoopy325]

Mag sein, dass ich dich falsch verstehe, aber das IPSEC sollte damit dann nicht viel zu tun haben.
Ist deine NAT-Regel richtig?
Ich habe es so hinbekommen:

Firewall-Einstellungen

1. Firewall -> Einstellungen -> Erweitert:
 - Reflection for port forwards: Enabled
 - Reflection for 1:1: Disabled
 - Automatic outbound NAT for Reflection: Enabled
2.

Firewall> NAT> Portweiterleitung> Hinzufügen
 - Interface: WAN
 - TCP/IP Version: IPv4
 - Protocol: TCP

 Under Source > Advanced:

 - Source / Invert: Unchecked
 - Source: Any
 - Source Port Range: any to any

 - Destination / Invert: Unchecked
 - Destination: WAN address
 - Destination Port range: (other) 3200 to (other) 3200

 - Redirect target IP: Alias "media-server"
 - Redirect target Port: (other) 3100

 - Pool Options: Default
 - NAT reflection: Enable
 - Filter rule association: Rule NAT