Web/Mail-Server DMZ

Michi · April 09, 2020, 03:02:21 PM

Hallo Forum bin neu hier und habe sicher aus eurer sicht ein kleines problem.
Ich versuche seit kurzem mich mit der opnsense zurecht zu finden.
Habe nur erfahrung mit Zyxel ZyWall USG50 :)

So ich möchte gerne meine bestehende Firewall ersetzen durch die OPNsense 20.1.3-amd64
FreeBSD 11.2-RELEASE-p17-HBSD
OpenSSL 1.1.1d 10 Sep 2019

CPU Type: Intel(R) Core(TM) i5-4460S CPU @ 2.90GHz (4 cores)

Wie sieht nun mein Netz aus:

------------------------------
WAN mit Fixer
IP-Adresse: 212.147.16.39
------------------------------
-
-
-----------------------------
FirtzBox IP 192.168.10.1
Exposed Host zu IP: 192.168.10.21
-----------------------------
-
-
-----------------------------
IP Adresse Opnsense
192.168.1.1
-----------------------------
-
- -----------------------------
----------------------------------------DMZ IP Adresse 192.168.21.2
DHCP 192.168.21.10 - 192.168.21.20
Auf der IP 192.168.21.11
da ist der Web/Mail Server
- -----------------------------
-
-----------------------------
IP LAN
192.168.1.1

DHCP ist von 192.168.1.120 - 192.168.1.220
-----------------------------

So sieht es mal aus bei mir

Nun habe ich das problem das ich das nicht hinkriege. (Sorry bin halt blöd)

was bis jetzt geht ist das ich von LAN wie auch von der DMZ ins Internet komme
ping geht von LAN in die DMZ auf IP Adresse 192.168.21.2 aber nicht auf die 192.168.21.11
von der DMZ kann ich zum LAN pingen auf die IP 192.168.1.1 wie auch auf die Client IP beispiel 192.168.1.122 pingen.

Dann habe ich versucht nach dieser anleitung es zu bewerkstelligen: https://doc.m0n0.ch/handbook/examples.html

ohne erfolg. habe einen knopf im hirn und verstehe es einfach nicht wieso das es nicht geht.

Hoffe das ihr mir da verständlich weiterhelfen werdet.

Gruss Michi

Michi · April 10, 2020, 09:47:39 AM

Ich wünsche allen hier frohe Ostern. (Bleibt Zuhause)

Also ich versuche nun da weiter zumachen damit ich hier zu einer lösung komme und es eventuell weiteren hier helfen kann.

Ich erstelle nun eine 1 to 1 nat (werde in allen keine aliases verwenden damit man sieht und nachverfolgen kann wie es gemacht wurde oder sieht was eventuel falsch ist)

Gruss Michi

Michi · April 10, 2020, 10:03:38 AM

ich mache einfach weiter

Nun habe ich eine firewall: rules in der DMZ erstellt

(Neu) IPv4 * DMZ net * ! LANInteren net * * * DMZ-any-LAN

Michi · April 10, 2020, 10:14:51 AM

und weiter

hier zwei weitere einträge in der firewall: NAT: Port Forward

(Neu) WANFritzboxVTX    TCP    *    *    192.168.21.2/24    80 (HTTP)    192.168.21.11    80 (HTTP)    NAT-to-Web-Server

(Neu) WANFritzboxVTX    TCP    *    *    192.168.21.2/24    25 (SMTP)    192.168.21.11    25 (SMTP)    NAT-to-Mail-Server

lfirewall1243 · April 10, 2020, 12:06:20 PM

Wozu das 1:1 NAT?

ich überlege gerade noch was genau du erreichen möchtest :)

Einfacher Zugriff vom Internet auf die Geräte in der DMZ sowie Zugriff vom LAN auf die DMZ. Aber kein Zugriff von der DMZ in andere Netze außer Internet? :)

Michi · April 10, 2020, 01:37:35 PM

Danke für deine rückmeldung

Wieso 1:1 Nat da ich das auch so auf meiner zywall habe.
Ich sehe mir gerne auch alternativen an.

Bin ganz Ohr...

PS: Ich publiziere gerne auch weitere möglichkeiten. Damit auch solche wie ich freude und interesse bekommen sich in diese materie zu vertiefen.
Eventull könnte man dies auch erweitern.

Gruss Michi

lfirewall1243 · April 10, 2020, 01:39:50 PM

Quote from: Michi on April 10, 2020, 01:37:35 PM
Danke für deine rückmeldung

Wieso 1:1 Nat da ich das auch so auf meiner zywall habe.
Ich sehe mir gerne auch alternativen an.

Bin ganz Ohr...

PS: Ich publiziere gerne auch weitere möglichkeiten. Damit auch solche wie ich freude und interesse bekommen sich in diese materie zu vertiefen.
Eventull könnte man dies auch erweitern.

Gruss Michi

Okay und was ist gerade genau das aktuelle Problem ?

Michi · April 10, 2020, 01:43:40 PM

Ich bringe es nicht hin das es auf die 192.168.21.11 (Web/Mail-Server) geht.

lfirewall1243 · April 10, 2020, 01:44:32 PM

Quote from: Michi on April 10, 2020, 01:43:40 PM
Ich bringe es nicht hin das es auf die 192.168.21.11 (Web/Mail-Server) geht.

Vom LAN oder Internet aus ?

Michi · April 10, 2020, 01:50:51 PM

Vom LAN wie auch von Internet.

lfirewall1243 · April 10, 2020, 01:54:05 PM

Quote from: Michi on April 10, 2020, 01:50:51 PM
Vom LAN wie auch von Internet.

Okay erstmal von LAN

Was zeigt der Liveview an wenn du versuchst auf den Webserver zu kommen?

Michi · April 10, 2020, 02:14:18 PM

LANInteren Apr 10 14:13:05 192.168.1.122:50053 192.168.1.1:443 tcp anti-lockout rule

lfirewall1243 · April 10, 2020, 02:18:15 PM

Quote from: Michi on April 10, 2020, 02:14:18 PM
LANInteren Apr 10 14:13:05 192.168.1.122:50053 192.168.1.1:443 tcp anti-lockout rule

Wieso machst du denn ne Portweiterleitung vom LAN aus.
Die greift übrigens nicht, da die Firewall Port 443 bereits benutzt und somit nicht weiterleitet

Michi · April 10, 2020, 02:24:07 PM

ok sorry
wie und wo soll ich das ändern?

lfirewall1243 · April 10, 2020, 02:25:13 PM

Quote from: Michi on April 10, 2020, 02:24:07 PM
ok sorry
wie und wo soll ich das ändern?

Mache die Portweiterleitungen Mal raus
Und Versuche dann den Webserver zu erreichen :)

Web/Mail-Server DMZ

Michi

April 09, 2020, 03:02:21 PM

Michi

April 10, 2020, 09:47:39 AM #1 Last Edit: April 10, 2020, 10:18:35 AM by Michi

Michi

April 10, 2020, 10:03:38 AM #2

Michi

April 10, 2020, 10:14:51 AM #3

lfirewall1243

April 10, 2020, 12:06:20 PM #4

Michi

April 10, 2020, 01:37:35 PM #5

lfirewall1243

April 10, 2020, 01:39:50 PM #6

Michi

April 10, 2020, 01:43:40 PM #7

lfirewall1243

April 10, 2020, 01:44:32 PM #8

Michi

April 10, 2020, 01:50:51 PM #9

lfirewall1243

April 10, 2020, 01:54:05 PM #10

Michi

April 10, 2020, 02:14:18 PM #11

lfirewall1243

April 10, 2020, 02:18:15 PM #12

Michi

April 10, 2020, 02:24:07 PM #13

lfirewall1243

April 10, 2020, 02:25:13 PM #14