Kriege Portforwarding /NAT nicht hin

[jstrebel]

Hallo, bin am umsteigen auf OPNsense (OPNsense 20.1.7-amd64) von einem anderen Router/Firewall.
Ich möchte vom Internet via SSH auf ein internes Gerät zugreiffen.Trotz lesen und testen bin ich leider erfolglos.
Ich vermute, dass ich auf meine eigenen Füssen stehe. Im Anhang die beiden Screens von (FW Rules und NAT forward) Ich denke das ist das EInzige was für mein Vorhaben relevant ist.
Danke für Tips. Jakob

[hbc]

SSH ist TCP und der Quellport ist ein Port größer 1024.

Also entweder als Quellport "any" setzen oder Bereich "1025:65535".

[jstrebel]

Danke für deine Antwort. Ich verwende bei ssh den Standard port 22. Der hat beim alten setup funktioniert. Ich glaube, dass ich etwas Grundsätzliches OPNsense spezifisches übersehe. Jakob

[hbc]

Du verstehst mich nicht. 22/tcp als Zielport ist korrekt, aber nicht zusätzlich als Quellport.

allow src any port any to wan port 22/tcp
oder
allow src any port 1025:65535 to wan port 22/tcp

Bei Forwarding ebenfalls.

Wenn du bei deinem SSH Client nicht explizit angibst, das 22 als Quellport verwendet wird, dann nimmt er immer einen unpriviligierten Port. Schließlich sollen ja auch Nutzer ohne Root/Adminrechte SSH nutzen können.

[jstrebel]

Ich habe den Eindruck, dass die Ursache noch eine Stufe vor dem "Verbindungsaufbau" liegt. Wenn ich einen Portcheck auf port 22 mit
Open Port Check Tool https://networkappers.com/tools/open-port-checker

mache erhalte ich die Meldung blocked. Danke, dass du mir hilfts. Jakob

[hbc]

Solange Du den Quellport nicht auf any oder 1025:65535 stellst, wirst Du eben blocked erhalten.

Jedes Programm nutzt Ports größer 1024 als Source Port. Auch dein Portscanner. Schau doch einfach ins Log. Da steht sicher nicht 22 als Quellport drinnen.

Es gibt echt nur wenige Protokolle, die den Quellport vorgeben und noch weniger, die Ports unter 1024 nutzen. Spontan fallen mir nur DNS (53), IKE (500) und NTP (123) ein. Und selbst da gibt es immer mehr Clients, die sich nicht an den ursprünglichen Standard halten, vermutlich weil man sie aus Sicherheitsgründen nicht als root starten will.

TL;DR
Solange Du Deinen Quellport nicht änderst, wird dir hier niemand helfen können.

[jstrebel]

Das mit dem Quellenport und TCP hatte ich umgehend nach deiner Empfehlung geändert. (Entschuldige, dass ich es nicht erwähnt hatte.) Leider hat es nichts gebracht. Danke Jakob

[hbc]

Lösch mal die WAN rule und den Forward und lege dann den Forward nochmal an mit der Option automatisch eine passende WAN Regel zu erstellen. Normalweise werden die Regeln dann intern verknüpft und man kann nur die Forwarding rule bearbeiten.
Bei Dir kann man beide bearbeiten. Daher nehme ich an, das Du die WAN Regel selbst erstellt hast.
Ich würde es mit einer automatisch generierten Regel versuchen

[jstrebel]

Wie erstelle ich automatisch eine Regel? Im Menue finde ich nichts, habe ich etwas übersehen. Auf jeden Fall vielen Dank für deine Tips. Jakob

[hbc]

https://docs.opnsense.org/manual/nat.html#port-forwarding

Filter rule association
Associate this with a regular firewall rule.