Kriege Portforwarding /NAT nicht hin

Started by jstrebel, May 29, 2020, 07:38:55 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 29, 2020, 07:38:55 PM
Hallo, bin am umsteigen auf OPNsense (OPNsense 20.1.7-amd64) von einem anderen Router/Firewall.
Ich möchte vom Internet via SSH auf ein internes Gerät zugreiffen.Trotz lesen und testen bin ich leider erfolglos.
Ich vermute, dass ich auf meine eigenen Füssen stehe. Im Anhang die beiden Screens von (FW Rules und NAT forward) Ich denke das ist das EInzige was für mein Vorhaben relevant ist.
Danke für Tips. Jakob

May 29, 2020, 11:39:20 PM #1
SSH ist TCP und der Quellport ist ein Port größer 1024.

Also entweder als Quellport "any" setzen oder Bereich "1025:65535".
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
May 30, 2020, 08:16:51 AM #2
Danke für deine Antwort. Ich verwende bei ssh den Standard port 22. Der hat beim alten setup funktioniert. Ich glaube, dass ich etwas Grundsätzliches OPNsense spezifisches übersehe. Jakob
May 30, 2020, 08:53:11 AM #3
Du verstehst mich nicht. 22/tcp als Zielport ist korrekt, aber nicht zusätzlich als Quellport.

allow src any port any to wan port 22/tcp
oder
allow src any port 1025:65535 to wan port 22/tcp

Bei Forwarding ebenfalls.

Wenn du bei deinem SSH Client nicht explizit angibst, das 22 als Quellport verwendet wird, dann nimmt er immer einen unpriviligierten Port. Schließlich sollen ja auch Nutzer ohne Root/Adminrechte SSH nutzen können.
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
May 30, 2020, 09:40:02 AM #4
Ich habe den Eindruck, dass die Ursache noch eine Stufe vor dem "Verbindungsaufbau" liegt. Wenn ich einen Portcheck auf port 22 mit
Open Port Check Tool https://networkappers.com/tools/open-port-checker

mache erhalte ich die Meldung blocked. Danke, dass du mir hilfts. Jakob


May 30, 2020, 09:53:09 AM #5
Solange Du den Quellport nicht auf any oder 1025:65535 stellst, wirst Du eben blocked erhalten.

Jedes Programm nutzt Ports größer 1024 als Source Port. Auch dein Portscanner. Schau doch einfach ins Log. Da steht sicher nicht 22 als Quellport drinnen.

Es gibt echt nur wenige Protokolle, die den Quellport vorgeben und noch weniger, die Ports unter 1024 nutzen. Spontan fallen mir nur DNS (53), IKE (500) und NTP (123) ein. Und selbst da gibt es immer mehr Clients, die sich nicht an den ursprünglichen Standard halten, vermutlich weil man sie aus Sicherheitsgründen nicht als root starten will.

TL;DR
Solange Du Deinen Quellport nicht änderst, wird dir hier niemand helfen können.
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
May 30, 2020, 10:53:23 AM #6
Das mit dem Quellenport und TCP hatte ich umgehend nach deiner Empfehlung geändert. (Entschuldige, dass ich es nicht erwähnt hatte.) Leider hat es nichts gebracht. Danke Jakob
May 30, 2020, 12:08:24 PM #7
Lösch mal die WAN rule und den Forward und lege dann den Forward nochmal an mit der Option automatisch eine passende WAN Regel zu erstellen. Normalweise werden die Regeln dann intern verknüpft und man kann nur die Forwarding rule bearbeiten.
Bei Dir kann man beide bearbeiten. Daher nehme ich an, das Du die WAN Regel selbst erstellt hast.
Ich würde es mit einer automatisch generierten Regel versuchen
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
May 30, 2020, 04:06:35 PM #8
Wie erstelle ich automatisch eine Regel? Im Menue finde ich nichts, habe ich etwas übersehen. Auf jeden Fall vielen Dank für deine Tips. Jakob
May 30, 2020, 04:24:34 PM #9
https://docs.opnsense.org/manual/nat.html#port-forwarding

Filter rule association
Associate this with a regular firewall rule.

Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
Print
Go Up Pages1
User actions