portforwarding auf lan2

[badgerhill]

hallo,

ich habe folgende konfiguration

lan1 (192.168.1.1)
wan
lan2 (10.10.50.1)

ich kann ein portforwarding einrichten auf lan1, das auch klappt. (egal ob, z.b ssh/https ich komme von außen auf den rechner)

möchte ich das gleiche für lan2 klappt das aber nicht.
vom ssh server meiner opnsense kann ich den zielrechner (10.10.50.10) im lan2 pingen, bzw. kann ich mich von dort auf den zielrechner via ssh einloggen. auch umgekehrt kann ich mich vom zielrechner auf der opensense einloggen.
in der liveansicht sehe ich die korrekten einträge in grün (egal ob lan1 oder lan2). irgendwie kommt aber am zielrechner in lan2 nichts an.

hat jemand eine idee wo das problem liegen kann?

[micneu]

- wie immer bitte einen netzwerkplan
- ist die sense in beiden netzen jeweils das default gateway?
- hast du in deinen netzen einen dhcp-server am laufen (dann mal bitte die konfig als bild)
- für die beiden interfaces mal die firewall regeln (als bild)
- konfiguration deiner schnittstellen (als bild)
- bitte mal die konfig deiner nat (als bild)

<sarkasmus>meine idee ist, meist ist das problem 30cm vor dem bildschirm</sarkasmus>
sorry das musste sein

[badgerhill]

   
 



                                           WAN | IP (will be eol)
                                         .-----+-----.
                                         |  Gateway  |   
           .-----+-----.                 '-----+-----' 
           |  Gateway  |                       |
           '-----+-----'                 .-----+-----.
                 |                       | LAN-Switch|-----------+
             WAN | IP                    '-----+-----'           |
                 |      .----------.           |         ...-----+------...
                 +------| OPNsense |-----------+         (CLients/Servers)
                        '----+-----' LAN2 10.10.50.1/24
                             |
                       LAN1  | 192.168.1.1/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers)

opnsense ist nur gateway für 192.168.1.1 und hat auch nur da einen aktiven dhcp-server
für 10.10.50.1 ist auf der opnsense nur eine statische ip konfiguriert. es gibt zwar einen dhcp-server aber das macht nicht die opnsense...

mir ist schon klar, dass der fehler bei mir liegt, aber ich weiß nicht wo.

[badgerhill]

additional images

[micneu]

und kannstb du auch bitte erklären warum dein netzwerk so aufgebaut ist.
du könntest doch auch an der sense die beiden wans und die lans direkt konfigurieren.
was spricht dagegen?
läuft die sense auf blech oder als vm?

- warum ist bei deinem LAN2 23er Netzmaske, laut bild soll es eine 24er sein?

[badgerhill]

das 10.10.50 netz ist altbestand und sollte auch unabhängig von der opnsense bleiben.
es wäre aber wünschenswert über das opensense-wan auf das 10.10.50 netz zugreifen zu können, um z.b von remote div. wartungsarbeiten durchführen zu können. das andere wan läßt das aus div. gründen nicht zu.
und da wäre eben portforwarding ins 10.10.50 netz wünschenswert.

die opnsense läuft auf blech.

im bild ist ein copy/paste fehler. das lan2 hat eine 23er netzmaske.

[micneu]

Welchen Port willst du denn weiterleiten?
Was ist das denn für eine Firewall im lan2?


Gesendet von iPad mit Tapatalk Pro

[badgerhill]

auf das wan gehe ich mit 2222 und der ssh server im netz 10.10.50 läuft auch auf 2222

wie gesagt das portforwarding auf das interne 192.168.1 netz klappt  - da komme ich dann von außen auf den server. leider eben in das 10.10.50 netz nicht.

[micneu]

Und nochmal was ist das für eine Firewall, könnte es nicht sein das Icmp erlaubt ist, nur eben kein zugriff auf die Dienste in dem lan?
Warum nutzt du nicht auch am lan2 Port DHCP und läst die sense automatisch eine ip bekommen (in per mac festlegen)
Entweder habe ich es überlesen, wer ist in dem lan2 der DHCP Server?


Gesendet von iPad mit Tapatalk Pro

[micneu]

Du schreibst immer per ssh, für welchen Dienst soll denn die portweiterleitung eingerichtet werden. Ich habe das Gefühl das nicht alle Info zum lösen deines Problem bekannt sind.
Die andere Firewall sind da noch andere netze konfiguriert. Bitte so viel Information wie möglich.


Gesendet von iPad mit Tapatalk Pro

[badgerhill]

auf dem zielrechner lan2 10.10.50.10 läuft ein openssh-server auf port 2222. das wäre der dienst, auf dem ich mich von außen einloggen möchte und dafür bräuchte ich die portweiterleitung.

ich kann kann mich von der opnsense auf 10.10.50.10 via ssh einloggen. also intern klappt das, aber eben von außen nicht.

mir ist nicht klar, was der dhcp server auf der opnsense für das lan2 für das portforwarding bringen sollte.
im lan2 gibt es einen existierenden dhcp-server.

[micneu]

ok, danke
bitte noch ein bild von der detailansicht deiner portweiterleitung "2222"
deine ssh tests hast du von der sense aus gemacht?

[badgerhill]

die ssh tests habe ich von der opnsense gemacht. und wie gesagt in das lan1 netz klappt die portweiterleitung und der zugriff von außen.
möchte das gleiche aber auch für lan2 und da klappt was nicht...

[micneu]

Ok



Gesendet von iPad mit Tapatalk Pro

[badgerhill]

ich hab jetzt noch ein paar dinge probiert.
das verhalten kann ich mir jetzt erklären - lösung habe ich noch keine.

also am zielrechner 10.10.50.10 kommen die pakete an. die pakete haben aber als absender die externe ip adresse. ich war/bin der meinung, dass nat diese adresse eben in eine interne adresse übersetzen sollte.
auf grund der externen ip adresse will das paket über den default gateway wieder raus. der ist aber im lan2 nicht die opnsense. daher klappt das nat port forwarding am lan2 nicht, am lan1 schon.
wie kann ich das paket so umschreiben, dass es eine interne adresse bekommt und auf der opnsense wieder die externe - eben so wie nat nach draußen funktioniert?

danke für die unterstützung.