zugriff vom WAN auf rechner im LAN

[bongo]

Nochmal, du hattest geschrieben das du den zugriff für Notfälle benötigst, deshalb war meine Anregung dafür ein VPN zu nutzen.
Wie kommen die Leute denn auf den Rechner der vor deinem wan der sense ist. Bitte mehr Informationen

auf den rechner im wan komme ausschliesslich ich, auf unterschiedlichen wegen...
aber von dort möchte ich dann gesichert weiterkommen, wenn ich z.b. einen rechner im lan neu booten muss oder auf irgend eine steuerung zugreifen muss.

[micneu]

Ja, genau dafür ist doch VPN. ?
Ich habe keine Ahnung was du in deiner Firma machst, solltest du der it-Experte in deinem unternehmen sein, Na dann viel Glück.

Meine Empfehlung:
- keine Ahnung was du für eine Internet Anbindung hast, einfach ein doofes Modem hin sollte es dsl sein, den Rechner weg, die sense direkt an dein Modem.
- OpenVPN auf deiner sense einrichten, und auf deinem Admin Rechner/Notebook das VPN einrichten und du hast vollen zugriff ohne irgendwelche Krücken auf dein Netzwerk.
- vnc ist bedingt sicher... meine Wahl VPN und auf die Kisten wo ich rauf musst entweder ssh oder rdp oder per webbrowser.

Gesendet von iPad mit Tapatalk Pro

[liceo]

Ok, wie vermutet nur SYN/ACK Pakete, gefolgt von ein paar Re-Transmits. Da wird keine Session aufgebaut.

Den Haken bei "Block private networks" auf dem WAN Interface, hast du aber schon rausgenommen oder?

[bongo]

ja der haken bei "Block private networks" ist schon längere zeit weg.

allerdings hab ich eine neue spur:
auf dem wan interface hab ich als gateway den noch einzigen gateway, den 172.16.0.2 ausgewählt.
wenn ich dort stattdessen auf auto stelle so funktioniert's plötzlich. die vnc verbindung vom wan ins lan1 wird aufgebaut.

allerdings, sobald ich den gateway auf auto stelle komm ich vom lan2 nicht mehr ins internet, also der findet dann offenbar den gateway nicht mehr.
obschon lan1 und lan2 eigentlich identisch konfiguriert sind funktioniert der internetzugang aus lan1 noch aber lan2 nicht mehr.
jetzt bin ich erst recht ratlos...

[micneu]

Könnte sein das noch Firewall regeln fehlen


Gesendet von iPad mit Tapatalk Pro

[bongo]

hm. was könnte da denn fehlen?
die beiden lans sind für's übliche identisch konfiguriert.
sobald ich beim wan den default gateway auf automatisch stelle (ist nur noch 1 gateway unter gateways konfiguriert) funktioniert lan1 nach wie vor problemlos und bei lan2 krieg ich zu beginn bloss noch gewisse... und dann plötzlich gar keine verbindungen mehr hin.

[liceo]

Komisch, irgendwie hast du da ein (asynchrones) Routing problem. Den (entfernten) Gateway gibst du nur auf dem WAN interface an, bei den LAN kannst du auf "auto" lassen. Kannst du mir noch Screenshots schicken von:

• System > Gateways > Single
• Firewall > NAT > Outbound

Was du noch versuchen kannst ist, bei deiner Port Forward Rule "NAT Reflection" zu aktivieren. Sollte aber eigentlich für Port Fwds bereits aktiv sein (die Einstellung ist unter Firewall > Settings > Advanced "Reflection for Port forwards".

Und immer schön in die Firewall Logs schauen, ob da was geblockt wird...

[Gauss23]

Das hört sich alles ganz schön komisch an.

Das ist ein absolut simpler Vorgang, den Du dort machen möchtest. Offenbar ist da an irgendeiner Stelle was ziemlich merkwürdig eingestellt. 2 Gateways?

So wie ich das sehe ist das doch so:
- Dein WAN Interface ist im LAN von Deinem Router, soweit nicht ungewöhnlich, scheinbar nutzt Du aber doppeltes NAT für Geräte hinter der OPNsense, kann man machen, ich finde doppeltes NAT immer schwierig
- Du möchtest aus dem Router-LAN per Port-Forward auf einen PC hinter der OPNsense
- das sollte per Port-Forward ohne große Probleme direkt funktionieren

Firewall-Regeln dafür sind ja auch mega simpel, vor allem wenn man beim Port-Forward ganz unten "Filter rule association" auf Standard lässt.

[bongo]

im anhang die screenshots.

bis vor einigen tagen hatte ich noch 2 gateways konfiguriert da der router (im bild router 1) ersetzt wurde und eine zeit lang 2 geräte parallel im einsatz waren. diese waren aber als single gateways definiert und im wan interface hab ich vom alten auf den neuen umgeschaltet. den alten router hab ich mittlerweile aus dem netz genommen und den entsprechenden gateway in opnsense gelöscht. bereits zuvor hatte ich im wan interface von gw1 auf gw2 umgeschaltet.

nachdem ich festgestellt hatte dass mein port forward vom wan ins lan1 nur funktioniert wenn ich im wan interface den gateway auf automatisch stelle hab ich mal alles was ich für's fehlersuchen beim port forwarding konfiguriert hatte (im port forward und ein paar routingregeln) wieder gelöscht um das nun sauber neu zu machen.
danach hab ich dann festgestellt dass ich vom lan2 nicht mehr ins internet komme, wogegen lan1 noch funktioniert hat.
nach einer stunde hat nun allerdings auch lan1 nicht mehr funktioniert.
sobald ich im wan den gateway wieder auswähle (nicht mehr auf auto) funktionieren beide lans wieder knitterfrei, dafür komm ich so natürlich vom wan wieder nicht mehr ins lan.

was wäre denn die korrekte einstellung im wan? den gateway auswählen oder automatisch?

könnte es allenfalls sein dass das ganze ein dns problem ist?

[liceo]

Ehrlich gesagt wird es so schwierig nachzuvollzihen, was an dieser Config schon alles angepasst worden ist. Die Config die du machen möchtest wie auch schon von Gauss33 angemerkt eigentlich ziemlich straight-forward.

Ich würde die opnsense nochmals komplett resetten und von vorne anfangen. Die Config hast du in 10-15min beisammen. Einfach den Wizard durchdrücken und den Port Forward plus Firewall Rul(s) einrichten.

[bongo]

na ja, so schnell ist ne neue config auch nicht erstellt da ich mit fixer ip/mac zuordnung arbeite und abende lang diese listen sowie alias für port gruppen und die einzelnen geräte im netz erstellt hab.

[bongo]

was wäre denn die korrekte einstellung im wan? den gateway auswählen oder automatisch?

welche einstellung ist denn nun korrekt? muss ich in den einstellungen zum wan interface den gateway auswählen oder auf automatisch setzen?

port forwarding scheint nur zu funktionieren wenn ich auf automatisch bin und internetzugang bloss wenn ich den gateway auswähle.

[bongo]

möglicherweise hatte ich bloss eine fehlkonfiguration im port forward:

kann mir jemand erklären was die einstellung "Filter rule association" genau bedeutet?

wenn ich eine port forward regel erstelle so steht "Filter rule association" per default auf "add associated filter rule" was für mich irgendwie sinnvoll tönt. dabei wird dann automatisch für's wan interface eine regel erstellt.
mit dieser einstellung hatte ich nun tagelang erfolglos versucht, ein port forwarding hinzukriegen (was letztlich in der verzweiflung zu diesem thread geführt hat).

versuchsweise hab ich die einstellung für "Filter rule association" nun mal auf "pass" gestellt und schon gehen die pakete durch. ausserdem ist die automatisch erstellte filterregel im wan verschwunden.

ehrlich gesagt verstehe ich nicht, warum's so funktioniert und was genau der hintergrund dieser einstellung ist. in der dok habe ich nix dazu gefunden und im englischen forum fand ich bloss einträge dass bereits andere diese feststellung gemacht haben und offenbar auch nicht begriffen haben was diese einstellung bewirkt, jedoch blieben die fragen dort ubeantwortet.

daher nochmals konkret meine frage:
was bewirken die möglichen einstellungen für "Filter rule association" und ist es ok hier "pass" zu verwenden?

[liceo]

Also hast du es nun zum Laufen gekriegt? Wenn's mit "Pass" geht, dann stimmt vermutlich etwas an deinem Firewall Ruleset nicht, bin grad aber etwas unsicher...

Bei "Pass" macht opnsense intern eine art "Rule", die siehst du aber nirgends (mein Wissensstand). Würde ich jetzt nicht unbedingt empfehlen, funktioniert aber. Wenn du einmal eine Port-Fwd Rule mit "Pass" angelegt hast, kannst du das nachher nicht mehr ändern. Dann musst du die Rule neu anlegen oder duplizieren.

Die andere Option legt dir beim Erstellen der Port Forwarding Rule auch eine passende Firewall Rule an. Diese Rule wird dan assoziiert (verknüpft) mit deiner Forwarding Rule. Wenn die Forwarding Rule gelöscht wird, wird die FW-Rule auch gelöscht.
Bei "Add unassociated filter rule" wird auch eine Rule angelegt aber nicht verknüpft mit der Port-FWD Rule.

Ich kann dir sonst nur noch anbieten, mir das gesamte Backup-File deiner opnsense zu schicken, dann kann ich bei mir auf einer Testinstanz ein restore machen.

Übrigens: Betreffend neu aufsetzen: Wenn du ein Backup deiner opnsense machst und diese anschliessend zurückgesetzt, kannst du auch recht granular nur teile der Konfiguration wiederherstellen (siehe unter System > Configuration > Backups "Restore Area".

[bongo]

ist doch eigentlich komisch dass eine pass rule nirgends angezeigt wird, jedoch funktioniert, während eine associated rule nicht funktioniert.
wenn ich manuell rules anlege (mit oberster prio) welche von wan ins lan ebenso wie von lan ins wan zwischen diesen 2 geräten alles erlauben, so funktioniert's nach wie vor nicht. da diese regeln dann höchste prio haben sollte doch ein allfälliger fehler in weiteren regeln nicht zum tragen kommen, oder?

was mich bei den regeln irritiert ist, das dort eigentlich immer ein gateway mit der regel verknüpft ist.
mein verständnis ist, dass ich von 172.16.0.9 ein paket zur firewall sende (an interface 172.16.0.10) und dieses wird weitergereicht an den zielhost 192.168.1.20. dieser antwortet und schickt das paket zurück zur firewall welche dieses eigentlich an 172.16.0.9 senden sollte. da das paket nicht zu einem lan gehört wirds automatisch zum gateway 172.16.0.2 geschickt und nicht zum 172.16.0.9.
somit kann die verbindung nicht aufgebaut werden.

könnte da was dran sein?