zugriff vom WAN auf rechner im LAN

[bongo]

der wan seitige rechner ist für gewisse dienste im internet sichtbar, wogegen die rechner im lan durch opnsense abgeschottet sind.
um notfalls für wartung doch von remote zugreifen zu können will ich mir die option offen halten um vom rechner im wan über vnc drauf zu schauen.

[liceo]

@micneu Ungeachtet der Frage, welchen Sinn das Setup macht, sollte es funktionieren, oder sieht du grad einen offensichtlichen Fehler?

[bongo]

ich hab noch einen weiteren versuch gemacht:

mit opnsense bediene ich noch ein zweites lan, nennen wir's lan2.
wenn ich auf dem interface von lan2 eine regel definiere die port 5900 öffnet zum zielhost, so funktioniert vnc von rechnern im lan2 zum zielhost im lan1 knitterfrei.
selbige regel vom wan zum lan1 funktioniert jedoch nicht.

gibt das allenfalls einen hinweis?

nehme an dass dadurch die windows firewall schon mal als problem ausscheidet da die situation im lan1 beim zugriff auf den zielhost wohl identisch ist, egal ob der source host im lan2 oder im wan hängt, oder?

[bongo]

untenstehend noch die port 5900 captures, einmal für den erfolglosen verbindungsversuch WAN->LAN1 und danach für den erfolgreichen LAN2->LAN1. was auffällt ist die zahl hinter tcp, von welcher ich noch nicht rausgefunden hab was sie bedeutet.

NONWORKING FROM WAN (WAN_UpLink) TO LAN1 (LocalLAN):

WAN_UpLink
re0   13:47:30.711020 IP 172.16.0.9.49181 > 192.168.1.20.5900: tcp 0
WAN_UpLink
re0   13:47:30.711627 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
WAN_UpLink
re0   13:47:30.711683 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
WAN_UpLink
re0   13:47:31.716944 IP 172.16.0.9.49181 > 192.168.1.20.5900: tcp 0
WAN_UpLink
re0   13:47:31.723908 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
WAN_UpLink
re0   13:47:31.724008 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
WAN_UpLink
re0   13:47:33.732412 IP 172.16.0.9.49181 > 192.168.1.20.5900: tcp 0
WAN_UpLink
re0   13:47:33.733548 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
WAN_UpLink
re0   13:47:33.733601 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
LocalLAN
re1   13:47:30.711075 IP 172.16.0.9.49181 > 192.168.1.20.5900: tcp 0
LocalLAN
re1   13:47:30.711598 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
LocalLAN
re1   13:47:31.716974 IP 172.16.0.9.49181 > 192.168.1.20.5900: tcp 0
LocalLAN
re1   13:47:31.723867 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0
LocalLAN
re1   13:47:33.732468 IP 172.16.0.9.49181 > 192.168.1.20.5900: tcp 0
LocalLAN
re1   13:47:33.733512 IP 192.168.1.20.5900 > 172.16.0.9.49181: tcp 0


WORKING FROM LAN2 (LocalWIFI) to LAN1 (LocalLAN):

LocalLAN
re1   13:50:31.054197 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalLAN
re1   13:50:31.054677 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 0
LocalLAN
re1   13:50:31.055041 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalLAN
re1   13:50:31.056449 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 12
LocalLAN
re1   13:50:31.056809 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 12
LocalLAN
re1   13:50:31.057791 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 1
LocalLAN
re1   13:50:31.057804 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 1
LocalLAN
re1   13:50:31.057811 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 1
LocalLAN
re1   13:50:31.058084 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalLAN
re1   13:50:31.058092 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 1
LocalLAN
re1   13:50:31.059066 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalLAN
re1   13:50:31.059078 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalLAN
re1   13:50:31.059085 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalLAN
re1   13:50:31.059092 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalLAN
re1   13:50:31.059098 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 8
LocalLAN
re1   13:50:31.059416 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalLAN
re1   13:50:31.059423 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 4
LocalLAN
re1   13:50:31.060068 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 16
LocalLAN
re1   13:50:31.108838 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalWIFI
re2   13:50:31.054084 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalWIFI
re2   13:50:31.054697 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 0
LocalWIFI
re2   13:50:31.055031 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalWIFI
re2   13:50:31.056459 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 12
LocalWIFI
re2   13:50:31.056799 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 12
LocalWIFI
re2   13:50:31.057801 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 1
LocalWIFI
re2   13:50:31.057809 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 1
LocalWIFI
re2   13:50:31.057816 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 1
LocalWIFI
re2   13:50:31.058076 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalWIFI
re2   13:50:31.058087 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 1
LocalWIFI
re2   13:50:31.059076 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalWIFI
re2   13:50:31.059083 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalWIFI
re2   13:50:31.059090 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalWIFI
re2   13:50:31.059096 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 4
LocalWIFI
re2   13:50:31.059103 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 8
LocalWIFI
re2   13:50:31.059407 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0
LocalWIFI
re2   13:50:31.059419 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 4
LocalWIFI
re2   13:50:31.060077 IP 192.168.1.20.5900 > 10.1.1.42.49595: tcp 16
LocalWIFI
re2   13:50:31.108829 IP 10.1.1.42.49595 > 192.168.1.20.5900: tcp 0

[liceo]

nehme an dass dadurch die windows firewall schon mal als problem ausscheidet da die situation im lan1 beim zugriff auf den zielhost wohl identisch ist, egal ob der source host im lan2 oder im wan hängt, oder?

Wenn du die Windows Firewall (zum Testen) komplett deaktiviert hast (auf allen Profilen Domain, Private, Public), dann spielt das keine Rolle.
Ansonsten kann es schon mal passieren, dass eine Rule nur für ein Lokales Netz offen ist (src) und nicht das korrekte private Netz definiert ist. Die Windows Firewall ist relativ kompliziert und nicht ganz einfach zu managen.

[micneu]

1. du willst im notfall auf deine sense kommen, setze ein vpn ein
2. ich muss mir später deine konfig mal anschauen, in deiner grafik ist nicht von einem lan2 zu sehen
ich sehe nur das sogenante wan netz 172.xxxx und dein 192.xxx

[liceo]

mit opnsense bediene ich noch ein zweites lan, nennen wir's lan2.

Ah, diese Info hast du bis jetzt unterschlagen :-). Welche IP Range bedienst du im LAN2? Etwa auch 192.168.x?/24

[bongo]

nein, LAN2 ist 10.1.1.x, wie in obigem capture zu sehen.
tut aber meiner meinung nach hier eigentlich nix zur sache.

[bongo]

1. du willst im notfall auf deine sense kommen, setze ein vpn ein
2. ich muss mir später deine konfig mal anschauen, in deiner grafik ist nicht von einem lan2 zu sehen
ich sehe nur das sogenante wan netz 172.xxxx und dein 192.xxx

nein, ich will nicht auf die sense kommen sondern auf rechner dahinter.
das zweite lan (10.1.1.x) hängt an einer separaten netzwerkkarte.

[micneu]

Mach doch mal bitte einen neuen grafischen Netzwerkplan wo alle netze aufgeführt sind.

So wie ich dich verstanden haben sind an der sense lan1 und lan2 richtig, Bilder zum text sind immer besser zum verständnis.


Kann es sein das ich in deiner log Datei mindestens 3 netze sehe?

Gesendet von iPad mit Tapatalk Pro

[micneu]

Also bei mir habe ich es getestet mit der Regel


Und zum besseren Verständnis hier noch mein netzwerkplan
Die vnc gegensteuern ist bei mir auch im .3. netz wie alle ausser meine Gäste.




Gesendet von iPad mit Tapatalk Pro

[bongo]

also du kommst damit vom wan ins lan über vnc?

angefügt noch das ergänzte bild.
vom lan2 ins lan1 funktioniert's, vom wan ins lan1 nicht.
ich verwende tight vnc.

[micneu]

Nochmal, du hattest geschrieben das du den zugriff für Notfälle benötigst, deshalb war meine Anregung dafür ein VPN zu nutzen.
Wie kommen die Leute denn auf den Rechner der vor deinem wan der sense ist. Bitte mehr Informationen


Gesendet von iPad mit Tapatalk Pro

[liceo]

vom lan2 ins lan1 funktioniert's, vom wan ins lan1 nicht.

OK, habe ich soweit verstanden. Kannst du bitte mal das trace-File vom WAN interface hier hochladen? Im GUI sieht man da nicht viel. Len=0 sind wahrscheinlich TCP-ACKs/SYNs (also haben eigentlich keinen Payload/Inhalt).

Und die Windows-Firewall hast du auf dem ziel-host komplett deaktiviert, korrekt?

[bongo]

meinst du das capture file? ist im anhang.
hab vermutet dass das die payloadgrösse sein könnte.
schon komisch dass da was durchgeht aber irgendwie gefiltert wird...

windows firewall ist ausgeschaltet, port forward ist auch nicht mehr konfiguriert dafür eine regel für die verbindung vom wan host zum lan1 host, genau gleich wie diejenige vom lan2 host zum lan1 host.