RDP zwischen zwei Netzen

[opnjester]

Hallo alle zusammen,

ich habe folgende Konfiguration:
1x WAN, 2x LAN (10.0.10.x und 10.0.20.x).
Internet routing funktioniert bestens. NAT von aussen nach innen in beide Netze auch.
Ich wollte aber jetzt in OPNSense die Firewall für RDP traffic von 10.0.10.x auf 10.0.2.21 öffnen.
Aber leider bekomme ich das nicht hin.

Kann aber sein, dass meine Überlegung falsch ist 
Hier meine Regel für das LAN2 IN:

               Protocol    Source    Port    Destination    Port    Gateway    Schedule    Description    
               
      IPv4 *    LAN1 net    *    *    *    *    *    LAN1 to any

Die Regel für LAN1 OUT:

            Protocol    Source    Port    Destination    Port    Gateway    Schedule    Description    
               
           IPv4 TCP/UDP    *    *    *    3389(RDP)   *    *


Vielen Dank für eure Hilfe

[lfirewall1243]

Hallo alle zusammen,

ich habe folgende Konfiguration:
1x WAN, 2x LAN (10.0.10.x und 10.0.20.x).
Internet routing funktioniert bestens. NAT von aussen nach innen in beide Netze auch.
Ich wollte aber jetzt in OPNSense die Firewall für RDP traffic von 10.0.10.x auf 10.0.2.21 öffnen.
Aber leider bekomme ich das nicht hin.

Kann aber sein, dass meine Überlegung falsch ist 
Hier meine Regel für das LAN2 IN:

               Protocol    Source    Port    Destination    Port    Gateway    Schedule    Description    
               
      IPv4 *    LAN1 net    *    *    *    *    *    LAN1 to any

Die Regel für LAN1 OUT:

            Protocol    Source    Port    Destination    Port    Gateway    Schedule    Description    
               
           IPv4 TCP/UDP    *    *    *    3389(RDP)   *    *


Vielen Dank für eure Hilfe

Also wenn LAN 1 10.0.10.x ist

Sollte dort eine "in" Regel mit dem Ziel 10.0.20.21:3389 reichen.
Mehr regeln brauchst du dann nicht

[opnjester]

Hallo,

ich habe jetzt nur die folgende Regel auf LAN2:
.
IN:

IPv4 TCP/UDP   *   *   10.0.20.21   3389   *   *   RDP

Aber es klappt immer noch nicht

Beide LANs sind auf demselben Managed Switch. Also port 1-6 untagged LAN1 und Port 7-12 untagged LAN2.
Das sollte aber nicht das Problem sein, oder?

[Gauss23]

Du hast, denke ich, das Prinzip von OPNsense Firewallregeln noch nicht verstanden/verinnerlicht.

Die Regeln werden auf dem Interface angelegt auf dem die Pakete an der OPNsense ankommen.

Welches LAN ist nun welches Interface?
Ich nehme an die Regel ist auf dem falschen Interface.
Source ist dann das Netzwerk von dem LAN was an diesem Interface angebunden ist und destination ist der rdp Host.

[opnjester]

Du hast, denke ich, das Prinzip von OPNsense Firewallregeln noch nicht verstanden/verinnerlicht.

Die Regeln werden auf dem Interface angelegt auf dem die Pakete an der OPNsense ankommen.

Welches LAN ist nun welches Interface?
Ich nehme an die Regel ist auf dem falschen Interface.
Source ist dann das Netzwerk von dem LAN was an diesem Interface angebunden ist und destination ist der rdp Host.

Hallo Gauss23,

ok danke, das war schon mal mein erster Fehler. Das mit der Richtung hatte ich echt nicht verinnerlicht 
jetzt habe ich folgende Regel auf LAN1 (in dem Lan befindet sich der PC von dem aus RDP initiiert wird):
Pv4 TCP/UDP   LAN1 net   *   10.0.20.21   3389   *   *   RDP to Server

aber es klappt immer noch nicht

[Gauss23]

Ich tippe jetzt auf die Windows Firewall vom Ziel Host. Die lassen per default nur Clients aus dem eigenen Subnet zu. Entweder mal testweise ganz deaktivieren oder das andere Subnet in der Firewall hinzufügen unter Windows.

Du kannst auf unter Firewall: Log Files: Live View siehst du was gerade so passiert. Wenn du der Rdp Regel noch sagst, dass sie loggen soll, solltest du die Verbindungsversuche nun in grün sehen.

[opnjester]

Ich tippe jetzt auf die Windows Firewall vom Ziel Host. Die lassen per default nur Clients aus dem eigenen Subnet zu. Entweder mal testweise ganz deaktivieren oder das andere Subnet in der Firewall hinzufügen unter Windows.

Du kannst auf unter Firewall: Log Files: Live View siehst du was gerade so passiert. Wenn du der Rdp Regel noch sagst, dass sie loggen soll, solltest du die Verbindungsversuche nun in grün sehen.

Hallo,
ich habe testweise mal die Windows Firewall deaktiviert, aber das bringt auch nichts.

Logging habe ich auch aktiviert auf der Regel, aber es tauchen keine RDP Verbindungsversuche in den Logs auf...
Ich filtere einfach auf Interface LAN1 und sehe nur DHCP anfragen oder die anti-lockout rule für OPNSense. Aber nichts auf port 3389

[JeGr]

Wie sehen denn nun aktuell deine Regeln aus? Damit man auf dem aktuellen Stand ist

[opnjester]

Wie sehen denn nun aktuell deine Regeln aus? Damit man auf dem aktuellen Stand ist

Hi.
Also als IN Regel auf LAN1:
IPv4 TCP/UDP   LAN1 net   *   10.0.20.21   3389 (MS RDP)   *   *   RDP to T-Server

[Gauss23]

Also du müsstest die Pakete sehen, wenn Logging aktiviert ist. Und wenn die Regel nicht greifen würde, würdest Du die Pakete als abgelehnt sehen.

Mach doch mal nen Netzwerkplan: https://forum.opnsense.org/index.php?topic=7216.0

Sonst stochern wir hier weiter in der Gegend rum.

[opnjester]

Also du müsstest die Pakete sehen, wenn Logging aktiviert ist. Und wenn die Regel nicht greifen würde, würdest Du die Pakete als abgelehnt sehen.

Mach doch mal nen Netzwerkplan: https://forum.opnsense.org/index.php?topic=7216.0

Sonst stochern wir hier weiter in der Gegend rum.

Code: [Select]

                               WAN / Internet
                                      :
                                      : 
                                      :
                                .-----+-----.
                                |  Gateway  |  MikroTik Router vom Provider DMZ 
                                '-----+-----'
                                      |
                                  WAN | IP or Protocol    192.168.210.247 / 21
                                      |
                                .-----+------.                       
                                |  OPNsense                       
                                '-----+------'                       
                                        |
         ------------------------+--------------------

            |                                                     |   
   LAN1  | 10.0.10.1/24                       LAN2  | 10.0.20.1/24
            |                                                     |
            | Port 1-12                                       | Port 13-24
            .---------------------+---------------------.
             |          Managed LAN-Switch               |
             '---------------------+---------------------'
            |                                                          |
  ...-----+------... (Clients/Servers)           ...-----+------... (Clients/Servers)



Was ich erreichen möchte:
-von LAN1 aus per RDP auf einen Server in LAN2 zurückgreifen
-SMB von einem Host in LAN2 auf einen Host in LAN1
-vom LAN2 Druckserver auf einen IP Drucker in LAN1

Aber jetzt es hängt schon bei RDP

Irgendwann soll noch ein 3. LAN interface rein für WLAN. Aber zuerst musst das hier mal laufen

[opnjester]

Hallo,

hat jemand ne Idee was das Problem sein könnte? 

VG

[Gauss23]

Wenn du die Pakete im Logging weder abgelehnt noch zugelassen siehst, laufen sie offenbar nicht durch die OPNsense.
Ist die OPNsense denn der default gateway für die Netzwerke?

Zeig doch mal screenshots von den Firewall Regeln: alle in Floating und alle auf LAN1. Die RDP Regel mal ganz nach oben schieben. Und dann auch mal den Inspect Knopf oben drücken und schauen, ob die Regel evaluiert wird.

[opnjester]

Wenn du die Pakete im Logging weder abgelehnt noch zugelassen siehst, laufen sie offenbar nicht durch die OPNsense.
Ist die OPNsense denn der default gateway für die Netzwerke?

Zeig doch mal screenshots von den Firewall Regeln: alle in Floating und alle auf LAN1. Die RDP Regel mal ganz nach oben schieben. Und dann auch mal den Inspect Knopf oben drücken und schauen, ob die Regel evaluiert wird.

Guten Abend,

Also OPNSense ist default gateway für beide Netzwerke und beide Netzwerke können auch problemlos nach Aussen kommunizieren.
In beiden Netzen läuft Testweise ein Webserver, der jeweils von Aussen erreichbar ist (NAT)
Nur eben komme ich intern nicht von LAN1 auf zb den Webserver in LAN2. Ich habe dies mal versucht, das es ja nicht mit RDP klappt.
RDP port habe ich auf 8206 umgestellt (RDP über den Port funktioniert auch solange ich mich in LAN2 befinde)

Mittlerweile sehe ich auch (musste ein wenig mit den Filtern rumprobieren) in den Logs, dass die Pakete zugelassen sind (siehe Screenshot), jedoch verstehe ich folgendes nicht:

Die Richtung ist ja out. Aber die Regel ist in LAN1 als In, da ich ja von LAN1 in die Firewall komme. Und dann möchte ich auf eine bestimmte IP in LAN2.

Die Regel wird evaluiert laut inspect.

Zur gleichen Problematik: Ich habe einen OpenVPN server in OPNSense eingerichtet mit folgendem Netz: 10.0.8.0/24. Die automatisch erstellte Regel lässt alles durch für die VPN Clients. Ich kann auch alles im LAN1 erreichen. Aber wiederum nicht in LAN2 ^^

Vielen Dank für deine Hilfe
MfG

[micneu]

Such mal nach „push Route“ oder so ähnlich. Damit kannst du dein lan2 angeben


Gesendet von iPad mit Tapatalk Pro