Playstation hinter opnsense - Outbound NAT funktioniert nicht vollständig

[dan361]

Moin,

ich bin von pfsense zu opnsense gewechselt.

Ich habe möglichst analog probiert das Setup auf opnsense umzusetzen, was ja relativ einfach ist bis auf 1,2 Dinge die etwas anders sind.

Das einzige was nicht richtig will ist meine Playstation. Auf der pfsense hatte ich upnp + outbound nat rules für die Playstation hinterlegt was auch gefunzt hat.

Auf opnsense habe ich allerdings das Problem, dass meine Playstation mich nicht mehr als "online" anzeigt und mich demnach auch niemand mehr zum Spielen einladen kann. Ich bin online, kann auch online spielen.

Ich habe nachdem ich meine pfsense VM gelöscht habe, diese nochmal komplett frisch aufgesetzt mit dem Setup von der alten Config und das funktioniert wie gewollt, also die PS selbst kann ich ausschließen als Fehlerquelle, habe auch mal zum Spaß mein iPhone als Hotspot mit der PS5 geteilt und auch da war ich sofort online.

Was ich gemacht habe:

Outbound NAT rule für die PS5 mit static port (als erste Regel)
upnp analog zu meinem Setup auf der pfsense angelegt.


Hier noch ein Bild:




Wenn ich die Internetverbindung auf der PS5 teste sollte unter upnp eigentlich eine Session auftauchen (so war es mit der pfsense), aber da passiert gar nichts. habe das Plugin auch schon neuinstalliert.
Weiß leider nicht mehr weiter.

Hoffe mir kann jemand helfen

lg

[micneu]

Google mal oder such mal im Forum, hsbr es sm laufen. Kann gerade keinen Screenshot anhängen


Gesendet von iPhone mit Tapatalk Pro

[dan361]

Das habe ich natürlich schon gemacht und die Lösung ist ja bekannt ;)

Was ich allerdings vergessen habe zu erwähnen: Ich nutze einen VPN der bestimmte Hosts über dieses Interface schickt. Das scheint imho das Problem zu sein, aber ich bin mir nicht sicher wie lösen, zumal es unter pfsense genau so funktioniert hat.

Ich hänge mal die Regeln an wie konfiguriert:




Die PS5 ist in VLAN2


VLAN 2 Regeln



Ganz konkret geht es auch nur um das VLAN2, was mein WLAN/IoT Netz ist, was wenig bis gar nichts mit meinem LAN zu tun haben soll, das habe ich bisher allerdings noch nicht weiter konfiguriert bis die Playstation funktioniert.

Ich verstehe noch nicht so ganz genau wie opnsense mit Gateways umgeht, wenn ich allerdings die erste Regel auf dem VLAN2 Interface weg lasse funktioniert die DNS Auflösung aus dem VLAN2 nicht mehr bzw. er probiert meinen DNS Server (liegt im LAN) über das WAN gateway zu erreichen was natürlich nicht funzt.

So funktioniert zumindest die Kombi aus einige Hosts aus meinem LAN --> VPN, Rest vom LAN --> WAN und VLAN2 --> WAN wie ich mir das vorstelle.

Über das Zusammenspiel aus Outbound NAT Regel und UPNP ist mir auch nicht so ganz klar :o Deaktiviere ich die Regel taucht irgendwann nach viel Krampf und Neustarten der PS5 eine UPNP Session auf mit einem offenen Port, also eigentlich wie gewünscht. Dann allerdings habe ich nur NAT Typ 3, mit dem man auf der PS wenig anfangen kann, wenn es um online zocken geht. Die Outbound NAT Regel beschert mir NAT Typ 2 aber dann gibt es keine UPNP Session mehr und das verwirrt mich so ziemlich.

Bin auch kein Firewall Profi und war ganz froh, als meine PfSense so lief auf die ich aber ungern deswegen zurück wechseln möchte.

Hoffe das reicht erstmal an Infos :)

[chemlud]

... wenn ich allerdings die erste Regel auf dem VLAN2 Interface weg lasse funktioniert die DNS Auflösung aus dem VLAN2 nicht mehr bzw. er probiert meinen DNS Server (liegt im LAN) über das WAN gateway zu erreichen was natürlich nicht funzt.

Dann scheint dein DNS nicht auf dem VLAN2 zu laufen. Einfach mal in den Einstellungen schauen, welche Interfaces bedient werden...

[dan361]

... wenn ich allerdings die erste Regel auf dem VLAN2 Interface weg lasse funktioniert die DNS Auflösung aus dem VLAN2 nicht mehr bzw. er probiert meinen DNS Server (liegt im LAN) über das WAN gateway zu erreichen was natürlich nicht funzt.

Dann scheint dein DNS nicht auf dem VLAN2 zu laufen. Einfach mal in den Einstellungen schauen, welche Interfaces bedient werden...

Tut es auch nicht, wie ich schrieb ist mein DNS Server im LAN zu Hause und soll dort auch bleiben. Was ich halt kurios finde, dass ich auf dem VLAN2 Interface diese Regel setzen muss, damit er Dienste im LAN findet bzw über das LAN Interface geht.

Wie ich schon meinte glaube ich, dass das Problem das (virtuelle) VPN Interface ist. Dieses Verhalten hatte ich unter der Pfsense nie

[JeGr]

> Tut es auch nicht, wie ich schrieb ist mein DNS Server im LAN zu Hause und soll dort auch bleiben. Was ich halt kurios finde, dass ich auf dem VLAN2 Interface diese Regel setzen muss, damit er Dienste im LAN findet bzw über das LAN Interface geht.

Kann es ja auch nicht. Du gibst in der zweiten Regel "Internet" explizit dein WAN Gateway an. Wenn du Traffic ans LAN zum WAN "rausschiebst" dann kann das auch nicht am WAN ankommen. Deine erste Regel die du nicht verstehst funktioniert deshalb "besser" weil dort KEIN WAN Gateway ausgewählt wurde und daher Default Gateway / Standard Routing genutzt wird. Warum überhaupt bei der zweiten Regel das Gateway auswählen? Macht nur begrenzt Sinn für mich wenn ich das lese? :)

[micneu]

Und du benötigst den UPNP kram nicht, ich habe es bei mir ohne mit einer PS4 - Typ 2


Gesendet von iPad mit Tapatalk Pro

[dan361]

Kann es ja auch nicht. Du gibst in der zweiten Regel "Internet" explizit dein WAN Gateway an. Wenn du Traffic ans LAN zum WAN "rausschiebst" dann kann das auch nicht am WAN ankommen. Deine erste Regel die du nicht verstehst funktioniert deshalb "besser" weil dort KEIN WAN Gateway ausgewählt wurde und daher Default Gateway / Standard Routing genutzt wird. Warum überhaupt bei der zweiten Regel das Gateway auswählen? Macht nur begrenzt Sinn für mich wenn ich das lese? :)

Wenn ich hier das Gateway auf "default" stelle habe ich kein Internet mehr auf dem VLAN und das ist genau der Punkt den ich nicht verstehe - was ist "default"? Sollte das nicht das entsprechende VLAN2 Interface auf der opnsense sein? ???

Und du benötigst den UPNP kram nicht, ich habe es bei mir ohne mit einer PS4 - Typ 2


Gesendet von iPad mit Tapatalk Pro

Für die PS4 hatte ich unter der pfsense auch nur ein outbound NAT gesetzt ohne Probleme, die Playstation 5 scheint hier anders zu ticken. Deswegen hatte ich seinerzeit unter der pfsense upnp eingerichtet, was das Problem behoben hat.

Stand jetzt müsste ich zur pfsense zurück (dank VM kein Problem), damit ich die PS5 ordentlich benutzen kann, ich wollte aber bewusst auf opnsense gehen. Weiß leider nicht wie ich das lösen soll.

Ohne meinen VPN klappt das übrigens unter opnsense auch normal, also wenn es nur ein Gateway ins Internet gibt, aber ich möchte den Traffic nur an einer Stelle für bestimmte Hosts über den VPN nach draußen leiten und nicht x Geräte dafür konfigurieren. Daher meine Vermutung, dass das zusätzliche virtuelle VPN interface die Dinge durcheinander bringt.

[JeGr]

> Wenn ich hier das Gateway auf "default" stelle habe ich kein Internet mehr auf dem VLAN und das ist genau der Punkt den ich nicht verstehe - was ist "default"? Sollte das nicht das entsprechende VLAN2 Interface auf der opnsense sein? ???

Default ist Default. Das was im Routing als Default GW gesetzt ist. Das kann ich dir nicht sagen, was bei dir default ist, da du nichts dergleichen gepostet hast :) Entweder steht das auf Automatic - dann kann es WAN oder sonstwas sein, oder es ist fest auf dein WAN/PPPoE gesetzt.

Gateway "*" heißt aber nicht, dass hier das INTERNET-Gateway XY genutzt wird, sondern dass für diese Regel entweder (*) die aktuelle Routing Table gilt oder dass der Traffic der Regel via policy based routing gezielt über ein Gateway rausgepresst wird. Wenn bei dir eine simple allow any Rule mit default GW in dem VLAN nicht klappt, dann hört sich das so an, als wäre da das Routing, Outbound NAT oder sonstwas nicht ganz sauber. Oder es ist noch zusätzlich ein VPN Gateway und irgendwelche Automatismen mit am in die Suppe spucken.

Cheers
\jens

[dan361]

Okay, danke für die Aufklärung. Dann stelle ich mir aber die Frage wie ich das richtig konfiguriere, ich habe bisher keinen Weg gefunden ein "default" Gateway zu setzen, das recherchier ich nochmal.

Ich habe jetzt den VPN komplett rausgeschmissen vorerst, so funktioniert zumindest das outbound NAT der PS5 tadellos.

Meine Frage ist aber dann, wie bekomme ich es hin, dass alles was über meinen ISP raus soll ordentlich geroutet wird + outbound NAT?

Bedeuten 2 Gateways immer policy based routing? Wie konfiguriere ich dann die Wege der Pakete? Ich dachte genau dafür wäre u.a. auch ein Outbound NAT da, damit die Firewall weiß wohin mit dem Paket, oder verstehe ich das falsch?

Zumindest ohne das Outbound NAT der Playstation funktioniert es wie ich es mir gedacht habe. Hosts n gehen über eine Outbound NAT Regel + Firewall Regel über das VPN Interface, Rest über WAN. Das VLAN2 soll nur über WAN raus gehen, aber beißt sich hier scheinbar dann mit dem Outbound NAT - bin an dieser Stelle wirklich ratlos.

[micneu]

@dan361 wozu muss deine playstation über ein vpn raus?
wie du ein device für ein anderes gateway leitest kannst du auch über eine firewall regel machen.

[dan361]

@dan361 wozu muss deine playstation über ein vpn raus?
wie du ein device für ein anderes gateway leitest kannst du auch über eine firewall regel machen.

Soll sie ja eben nicht - das ist ja das Problem, das dann das Outbound NAT scheinbar nicht mehr richtig funzt.

Ich probiere es nochmal deutlich zu machen was ich vorhabe:

LAN - 172.16.20.0/24
VLAN2 - 10.11.12.0/24
WAN - PPoE
VPN - OpenVPN Client


Das LAN soll per WAN rausgehen bis auf ein paar Ausnahmen, die ich über einen Alias bestimme (das funzt auch wie gedacht)
Das VLAN2 soll ausschließlich per WAN rausgehen und wird sobald o.g. funktioniert regelseitig größenteils abgeschottet werden (einzige Ausnahme DNS was im LAN lebt)

Die Playstation ist im VLAN2, soll demnach nichts mit dem VPN zu tun haben und ganz normal über das WAN rausgehen. Das funktioniert jetzt, weil ich den VPN komplett rausgeschmissen habe. Sobald der VPN wie oben beschrieben aktiv ist funktioniert das Outbound NAT nicht mehr. Ich bekome zwar NAT Typ 2, allerdings bin ich mit meinem PSN Account in der PS5 dann nicht mehr online, man kann mich nicht einladen und auch manche Spiele funktionieren gar nicht (Destruction Allstars zb).

Um das so zu konfigurieren, hatte ich Outbound NAT Regeln gesetzt:

WAN - PS5 (alias) - interface address - static port
VPN - vpn_hosts (alias) - interface address
WAN - LAN Net - interface address
WAN - VLAN2 - interface address

Ich habe keinerlei Outbound NAT regel für VLAN2 und den VPN als Interface gesetzt - weil ja eigentlich nicht nötig, oder?

Regeltechnisch hatte ich dann das einfachste Regelset gesetzt, um erstmal die Funktionalität zu testen:

LAN:

Protokoll    -    Source            -      Port    -    Destination    -    Gateway
IPv4                vpn_hosts (alias)   *               *                          VPN
IPv4                LAN Net                *               *                           *


VLAN2:

Protokoll    -    Source            -      Port    -    Destination    -    Gateway
IPv4                VLAN2 Net            *               LAN Net              *
IPv4                VLAN2 Net            *               *                           WAN


Wenn ich im VLAN2 die erste Regel nicht gesetzt habe, haben die Hosts probiert bspw. meinen DNS Server (im LAN) über das WAN Gateway zu erreichen, was natürlich nicht klappt. Setze ich in der zweiten Regel nicht explizit das WAN Gateway habe ich im VLAN2 kein Internet - ich verstehe hier nicht worüber er dann gehen wollen würde - default ja, aber was ist default? Bisher nicht rausgefunden.

Sei's drum - mit dem Regelset habe ich das erreicht, was ich erreichen wollte: LAN geht bis auf ein paar Ausnahmen über VPN, sonst WAN. VLAN2 geht komplett über WAN und kann den DNS Server in meinem LAN erreichen.


Was dann leider nicht klappt ist das oben genannte Playstation Problem - Stand jetzt ist der VPN ja draußen und ich habe nur eine Outbound NAT Regel für die PS5 gesetzt wie oben beschrieben - so klappt alles. Sobald der VPN reinfunkt aber eben nicht mehr. UPNP habe ich aktuell aus, weil scheinbar so nicht nötig (und mir auch lieber).

Wo ist der Fehler zu suchen? Was passiert bei dem Outbound NAT? Nach meinem Verständnis gehen die Pakete über WAN raus und die Regel sorgt dafür, dass sie auch korrekterweise wieder am WAN Gateway ankommen und dann an die PS5 weitergeleitet werden.

Hoffe es ist jetzt etwas klarer :)

[micneu]

dein default gateway kannst du ganz einfach finden:
System --> Gateways

sowas hättest du auch alleine finden können, einfach oben rechts den begriff eingeben, mit glück findest du dann das was du suchst.

und im forum oder über google hättest du die original doku gefunden, da ist das auch beschrieben

[dan361]

Das habe ich tatsächlich vorher schon gefunden, mir ist nicht bewusst wie ich ein Gateway als "default" setze - über die Priorität?

[lfirewall1243]

Das habe ich tatsächlich vorher schon gefunden, mir ist nicht bewusst wie ich ein Gateway als "default" setze - über die Priorität?

So oder den ganzen bei Default Gateway setzen