Und wieder: Virtual IP auf OPNSENSE 21.1

[dhofer76]

Hallo zusammen

Ich musste leider auf die schnelle meine Firewall durch einen Defekt ersetzen und habe ein Alix Board mit 3 LAN Anschlüssen und OPNSENSE nun in Verwendung.

Ich habe von meinem Provider 4 verwendbare IP Adressen erhalten:

112.34.56.78/29 => Haupt IP Adresse
112.34.56.79/29 bis 112.34.56.81/29 => weitere verfügbare IP Adressen

beim WAN Anschluss der OPNSENSE habe ich nun 112.34.56.78/29 konfiguriert und habe diverse Port Forwarding Einstellungen gemacht. Der dahinterstehende Web/Mail Server sind problemlos erreichbar.

Nun habe ich die anderen IP Adressen als virtuelle IPs eingerichtet. Hinter 112.34.56.79/29 steht nun ein weiterer Server, welcher eine Portweiterleitung von 3006 haben sollte. Das heisst

112.34.56.79/29 => 172.16.1.106/24

Jetzt habe ich unter Firewall > NAT > Port Forward eine Weiterleitung konfiguriert:

<>  WAN  TCP * * 112.34.56.79  3006  172.16.1.106  3006 

Leider habe ich keine Möglichkeit von extern darauf zuzugreifen. Ich habe nun auch schon einiges in diesem Forum probiert aber leider nichts vrauchbares gefunden. Meine Firewall > NAT > utbound EInstellungen habe ich mit Hybrid und zu guter letzt jetzt mit Automatic konfiguriert. Auch ein 1:1 brachte mir keine Verbesserung.

Ich komme original eigentlich von der PFSense und weiss das es da problemlos funktioniert - der Einzige Grund warum ihc OPNSENSE verwende ist die Kompatibilität des Alix Boards.

ich wäre für jeden Ratschlag dankbar!

Gruss
DHOFER76

[superwinni2]

Klingt für mich erstmal alles richtig...

Was ich zuerst versuchen würde:
Die Firewall auf den externen IPs Pingen und schauen ob dort etwas ankommt...
Dann wissen wir ob die virtuelle IP wirklich funktioniert.

Gesendet von meinem OnePlus 8t mit Tapatalk

[lewald]

Ich habe sowas auch am laufen.

Bei den virtuellen ips habe ich allerdings xxx.xxx.xxx.xxx/32

Gruß jens

[marcquark]

gibt's zu der NAT regel eine zugehörige Firewall regel, die den traffic dann auch tatsächlich durchlässt?

[lewald]

Ich habe zusätzlich auf dem Lan noch * * zu den Zielnetzen als Firewallregel.

[Gauss23]

Firewall: Settings: Advanced

Die 3 Checkboxen unter Network Address Translation sind an? Zumindest "Reflection for port forwards" sollte wohl an sein.

Virtual IP jeweils einzeln angelegt?

[lewald]

gibt's zu der NAT regel eine zugehörige Firewall regel, die den traffic dann auch tatsächlich durchlässt?

Die müssten automatisch auf dem Wan Interface sein wenn portforwarding gemacht wurde.

[Maurice]

112.34.56.78/29 => Haupt IP Adresse
112.34.56.79/29 bis 112.34.56.81/29 => weitere verfügbare IP Adressen

Da stimmt etwas nicht. 112.34.56.79/29 ist eine Broadcast-Adresse. 112.34.56.80/29 ist eine Netzadresse. 112.34.56.81/29 ist eine normale Adresse, liegt aber nicht im selben Subnetz wie 112.34.56.78/29.

Sicher, dass /29 korrekt ist?

[Gauss23]

112.34.56.78/29 => Haupt IP Adresse
112.34.56.79/29 bis 112.34.56.81/29 => weitere verfügbare IP Adressen

Da stimmt etwas nicht. 112.34.56.79/29 ist eine Broadcast-Adresse. 112.34.56.80/29 ist eine Netzadresse. 112.34.56.81/29 ist eine normale Adresse, liegt aber nicht im selben Subnetz wie 112.34.56.78/29.

Sicher, dass /29 korrekt ist?

Ich ging jetzt davon aus, dass das der Anonymisierung zum Opfer gefallen ist. Zumindest den letzten Block hätte er so lassen sollen, wie er ihn eingetragen hat. Jede Virtual IP sollte einzeln angelegt sein mit dem korrekten Subnetz.

[Maurice]

Ah, jetzt sehe ich es auch... 12345678. ::)
Genau, besser nochmal mit korrektem least significant Byte posten.