Jegliche Anfragen kommen über zufällige Ports rein

[guest30075]

Hallöle

Ich habe seit gestern meine FritzBox gegen die OPNsense als Router "getauscht" (also PPPoE und Fritze Bridged).

Ich habe das Problem schon bevor ich das gemacht habe. Es ist egal was anfragt, ob es meine OpenVPN über 1194 oder irgendeine Webanfrage, die eigentlich ja 80/443 oder sonst so ist, alles kommt immer nur über einen zufälligen Port rein, so dass ich eine Regel mit Port "jeglicher" auf die Webports 80/443 erstellen musst, um Dienste wie meine NC oder Heimdall oder was auch immer, nutzen kann. Woran kann das nur liegen..

Anfangs dachte ich es liegt am alten Netzwermodell mit einem Doppelten-NAT und die FritzBox verändert da irgendwas. Jetzt liegt aber keine FritzBox mehr im Weg und dennoch komme alle Anfragen auf zufällige Ports rein, wodurch ich natürlich keine VPN mehr nutzen kann oder z.B. Server für Spiele für Freunde freigeben kann. Alles kommt rein zufällig rein.

Habe als Anhang eine grobe Darstellung meines Netzwerks eingestellt, wie es bei mir zuhause aufgebaut ist, aber nur mit meinen ReverseProxy für meine Webdienste. Stellt euch einfach weitere Server vor 

[Patrick M. Hausen]

Die Absender-Ports der Clients draußen im Internet sind immer zufällig. Fest ist nur der Zielport, z.B. 1194 oder 443.

Oder was meinst Du?

[guest30075]

Also es ist vollkommen normal, wenn ich meine NC über nc.meinedomain.de ohne jeglich Portangaben im Browser aufrufe (auch von Intern), dass die Anfrage an einen rein Zufälligen Port geschieht?

Aber wieso funktionieren dann andere Dienste nicht mehr, wie z.B. eben meine VPN oder meine Gameserver nicht?

Wenn die Anfragen zufällig reingehen, wie kann da denn unterschieden werden, ob ich gerade eine VPN-Verbindung , Webserver oder Gameserver erreichen will?

Es tut mir leid wenn ich das so viele vielleicht nicht weiß, aber hab noch nicht allzu großes Wissen was Netzwerke angeht..

Macht das denn einen großen Unterschied wenn es Regeln auf der Firewall sind oder NAT-Regeln?

[guest30075]

Hm.. Anscheinend ja..

Ich checke gerade den Unterschied zwischen FW-Regeln und FW-NAT nicht so ganz..

Hab auf die schnelle den OpenVPN Port als NAT-Regel eingebunden und nun kann ich mich damit verbinden..

Edit:
Und wie spiele Regeln und NAT miteinander zusammen...
Wenn ich eine Regel und NAT mit der VPN Port drinnen habe, geht es.. Fehlt eins, dann geht es nicht mehr..

[Patrick M. Hausen]

Erste Frage: der Zielport sagt, welcher Dienst erreicht werden soll.

Du verbindest Dich von irgendwo im Internet mit Deinem OpenVPN ...

Absender-Port zufällig, Absender-Adresse vom Provider, der gerade genutzt wird.
Ziel-Port 1194, Ziel-Adresse Deine externe IP.

Wenn es ein Webdienst sein soll, dann ist der Ziel-Port eben 443. Der Absender-Port ist wieder zufällig.
Das reicht doch Deiner OPNsense, um zu unterscheiden, welcher Dienst gemeint ist.


Zweite Frage: bei Deiner Fritzbox sagst Du einfach "Port 443 nach innen auf dieses und jenes Gerät". Das ist der NAT-Teil. Den Firewall-Teil macht die Fritzbox automatisch. Sie erlaubt diesen Zugriff auf 443 und verbietet alles andere.

Die OPNsense bietet Dir hier mehr Kontrolle. Du musst den Zugriff auf den Port einmal erlauben - die Firewall-Regel. Und dann definieren, was da denn eigentlich passieren soll. Das kann NAT sein, aber auch ein HAproxy oder Nginx oder ... das weiß die OPNsense ja nicht von vornherein. Auf der Fritzbox gibt es all diese Dienste nicht, da gibt's nur NAT nach innen. Deshalb braucht's da auch keine getrennte Einstellmöglichkeit.

[guest30075]

Hmm... Ich fühle mich gerade echt dumm..
Die ganze Ausbildung für die Katz..

Jetzt wo du es sagst.. Ich hab nicht bedacht dass die Anfrage von der Quelle ein anderer Port ist als die eigentliche Anfrage behinhält...
Ich glaube, ich mache die Ausbildung von vorne..

Aber vielen Dank.. Jetzt hab ich es wieder.
Es hapert aber auch immer an diesen "kleinen" Gedankenaussetzern


Gesendet von iPhone mit Tapatalk