APIPA-Adresse routen

Started by psychofaktory, April 28, 2022, 06:24:47 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
April 28, 2022, 06:24:47 PM
Hallo,

aus Kompatibilitätsgründen mit dem örtlichen DSLAM musste ich meinen Draytek Vigor 165, der als Modem für meinen VDSL-Anschluss diente, durch einen Speedport Smart 3 der Telekom ersetzen.

Dieser läuft, wie der Vigor zuvor auch schon, im reinen Modem-Betrieb.
Nun möchte ich gerne auf die Info-Seite des Speedports zugreifen können, um die Werte einsehen zu können mit denen der Anschluss synchron wird.
Dazu habe ich wie in der Anleitung auf den Seiten 293/294 beschrieben die OPNsense mit Port LAN1 verbunden.

Unglücklicherweise lässt sich die Statusseite des Speedports aber nur über die fest vorgegebene APIPA-Adresse 169.254.2.1 aufrufen.
Gemäß RFC-Spezifikation darf eine solche Adresse ja nicht geroutet werden.

Welche Möglichkeiten habe ich nun, um aus einem anderen Subnetz auf das Gerät zugreifen zu können?
May 10, 2022, 01:12:06 PM #1
Die Telekom hat zwischenzeitlich bestätigt, dass die vorgegebene IP-Adresse des Speedports nicht geändert werden kann.

Gibt es noch Ideen wie man auf die 169.254.2.1 hinter der OPNsense zugreifen könnte?
May 10, 2022, 02:48:37 PM #2
Probier, die Sense statisch auf 169.254.2.2 einzustellen, am entsprechenden Port, und ob du von der Sense aus den Speedport anpingen kannst.

Wenn ja, dann sollte ein Port-Forwarding-NAT (routet ja nicht) von einer regulären Adresse - z.B. eine virtuelle Adresse intern - auf die 169.254.2.1 möglich sein.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 10, 2022, 02:53:07 PM #3
"Nicht geroutet werden" bedeutet ja, dass die Adresse nur im lokalen Netzsegment sichtbar ist. Von einer anderen Adresse im selben Netzsegment ist sie sichtbar, also von der OpnSense selbst aus. Das heißt: entweder NAT oder Du nutzt Squid auf der OpnSense als Web-Proxy, dann findet der Zugriff von technisch von der OpnSense aus statt.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 18, 2022, 11:51:34 AM #4
Quote from: pmhausen on May 10, 2022, 02:48:37 PM
Probier, die Sense statisch auf 169.254.2.2 einzustellen, am entsprechenden Port, und ob du von der Sense aus den Speedport anpingen kannst.
Anpingen von der Sense aus funktioniert schon mal.

Quote from: pmhausen on May 10, 2022, 02:48:37 PM
Wenn ja, dann sollte ein Port-Forwarding-NAT (routet ja nicht) von einer regulären Adresse - z.B. eine virtuelle Adresse intern - auf die 169.254.2.1 möglich sein.
Damit hatte ich leider weniger Glück.
Habe die Schnittstelle zum Modem mit der IP-Adresse 10.10.11.1/30 versehen.
Dann eine virtuelle IP-Adresse 169.254.2.2/30 (Typ "IP Alias") angelegt und der Schnittstelle zum Modem zugewiesen.
Über die Regel zur NAT-Portweiterleitung habe ich dann festgelegt, dass alle Anfragen die an die 10.10.11.1 gehen an die 192.254.2.1 umgeleitet werden sollen.
Über die Firewall-Regeln habe ich dann noch festgelegt, dass ich von meinem Client aus überall hin zugreifen darf.
Von meinem Client habe ich dann versucht https://10.10.11.1 aufzurufen.
Es konnte aber leider keine Verbindung hergestellt werden.

Was mache ich falsch?

Kann mir jemand helfen die richtigen Regeln für mein Szenario anzulegen?
May 18, 2022, 11:57:21 AM #5
SNAT eingerichtet?
Die 10er IP muss zur 169.254.2.2 werden. /30 hätte ich auch nicht genommen sondern den offiziellen /16 da die andere Seite das ja wahrscheinlich auch hat.
May 18, 2022, 12:13:00 PM #6
Ausgendes NAT steht auf "Hybride Einstellungen". Eine separate Regel wurde für diesen Anwendungsfall bisher nicht angelegt.
Fehlt hier noch was?

Quote from: NilsS on May 18, 2022, 11:57:21 AM
Die 10er IP muss zur 169.254.2.2 werden.
Du meinst also die IP der Schnittstelle und der virtuellen IP tauschen? Das hatte ich bereits, hat aber keinen Unterschied gemacht.

Quote from: NilsS on May 18, 2022, 11:57:21 AM
/30 hätte ich auch nicht genommen sondern den offiziellen /16 da die andere Seite das ja wahrscheinlich auch hat.
Nachdem der Ping in der Konstellation mit /30 von der OPNsense funktioniert hatte, würde ich hier nicht das Problem vermuten.
May 18, 2022, 01:44:37 PM #7
Wenn du meinen Port Forwarding vorschlag aufgreifen willst, dann musst du auf der LAN-Schnittstelle z.B. den Port 8080 oder so an die APIPA-Adresse des Modems forwarden. Die 10er Adresse brauchst du an der Schnittstelle zum Modem m.E. nicht.

Und ich würde auch /16 nehmen ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 18, 2022, 02:32:06 PM #8
Ja, den Port Forwarding Vorschlag würde ich gerne aufgreifen.
Das habe ich genau so versucht. Hat aber leider nicht funktioniert.

Wird jetzt noch eine Ausgehende NAT-Regel benötigt?
May 18, 2022, 02:40:25 PM #9
Erstens beim Port Forwarding unten ein "pass" be "associated rule". Zweitens klar ein NAT auf dem Interface mit der APIPA Adresse zum Modem.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 18, 2022, 03:12:10 PM #10
Entweder bringe ich hier etwas durcheinander, oder stehe total auf dem Schlauch  :(

Könnt ihr mir das Step-By-Step erklären?
May 18, 2022, 03:28:15 PM #11
NAT - port forward - interface: LAN, port 8080 - destination APIPA vom Modem, port 80 - associated firewall rule pass.
NAT - outbound - interface zum Modem - interface address

Reicht das?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 18, 2022, 03:46:16 PM #12
Quote from: pmhausen on May 18, 2022, 03:28:15 PM
NAT - port forward - interface: LAN, port 8080 - destination APIPA vom Modem, port 80 - associated firewall rule pass.
Das LAN-Interface hat dabei eine beliebige interne "nicht-APIPA"-Adresse?

Quote from: pmhausen on May 18, 2022, 03:28:15 PM
NAT - outbound - interface zum Modem - interface address

Mit Interface zum Modem ist dann das LAN-Interface aus der Port-Forward-Regel gemeint?
Mit Interface Adress ist die LAN-IP gemeint die ich der Schnittstelle vergeben habe?
Ist das dann die Zieladresse, oder "Übersetzung/Ziel"?

Wird nun noch eine virtuelle IP-Adresse benötigt?
May 18, 2022, 03:54:36 PM #13
Mit LAN-Interface ist dein internes LAN gemeint. Die Adresse, die die OPNsense dort hat.

PC ----> LAN-OPNsense-APIPA ----> Modem

Du gibst dann am Browser z.B. http://192.168.1.1:8080 ein und das Port Forward sorgt dafür, dass der Request weitergeleitet wird an das Modem. Übersetzungs-Ziel ist die APIPA-Adresse vom Modem Port 80.

Wenn das Modem HTTPS verwendet, dann nimmst du eben 8443 intern und 443 beim Ziel.

Genau so wie wenn man ein Port Forward von der externen Adresse zu einem internen Server machen würde.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 18, 2022, 06:47:49 PM #14 Last Edit: May 18, 2022, 06:50:48 PM by psychofaktory
Verzeiht mir bitte wenn ich begriffsstutzig erscheinen mag, aber ich bekomm es mit den Angaben einfach nicht hin.

Vielleicht verstehe ich es mit ganz konkreten Angaben wo es keinesfalls zu Missverständnissen kommen kann.

Ich habe folgende Gegebenheiten:

  • Gruppe der Admin-Clients: 10.20.20.201/24@VLAN20; 10.60.60.201/24@VLAN60
  • Schnittstelle zum Modem: 169.254.2.2/30@VLAN11
  • Regel dass die Gruppe der Admin-Clients überhall hin zugreifen darf.
  • IP-Adresse der OPNsense in jedem Subnetz ist jeweils die x.x.x.1
  • Der Speedport der Telekom hat im Modembetrieb unveränderlich die IP 169.254.2.1
  • Der Speedport liegt ebenfalls im VLAN11
  • Ping von der OPNsense zum Speedport ist möglich
  • Die Webkonfiguration des Speedports wird über HTTPS (Port 443, tcp) aufgerufen
  • aktuell ist keine virtuelle IP angelegt
  • die Webgui der OPNsense wird aktuell über Port 8443 aufgerufen

Welche Konfiguration ist nötig, damit die Gruppe der Admin-Clients auf die HTTPS-Weboberfläche des Speedports zugreifen kann?
Print
Go Up Pages1 2
User actions