Probleme beim Portforwarding

[cornhulio]

Hallo zusammen,

ich bin gerade dabei meinen openWRT Router mit einem opnsense abzulösen.
routing habe ich hinbekommen. Auch die Firewall Regeln verstehe ich glaube ich auch langsam.
Allerdings bekomme ich das Portforwarding noch nicht hin.

Code: [Select]

     WAN / Internet
            :
            :
            :
      .-----+-----.
      |  Frizbox    |
      '-----+-----'
            |
        WAN | 192.168.2.2
            |
      .-----+------.        DMZ          .-----------.
      |  OPNsense  +--------------+| rpiWeb    |
      '-----+------'   10.113.0.1      '------------'  10.113.0.10
            |
        LAN | 10.0.110.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
           |
    ...-----+------... (Clients/Servers)

Ich hoffe mit der ASCII Art könnt ihr den Aufbau verstehen:
Ich habe eine Fritz.box die lokal die 192.168.2.1 hat. Diese hat die Ports 9080 und 9433 offen und weitergeleitet an die 192.168.2.2 was das WAN Interface von dem OPNsense ist.
Ich möchte auf der OPNsense nun die beiden Ports 9080 und 9433 auf meinem Webserver "rpiWeb" durchleiten.

Ich habe die folgenden NAT Regeln erstellt. (Anhang Bild "nat_rules.png")

Und folgende Firewall Regeln. (Anhang Bild "fw_rules.png")

[Patrick M. Hausen]

Setz in der NAT Regel mal die "Associated firewall rule" to "Pass", dann braucht es keine separate Firewall-Regel.

[cornhulio]

Okay, danke. Das löst das Problem leider noch nicht.

Ich habe die komplette NAT rule abgehangen. Evtl sieht da wer den Fehler 

[Monviech (Cedrik)]

Die Fritzbox macht also ein DNAT von deiner WAN Adresse auf 192.168.2.2. Und jetzt soll die OPNsense ein weiteres DNAT von 192.168.2.2 auf die 10.113.0.10 machen? Da muss dann auch das SNAT stimmen, 10.113.0.10 muss auf 192.168.2.2 SNATed werden, damit dann die Fritzbox 192.168.2.2 auf die WAN Adresse SNATed.

Doppelnat ist aber immer blöd, ich würde von der Fritzbox zur OPNsense routing betreiben, alles DNAT und SNAT auf der Fritzbox machen, und alles NAT auf der OPNsense ausschalten.

[Bob.Dig]

Ich habe die komplette NAT rule abgehangen.

Abhängen tun eigentlich wir. Deine Regel ist soweit korrekt, dein Problem liegt woanders.

[cornhulio]

Ja sorry hab mich verschrieben
Also brauche ich keine zusätzliche SNAT Regel wie von monviech angedeutet?

Das setup lief soweit vorher mit dem openwrt. Ich hab sozusagen „nur“ den openwrt gegen die opnsense getauscht.

Falls doch snat rules genötigt werden: Was muss ich dafür genau tun?

Sorry wenn ich diese „einfachen“ Fragen stelle ^^

[cornhulio]

Die Fritzbox macht also ein DNAT von deiner WAN Adresse auf 192.168.2.2. Und jetzt soll die OPNsense ein weiteres DNAT von 192.168.2.2 auf die 10.113.0.10 machen? Da muss dann auch das SNAT stimmen, 10.113.0.10 muss auf 192.168.2.2 SNATed werden, damit dann die Fritzbox 192.168.2.2 auf die WAN Adresse SNATed.

Doppelnat ist aber immer blöd, ich würde von der Fritzbox zur OPNsense routing betreiben, alles DNAT und SNAT auf der Fritzbox machen, und alles NAT auf der OPNsense ausschalten.

Das würde aber auch bedeuten, dass die Fritzbox Freigaben für die 10.0.113.10 direkt macht und dann einfach routet, richtig?
Soweit ich das mit der Fritzbox richtig verstehe, kann ich bei der Fritzbox nur Geräte aus dem lokalem Netz, also das indem die Fritzbox auch ist (in diesem Fall 192.168.2.0/24) für Freigaben konfigurieren. Ich werde das heute Abend mal prüfen, aber vor ca. 6 Monaten war das noch so.

[Monviech (Cedrik)]

Ich weiß das leider nicht genau, ich benutze nirgendwo eine Fritzbox wo ich Netzwerksegmentierung betreiben muss. Da kommt dann immer etwas gescheites hin, wie ein ordentliches VDSL/Cable Modem, sodass die OPNsense direkt alles macht.

[cornhulio]

Für den Fall dass heute Abend herausstellt, dass AVM immer noch diese komische Begrenzung hat: Wie genau müsste das Konstrukt dann aussehen mit den SNAT rules?

Ich kann die Fritzbox leider (vorerst) nicht ersetzen.. :/

[Monviech (Cedrik)]

Wenn Outbound NAT auf "automatic" gestellt ist, sind diese Regeln eigendlich alle schon automatisch vorhanden.

Ich würde nur aufpassen, dass auf dem WAN interface "Block private networks" und "Block bogon networks" deaktiviert ist.

[Saarbremer]

Hi,

ist dein WAN per DHCP von der Fritzbox konfiguriert oder statisch?

Ich hatte den Fall, dass dieses Setup nicht funktioniert, wenn bei statischer Konfiguration das Upstream Gateway gesetzt ist und nicht auf automatisch steht. Das findeset du unter Interfaces -> WAN -> IPv4 Upstream Gateway, sofern statische Konfiguration ausgewählt.

In diesem Fall wurden alle Antworten auf weitergeleitete Pakete an das Default Gateway gesendet statt in das Netzwerksegment. Ist vielleicht auch hier so?

[cornhulio]

Ich habe in der Fritzbox geschaut. Ich kann mittlerweile tatsächlich eine Portfreigabe direkt zu dem DMZ Netz machen. Nachdem ich das getan habe und die POrtforwarding Regeln entfernt habe ging es.

Vielen lieben Dank für eure schnelle und kompetente Hilfe!