Probleme beim Portforwarding

Started by cornhulio, November 01, 2023, 04:59:35 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 01, 2023, 04:59:35 PM
Hallo zusammen,

ich bin gerade dabei meinen openWRT Router mit einem opnsense abzulösen.
routing habe ich hinbekommen. Auch die Firewall Regeln verstehe ich glaube ich auch langsam.
Allerdings bekomme ich das Portforwarding noch nicht hin.

Code Select

     WAN / Internet
            :
            :
            :
      .-----+-----.
      |  Frizbox    |
      '-----+-----'
            |
        WAN | 192.168.2.2
            |
      .-----+------.        DMZ          .-----------.
      |  OPNsense  +--------------+| rpiWeb    |
      '-----+------'   10.113.0.1      '------------'  10.113.0.10
            |
        LAN | 10.0.110.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
           |
    ...-----+------... (Clients/Servers)


Ich hoffe mit der ASCII Art könnt ihr den Aufbau verstehen:
Ich habe eine Fritz.box die lokal die 192.168.2.1 hat. Diese hat die Ports 9080 und 9433 offen und weitergeleitet an die 192.168.2.2 was das WAN Interface von dem OPNsense ist.
Ich möchte auf der OPNsense nun die beiden Ports 9080 und 9433 auf meinem Webserver "rpiWeb" durchleiten.

Ich habe die folgenden NAT Regeln erstellt. (Anhang Bild "nat_rules.png")

Und folgende Firewall Regeln. (Anhang Bild "fw_rules.png")
November 01, 2023, 05:19:25 PM #1
Setz in der NAT Regel mal die "Associated firewall rule" to "Pass", dann braucht es keine separate Firewall-Regel.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 01, 2023, 06:21:27 PM #2
Okay, danke. Das löst das Problem leider noch nicht.

Ich habe die komplette NAT rule abgehangen. Evtl sieht da wer den Fehler  ;)
November 01, 2023, 06:42:09 PM #3
Die Fritzbox macht also ein DNAT von deiner WAN Adresse auf 192.168.2.2. Und jetzt soll die OPNsense ein weiteres DNAT von 192.168.2.2 auf die 10.113.0.10 machen? Da muss dann auch das SNAT stimmen, 10.113.0.10 muss auf 192.168.2.2 SNATed werden, damit dann die Fritzbox 192.168.2.2 auf die WAN Adresse SNATed.

Doppelnat ist aber immer blöd, ich würde von der Fritzbox zur OPNsense routing betreiben, alles DNAT und SNAT auf der Fritzbox machen, und alles NAT auf der OPNsense ausschalten.
Hardware:
DEC740
November 01, 2023, 07:20:18 PM #4
Quote from: cornhulio on November 01, 2023, 06:21:27 PM
Ich habe die komplette NAT rule abgehangen.
Abhängen tun eigentlich wir. Deine Regel ist soweit korrekt, dein Problem liegt woanders.
November 01, 2023, 07:48:47 PM #5
Ja sorry hab mich verschrieben :D
Also brauche ich keine zusätzliche SNAT Regel wie von monviech angedeutet?

Das setup lief soweit vorher mit dem openwrt. Ich hab sozusagen ,,nur" den openwrt gegen die opnsense getauscht.

Falls doch snat rules genötigt werden: Was muss ich dafür genau tun?

Sorry wenn ich diese ,,einfachen" Fragen stelle ^^
November 02, 2023, 08:53:14 AM #6
Quote from: Monviech on November 01, 2023, 06:42:09 PM
Die Fritzbox macht also ein DNAT von deiner WAN Adresse auf 192.168.2.2. Und jetzt soll die OPNsense ein weiteres DNAT von 192.168.2.2 auf die 10.113.0.10 machen? Da muss dann auch das SNAT stimmen, 10.113.0.10 muss auf 192.168.2.2 SNATed werden, damit dann die Fritzbox 192.168.2.2 auf die WAN Adresse SNATed.

Doppelnat ist aber immer blöd, ich würde von der Fritzbox zur OPNsense routing betreiben, alles DNAT und SNAT auf der Fritzbox machen, und alles NAT auf der OPNsense ausschalten.

Das würde aber auch bedeuten, dass die Fritzbox Freigaben für die 10.0.113.10 direkt macht und dann einfach routet, richtig?
Soweit ich das mit der Fritzbox richtig verstehe, kann ich bei der Fritzbox nur Geräte aus dem lokalem Netz, also das indem die Fritzbox auch ist (in diesem Fall 192.168.2.0/24) für Freigaben konfigurieren. Ich werde das heute Abend mal prüfen, aber vor ca. 6 Monaten war das noch so.
November 02, 2023, 09:50:42 AM #7
Ich weiß das leider nicht genau, ich benutze nirgendwo eine Fritzbox wo ich Netzwerksegmentierung betreiben muss. Da kommt dann immer etwas gescheites hin, wie ein ordentliches VDSL/Cable Modem, sodass die OPNsense direkt alles macht.
Hardware:
DEC740
November 02, 2023, 09:54:37 AM #8
Für den Fall dass heute Abend herausstellt, dass AVM immer noch diese komische Begrenzung hat: Wie genau müsste das Konstrukt dann aussehen mit den SNAT rules?

Ich kann die Fritzbox leider (vorerst) nicht ersetzen.. :/
November 02, 2023, 09:57:14 AM #9
Wenn Outbound NAT auf "automatic" gestellt ist, sind diese Regeln eigendlich alle schon automatisch vorhanden.

Ich würde nur aufpassen, dass auf dem WAN interface "Block private networks" und "Block bogon networks" deaktiviert ist.
Hardware:
DEC740
November 02, 2023, 10:10:00 AM #10
Hi,

ist dein WAN per DHCP von der Fritzbox konfiguriert oder statisch?

Ich hatte den Fall, dass dieses Setup nicht funktioniert, wenn bei statischer Konfiguration das Upstream Gateway gesetzt ist und nicht auf automatisch steht. Das findeset du unter Interfaces -> WAN -> IPv4 Upstream Gateway, sofern statische Konfiguration ausgewählt.

In diesem Fall wurden alle Antworten auf weitergeleitete Pakete an das Default Gateway gesendet statt in das Netzwerksegment. Ist vielleicht auch hier so?
November 02, 2023, 07:46:09 PM #11
Ich habe in der Fritzbox geschaut. Ich kann mittlerweile tatsächlich eine Portfreigabe direkt zu dem DMZ Netz machen. Nachdem ich das getan habe und die POrtforwarding Regeln entfernt habe ging es.

Vielen lieben Dank für eure schnelle und kompetente Hilfe!
Print
Go Up Pages1
User actions