NAT Portweiterleitung funktioniert nicht

[Patrick M. Hausen]

Quelle - any, Ziel - 443. Dein Browser würfelt sich einen beliebigen freien Port > 1023 und kontaktiert dann den Server auf 443.

[meyergru]

Quellpost= any (jegliche), ich komme doch auf dem Port 443 an, warum dann any? Am WE bin ich nicht vor Ort und würde erstmal Eure Hinweise sammeln. Montag habe ich dann auch mehr Zeit für die FW.

Weil eine eingehende TCP-Verbindung technisch ein Quadrupel ist aus (Quell-IP, Quell-Port, Ziel-IP und Ziel-Port). Wenn bei einer HTTPS-Verbindung sowohl Ziel-Port als auch Quell-Port festgeschrieben, könnte zwischen zwei Partnern (= IPs) nur eine einzige HTTPS-Verbindung mit dem Well-Known Zielport 443 aufgebaut werden.

Deswegen erfolgt der Verbindungsaufbau meist über einen "flüchtigen", d.h. zufälligen Quell-Port. Da der vorab nicht bekannt ist, muss dafür "any" erlaubt werden.

Hier geht es nicht um "Port Translation", also dass der Ziel-Port 443 ggf. noch auf einen anderen Port umgeschrieben wird, das wäre bei OpnSense der "Redirect Port". In einer Fritzbox kann man den Quellport in der Regel gar nicht angeben, vielleicht deswegen die Verwirrung?

[DTB]

Hallo meyergru,

die HTTPS Weiterleitung ist nur ein Port/Regel. Ich habe noch 3 Webcams auf den Ports 15010/11/12, wo der gleiche Effekt auftritt. Wie Du schon richtig ahnst, habe ich mehr Erfahrung bei Fritzboxen, wo ich Quellport und Zielport genau mit 443 bzw. zB. 15010 angebe. In der OPNsense muss ich da auch any als Quellport nutzen?

Thomas

[Bob.Dig]

wo ich Quellport und Zielport genau mit 443 bzw. zB. 15010 angebe. In der OPNsense muss ich da auch any als Quellport nutzen?

Warum nutzt Du überhaupt eine Sense, wenn Du selbst eine einfache Portweiterleitung nicht hinbekommst? Nicht das richtige Produkt für dich...

Davon ab, bei der Fritzbox setzt Du keinen Source Port, das unterstützt sie gar nicht. Lies Dir noch mal die Antworten hier durch, es wurde schon alles genannt.

[meyergru]

Ja, natürlich. Aus Gründen würde ich allerdings keine Port-Translation mehr einrichten:

1. Falls Du jemals zukünftig mit IPv6 zusätzlich arbeiten willst: dort gibt es keine Port-Translation, also wird es schwierig, die Geräte konsistent per Namen anzusprechen.

2. Es gibt eine elegantere Möglichkeit, Geräte, die per HTTP(S) erreichbar sein sollen, verfügbar zu machen, die den ganzen Zauber nicht mehr braucht, nämlich HAproxy. In diesem Fall wird das jeweilige Endgerät mittels des DNS-Namens verfügbar gemacht, ggf. per IPv4 und IPv6 und man muss gar keinen Port mehr angeben.

[Patrick M. Hausen]

Für letzteres würde ich eher das Caddy-Plugin empfehlen, das deutlich einfacher zu konfigurieren ist und in einer der nächsten Releases auch im OPNsense-Standard landen wird:

https://github.com/Monviech/os-caddy-plugin

[DTB]

Die Hinweise zum Quellport habe ich heute berücksichtigt, leider ohne Erfolg. Meine Pakete werden immer noch geblockt. Mittlerweile habe ich unterschiedlichste Einstellungen getestet und erhalte im Liveprotokoll immer die gleichen Ergebnisse.

Mein nächster Ansatz wäre, die Werkskonfiguration zu laden und nochmal in Ruhe die Konfiguration anzugehen. Dabei würde ich meine hier gepostete Einstellung incl. Quellport = any verwenden.

Erkennt ihr noch falsche Einstellungen bzw. kann mir jemand ein Beispiel für HTTPS senden?

[DTB]

Ich habe mir eine komplett neue OPNsense bestellt. Bin aber erstmal im Urlaub, melde mich dann wieder.

Thomas