Firewall Einstellungen

[ThomasKling]

Hallo zusammen,

ich hätte ein Anliegen zu meiner OPNSense. Leider weiß ich nicht genau wie ich es ausdrücken soll.
Vielleicht kann mir ja trotzdem jemand helfen......

Ich habe eine OPNSense, danach ein Unraid Server mit mehreren Ports (Nextcloud, UNraid und auch ein Synology NAS)

ALLE o.g. Ports sind freigeschaltet und funktionieren, wenn ich aus meinem Netzwerk darauf zugreife.

ALLE Ports sind ebenfalls über Port Forwarding in der OPNSense freigeschaltet und funktionieren vie DuckDNS, wenn ich von ausserhalb aus dem Internet darauf zugreife.
(Achtung ich spreche von fremdem Internet,, NICHT mein Internet.)

Was aber leider nicht funktioniert. Wenn ich aus meinem Netzwerk ins Internet und via DuckDNS auf die Ports zugreifen will tut sich rein gar nichts!? (Time out)

Kann mir jemand sagen woran das liegt?
Vielen Dank schon mal im Vorraus.

[meyergru]

Leider ist meine Glaskugel kaputt. Ich kann Deine Netzwerktopologie nicht mal erahnen. O.K., das ist gelogen, mir schwant Fürchterliches, aber ich will nicht mutmaßen ;-)

Zeichne mal einen Netzwerkplan mit OpnSense, Deinem Router (es gibt anscheinend einen, wenn ich "fremdes Internet" vs. "mein Internet" richtig interpretiere), Deinem LAN, wo der Unraid Server hängt und den jeweiligen Subnetzen / Gateways.

Tipp: Wahrscheinlich wird Dir schon selbst klar, wieso das so nicht klappen kann, während Du es malst...

[ThomasKling]

Hallo meyergru,

ich habe das Schema mal angehängt.

Mit fremdem Internet meine ich nur mein Handy (Internetzugang über Mobilfunk)

Will heißen: Ich kann problemlos mit dem Handy von draußen (Arbeit ca. 20km entfernt) via DuckDNS-Adresse auf Unraid, Nextcloud, OPNSense usw. zugreifen.

Ich kann problemlos mit dem PC (zu Hause) via LAN auf Unraid, Nextcloud, OPNSense usw. zugreifen.

Was ich nicht kann, ist via DuckDNS-Adresse vom PC (zu Hause) auf Unraid, Nextcloud, OPNSense usw. zugreifen. LAN geht. Über DuckDNS geht nicht.

[Patrick M. Hausen]

Firewall > Settings > Advanced > Network Address Translation 

Oder statt Port-Forward das Caddy-Plugin benutzen.

[meyergru]

Deine Port-Forwards definieren zunächst nur, wie ein Zugriff von außen nach innen weitergeleitet wird. Es gibt einen Trick, damit das auch von innen funktioniert, dazu musst Du für die jeweilige Port-Forward-Regel "NAT Reflection" einschalten. Es gibt auch eine globale Einstellung dazu.

[ThomasKling]

Männer, vielen Dank.

Es funktioniert.

Ich vermisse meine Fritz Box jeden Tag weniger........

[ThomasKling]

Ich hoffe ich darf gleich noch eine Art-Verwandte Frage hinterher Stellen...............

Bei den Portfreigaben habe ich nach tagelangem ausprobieren zwar Erfolg gehabt, aber
nur dadurch, dass ich jeden einzelnen Port zweimal freigegeben habe.
Heißt einmal als LAN-Portfreigabe und einmal als WAN-Portfreigabe.

Da das so in keiner einzigen Anleitung angegeben wurde bin ich jetzt unsicher, ob ich da
im besten Fall nur einen Schritte hätte sparen können. Oder im schlechten Fall da
"was geöffnet habe was besser geschlossen geblieben wäre"..............

Wie Ihr oben sicherlich bemerkt habt, habe ich von der Materie keine Ahnung.
Irgendwie fand ich es nur cool mir einen eigenen Router zu basteln..

[meyergru]

Zum einen verstehe ich nicht, was "VLAN" in dem Kontext heißt? Davon steht nichts in Deinem Diagramm.

Wenn es sich um das VLAN für die PPPoE-Verbindung handeln sollte, ist das komplett unnötig. Du solltest ein WAN-Interface haben, dafür brauchst Du Port-Weiterleitungen (und outbound NAT).

Im LAN wird so etwas nicht benötigt, weil der lokale Traffic die Firewall überhaupt nicht passiert. Die Geräte im LAN sprechen direkt miteinander.