Modemzugriff - nicht erreichbar totz Outbound NAT

Started by Neurothiker, March 31, 2025, 09:24:29 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
March 31, 2025, 09:24:29 PM
Hallo,

trotz des sehr allg. gehaltenen NATTING:

Firewall > NAT > Outbound

Interface: Internet
Source: LAN net
Destination: Internet net
NAT address: interface address

erhalte ich keinen Zugriff auf die Webseite des Modems.

Das Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12

Ziel wäre

    Interface: pppoe-Schnittstelle -> Internet
    Protocol: any (zum Einschränken gewünschtes Protokoll wählen) -> TCP
    Source: any (zum Einschränken gewünschtes Subnet wählen) -> LAN network oder 192.168.1.12
    Destination: 192.168.100.0/30 - oder direkt Modem-IP
    Translation: Interface address

Woran könnte es liegen?

Vielen Dank
March 31, 2025, 09:27:13 PM #1
Warum nutzt Du als Anfänger kein automatisches Outbound-NAT.
March 31, 2025, 09:28:31 PM #2
Quote from: Bob.Dig on March 31, 2025, 09:27:13 PMWarum nutzt Du als Anfänger kein automatisches Outbound-NAT.
Ich habe auf Hybrid umgestellt, da ich Voip umgesetzt hatte.
March 31, 2025, 11:36:01 PM #3
Quote from: Neurothiker on March 31, 2025, 09:24:29 PMDas Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12
Hat OPNsense auch eine IP im Netz des Modems?
Ist das vielleicht das "Internet net"?

Kannst du überhaupt von einem direkt angeschlossenen Rechner auf das Modem verbinden?
April 01, 2025, 06:40:10 AM #4
Quote from: viragomann on March 31, 2025, 11:36:01 PM
Quote from: Neurothiker on March 31, 2025, 09:24:29 PMDas Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12
Hat OPNsense auch eine IP im Netz des Modems?
Ist das vielleicht das "Internet net"?

Kannst du überhaupt von einem direkt angeschlossenen Rechner auf das Modem verbinden?
Nein, die OPNsense hat keine IP im Netz des Modems.
Das Modem hat *.100.1
DIe OPNsense hat *.1.1

Siehe Threateröffnung:
Das Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12

Vor der Verbindung Modem - OPNsense war die Verbindung mit dem Modem (GF2) über 192.168.100.1 möglich.
April 01, 2025, 07:19:17 AM #5
Quote from: Neurothiker on April 01, 2025, 06:40:10 AMNein, die OPNsense hat keine IP im Netz des Modems.
Das Modem hat *.100.1
DIe OPNsense hat *.1.1
Ich nehme an Du hast im Moment noch gar keine IP auf dem 'Internet' Interface. Du brauchst jedoch eine IP auf dem 'Internet' Interface, aus dem dem Modem IP-Bereich, z.B. 192.168.100.2/24 oder 192.168.100.2/29. Du kannst kein Outbound NAT machen ohne.

In der Outbound NAT Regel hast Du korrekt "NAT address: interface address" gesetzt. Aber ohne eine Adresse auf dem Interface gibt es keine NAT Adresse zu setzen.

QuoteVor der Verbindung Modem - OPNsense war die Verbindung mit dem Modem (GF2) über 192.168.100.1 möglich.
War vorher das PPPoE auf dem Modem eingerichtet und das LAN Interface des Modems an das WAN Interface der OPNsense angeschlossen?
Deciso DEC740
April 01, 2025, 07:25:00 AM #6
Quote from: patient0 on April 01, 2025, 07:19:17 AMIch nehme an Du hast im Moment noch gar keine IP auf dem 'Internet' Interface. Du brauchst jedoch eine IP auf dem 'Internet' Interface, aus dem dem Modem IP-Bereich, z.B. 192.168.100.2/24 oder 192.168.100.2/29. Du kannst kein Outbound NAT machen ohne.

Muss ich dafür jetzt noch eine IP-Adresse vergeben?
In der Interface-Overview sehe ich als IP-Adresse das Gateway...
April 01, 2025, 07:35:11 AM #7
Quote from: Neurothiker on April 01, 2025, 07:25:00 AMMuss ich dafür jetzt noch eine IP-Adresse vergeben?
In der Interface-Overview sehe ich als IP-Adresse das Gateway...
Mmmh, das ist verwirrend, der sollte auf dem PPPoE Interface sein. Kannst Du ein Screenshot zeigen von der Interface Overview (mit öffentlichen IPs geschwärzt).

Wie sieht Dein Netzwerk aus? Modem im Bridge-Modus - OPNsense 'Internet' Interface? Und dann hast Du ein PPPoE Interface erstellt auf dem 'Internet' Interface?
Deciso DEC740
April 01, 2025, 08:02:55 AM #8 Last Edit: April 01, 2025, 08:06:49 AM by Neurothiker
...wie binde ich ein Bild ein???


WAN (wan)            igc0       static   192.168.100.2/32
LAN (lan)            igc1       static   192.168.1.1/24
VLAN7 (opt4)   vlan01   7   none   
Internet (opt3)   pppoe0   pppoe   87.184.74.151/32           fe80::aab8:e0ff:fe06:d1e4/64              62.155.241.232(Gateway)
April 01, 2025, 08:14:49 AM #9
Quote from: Neurothiker on April 01, 2025, 08:02:55 AM...wie binde ich ein Bild ein???
Du ziehst das Bild auf "Click or drag files here to attach them"

QuoteWAN (wan)            igc0       static   192.168.100.2/32
LAN (lan)            igc1       static   192.168.1.1/24
VLAN7 (opt4)   vlan01   7   none   
Internet (opt3)   pppoe0   pppoe   xx.yy.zz.151/32           fe80::aab8:e0ff:fe06:d1e4/64              62.155.241.232(Gateway)
Aso, das Modem ist nur über das WAN Interface zugreifbar, nicht 'Internet'. Aber Du hast es ja schon fast korrekt gemacht.

Passe das IP Subnet auf WAN an, z.B. 192.168.100.2/29 und dann ändere die Outbound Regel,

Interface: WAN
Source: LAN net
Destination: WAN net (oder auch nur die Modem IP, da ist ja sonst nix)
NAT address: interface address
Deciso DEC740
April 01, 2025, 08:22:55 AM #10 Last Edit: April 01, 2025, 08:26:28 AM by Neurothiker
Quote from: patient0 on April 01, 2025, 08:14:49 AM
Quote from: Neurothiker on April 01, 2025, 08:02:55 AM...wie binde ich ein Bild ein???
Du ziehst das Bild auf "Click or drag files here to attach them"

QuoteWAN (wan)            igc0       static   192.168.100.2/32
LAN (lan)            igc1       static   192.168.1.1/24
VLAN7 (opt4)   vlan01   7   none   
Internet (opt3)   pppoe0   pppoe   xx.yy.zz.151/32           fe80::aab8:e0ff:fe06:d1e4/64              62.155.241.232(Gateway)
Aso, das Modem ist nur über das WAN Interface zugreifbar, nicht 'Internet'. Aber Du hast es ja schon fast korrekt gemacht.

Passe das IP Subnet auf WAN an, z.B. 192.168.100.2/29 und dann ändere die Outbound Regel,

Interface: WAN
Source: LAN net
Destination: WAN net (oder auch nur die Modem IP, da ist ja sonst nix)
NAT address: interface address

Mein Dank sei Dir gewiss!

...aber echt jetzt, warum lag es an der Subnet Einstellung und woher weiß man sowas??
Ich hatte nämlich vorher auch mit "WAN" statt "Internet" gearbeitet...ohne Erfolg.
Bei Outbound NAT für  VoIP musste ich nämlich auf "Internet" statt "WAN".
April 01, 2025, 08:40:28 AM #11 Last Edit: April 01, 2025, 08:42:39 AM by patient0
Quote from: Neurothiker on April 01, 2025, 08:22:55 AM..aber echt jetzt, warum lag es an der Subnt Einstellung und woher weiß man sowas?
Die IP & Subnet Einstellung ist zuständig für die Erstellung des Routingtabellen-Eintrags. Das lässt das System wissen über welches Interface welche Subnets erreichbar sind.

192.168.100.2/32 ist das kleinste Subnet, mit nur seiner/einer IP. Die Route wird also nur für die IP 192.168.100.2 verwendet. Kommt eine Anfrage für 192.168.100.1 wird das System seine Routing Tabellen durchsehen und die Route die passt wird die Standardroute sein, über das 'Internet' Interface.

192.168.100.2/29 erstellt eine Route für alle IPs von 192.168.100.1 bis 192.168.100.6 und entsprechend wird die Route gewählt, wenn eine Anfrage kommt für den IP Bereich. /30 wäre eigentlich das kleinstmögliche, passende Subnet (von .100.1 bis .100.2), nicht sicher wieso ich /29 geschrieben habe; es ist noch früh :).

Code Select
$ sipcalc 192.168.100.2/32
-[ipv4 : 192.168.100.2/32] - 0

[CIDR]
Host address        - 192.168.100.2
...
Network address        - 192.168.100.2
Network mask        - 255.255.255.255
Network mask (bits)    - 32
...
Addresses in network    - 1
Network range        - 192.168.100.2 - 192.168.100.2

Code Select
$ sipcalc 192.168.100.2/29
-[ipv4 : 192.168.100.2/29] - 0

[CIDR]
Host address        - 192.168.100.2
...
Network address        - 192.168.100.0
Network mask        - 255.255.255.248
Network mask (bits)    - 29
...
Addresses in network    - 8
Network range        - 192.168.100.0 - 192.168.100.7
Usable range        - 192.168.100.1 - 192.168.100.6

QuoteBei Outbound NAT für  VoIP musste ich nämlich auf "Internet" statt "WAN".
Mit VoIP kenne ich mich nicht aus, Sorry
Deciso DEC740
April 01, 2025, 08:42:53 AM #12
Danke für die Erklärung.

Erlaube mir noch bitte 2 Fragen:

- wenn ich das Zyxel(PMG3000 SFP) mit der IP: 10.10.1.1 nehme, welche IP Einstellung muss ich dann nutzen?

- wenn ich einen WG -Server hinter der OPNsens habe, nicht den, den OPNsens selber bereitstellt, brauche ich ein Forwarding zum Server und dann noch etwas??
April 01, 2025, 09:22:52 AM #13
Quote from: Neurothiker on April 01, 2025, 08:42:53 AM- wenn ich das Zyxel(PMG3000 SFP) mit der IP: 10.10.1.1 nehme, welche IP Einstellung muss ich dann nutzen?
Auf dem WAN Interface würdest Du 192.168.100.2/29 durch 10.10.1.2/29 (oder eben /30) ersetzen. In der Outbound NAT Regel brauchst Du nichts anzupassen, wenn Du 'Destination: WAN net' gewählt hast, steht anstelle 'WAN net' die Modem IP, muss Du die ersetzen durch die Zyxel Modem IP.

Quote- wenn ich einen WG -Server hinter der OPNsens habe, nicht den, den OPNsens selber bereitstellt, brauche ich ein Forwarding zum Server und dann noch etwas??
Du wird eine Port Forwarding des Wireguard Ports (<irgendein Port>, Protokoll UDP) zum Server brauchen, ja. Mehr glaub ich nicht, da bin jedoch nicht zu 100% sicher, hab's bisher nur immer auf der Firewall gemacht.
Deciso DEC740
April 01, 2025, 09:29:17 AM #14
Vielen Dank und einen schönen Tag noch!
Print
Go Up Pages1 2
User actions