[GELÖST] Port Weiterleitung in gleichem Subnet

[XtraLarge]

Hi,

Ich habe ein Subnetz 10.10.0.0/16. Meine Geräte schicken die Syslog Meldungen an 10.10.0.1:514, das auch eine IP der OpnSense ist. Nun würde ich gerne diese an Logstash 10.10.5.1:1514 schicken. (IPs im gleiche Subnetz).

Ich habe sowohl eine Port Weiterltung (DNAT) inkl. Firewall Rule als auch eine Outbound Rule (SNAT) eingerichtet, aber es kommt nichts an. In der Protokollierung erscheint sobald ich die Nat Rule eingerichtet habe auch nichts mehr aber es kommt auch nichts an.

Was mache ich falsch?

PS: Auffällig ist, dass ich keine SNat Rule sehe

Hier noch der Auszug aus der nat Tabelle:
@16 rdr on lagg0_vlan10 inet proto tcp from any to 10.10.0.1 port = shell -> 10.10.5.1 port 1514
@17 rdr on lagg0_vlan10 inet proto udp from any to 10.10.0.1 port = syslog -> 10.10.5.1 port 1514
@18 rdr on igb3 inet proto tcp from any to 10.10.0.1 port = shell -> 10.10.5.1 port 1514
@19 rdr on igb3 inet proto udp from any to 10.10.0.1 port = syslog -> 10.10.5.1 port 1514
@20 rdr on lagg0_vlan15 inet proto tcp from any to 10.10.0.1 port = shell -> 10.10.5.1 port 1514
@21 rdr on lagg0_vlan15 inet proto udp from any to 10.10.0.1 port = syslog -> 10.10.5.1 port 1514
@22 rdr on lagg0_vlan5 inet proto tcp from any to 10.10.0.1 port = shell -> 10.10.5.1 port 1514
@23 rdr on lagg0_vlan5 inet proto udp from any to 10.10.0.1 port = syslog -> 10.10.5.1 port 1514
@24 rdr on lagg0_vlan6 inet proto tcp from any to 10.10.0.1 port = shell -> 10.10.5.1 port 1514
@25 rdr on lagg0_vlan6 inet proto udp from any to 10.10.0.1 port = syslog -> 10.10.5.1 port 1514
@26 rdr on lagg0_vlan14 inet proto tcp from any to 10.10.0.1 port = shell -> 10.10.5.1 port 1514
@27 rdr on lagg0_vlan14 inet proto udp from any to 10.10.0.1 port = syslog -> 10.10.5.1 port 1514

[fabian]

Das wird den gleichen Grund haben, wieso manche mit der Weboberfläche ein problem haben: Wenn der Port von OPNsense verwendet wird, kann man den nicht weiterleiten.

Gibt es überhaupt einen guten Grund, hier sinnlos Strom zu verbrauchen durch das NAT? Ob der Logstash-Server erreichbar ist, wird ohnehin durch die Firewallregeln festgelegt. Source NAT halte ich übriges doppelt dämlich, weil dann der Host im Syslog nicht mehr stimmt (sieht dann so aus, als würde alles von der OPNsense kommen).

[XtraLarge]

Der Grund ist Wartbarkeit, da ich so über zentrale VIPA Adressen Dienst auf andere Systeme umlegen kann ohne jedes System umzukofigurieren. Eine Art Darstellungsschicht zwischen Dienstnehmer und Dienstgeber.

Für meine Konfiguration von  Logstash ist die SourceIP unerheblich und wird nicht ausgewertet.

Mich interessiert aber eher wie es technisch geht und nicht ob es sinnvoll ist. Eine Idee? .... Wäre wie gesagt sehr interessiert daran, da ich aktuell eher von einer fehlenden Funktion oder einem Fehler in OpnSense ausgehe.

Gesendet von meinem SM-N915FY mit Tapatalk

[XtraLarge]

Hi,

vielleicht hilf es Irgendjemandem ... ich habe das Problem bei mir gefunden. Die Port Forwarding Regel funktionierte nicht mehr, wenn in der korrespondierenden Firewall Regeln ein Gateway (nicht "Standard") gesetzt ist.
(Bei mir war es gesetzt um die eine Gateway Gruppe zu verwenden).

PS: Eine Outbound Regel muss auch noch gesetzt sein!!!!

lG
Willi