Problem mit Port-Forwarding und OPNsense-Cluster hinter Fritz!Box

[harald99]

so, todos erledigt.
FTP-Server hat nur noch 1 if
auf der LAN Seite der Sense ist nur noch tagged

aber Fehler ist immer noch da, tcpdump sieht Pakete auf dem WAN if, aber nicht auf dem DMZ if.

bei nem linux server mit iptables würde ich sagen ip forwarding ist nicht gesetzt, aber hier funktioniert es abgehend.

Noch irgend einen Tipp?

[harald99]

Ich werde den thread nochmal im englischen Bereich posten, dort lesen wesentlich mehr mit.

Wenn ich herausgefunden habe, welchen Fehler der typ vor meiner Tastatur gemacht hat, werde ich es hier posten.

[harald99]

ich hab noch weiter probiert und eine http Weiterleitung auf einen Testserver im Plan 99 gemacht, gleiches Problem.
Daher gehe ich davon aus, dass es etwas gemeinsames ist.

Gibt es irgend eine Einstellung, die Port forwarding komplett unterbindet?

[Patrick M. Hausen]

Mir fallen wirklich nur gateway rules ein, die hier reinspucken könnten ...

[fastboot]

Sorry, ich habe nicht alles gelesen.


ping, traceroute(mtr), und nmap sollten dein Freund sein. Zudem das loggin einschalten.

Ohne alles gelesen zu haben, wundere ich mich,das WAN auf vlan9 sein soll... aber nun denn.


Im weiteren. FTP active oder passive? Ich gehe davon auf, dass der ftp server auch wirklich lauscht auf dem interface und die verbindung aus demselben subnetz funktioniert?

[Patrick M. Hausen]

Die Anmerkungen zu FTP im Speziellen hab ich mir noch gespart. So lange über das Port Forwarding das erste SYN Paket nicht beim Server landet, ist alles Weitere erst mal egal.

Ich stehe allerdings auch völlig auf dem Schlauch. Logging für alle relevanten Firewall-Regeln inkl. default deny einschalten und gucken ...

[harald99]

das wan if ist definitiv im Plan 9, von innen nach aussen geht alles. das einzige, was nicht geht ist port forward.
ich werde mir nochmal das logging ansehen.

Code Select Expand

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-10-29 05:46 UTC
Nmap scan report for xxxxxxxxx
Host is up (0.032s latency).
rDNS record for xxxxx: xxxxxx

PORT   STATE SERVICE
21/tcp open  ftp

Nmap done: 1 IP address (1 host up) scanned in 0.14 seconds
nmap sieht gut aus, aber es kommt kein Paket am dmz interface an.


ich baue mir das ganze nochmal in meinem VMware lab nach, evtl. hab ich bei der cluster config irgendwas zerkonfiguriert.

[harald99]

Ich habe weitere Nachforschungen angestellt und es sieht so aus, als handele es sich nicht um ein Problem mit der Portweiterleitung.
Die WAN-Schnittstellen haben die Adressen 192.168.9.11 (1.), 192.168.9.12 (2.) und eine virtuelle IP-Adresse 192.168.9.1.

Wenn der exposed Host auf der Fritz auf die virtuelle IP eingestellt ist, funktioniert die Portweiterleitung nicht.
Wenn ich ihn auf die IP des aktiven OPNsense (1., 192.168.9.11) einstelle, funktioniert die Portweiterleitung wie erwartet.

Es sieht so aus, als hätte das etwas mit der CARP-Adresse zu tun.

Irgendwelche Vorschläge?

[Patrick M. Hausen]

Die CARP IP hat dieselbe Netzmaske wie die beiden festen IPs? Das muss so ...

[harald99]

Ja, beide /24

[Patrick M. Hausen]

Hattest du schon einen Screenshot von der Virtuellen IP gepostet? Mach doch bitte mal.

[harald99]

hier

settings auf beiden OPNs gleich

die CARP IP ist auch pingbar

[Patrick M. Hausen]

Hast du einen kleinen Switch? Häng den mal spaßeshalber zwischen die Fritzbox und die beiden OPNsense. Vielleicht kommt die Fritzbox mit dem Multicast nicht klar.

[harald99]

Die OPNs hängen nicht direkt an der Fritz, sondern an einem Ruckus ICX Cluster.

[Patrick M. Hausen]

Was auch immer das ist. Sicher, dass dort alles richtig funktioniert? Ist das eine Art Hypervisor? Sind die OPNsensen VMs?