Anfängerfrage: bekomme keine Verbindung vom WAN zum LAN

Started by H1N1, November 07, 2025, 04:22:47 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 07, 2025, 04:22:47 PM
Bin OPNsense-Umsteiger (von pfSense). Ich habe ein sehr einfaches Setup: eine Fritzbox, die mit dem WAN Interface der OPNsense verbunden ist (192.168.123.11/24) und das LAN-Interface ist mit dem LAN Segment verbunden (192.168.111.1/24). Ich möchte nun eine RDP-Verbindung von einem Windows Rechner im WAN (192.168.123.30) zu einem Rechner im LAN (192.168.111.111) aufbauen. Ich habe dazu eine Route im Windows Rechner im WAN angelegt, so dass alle Verbindungen zum LAN Segment über das WAN-Interface der OPNsense geroutet werden.

In der pfSense ist so etwas denkbar einfach: entsprechende Firewall-Regel fürs WAN Interface anlegen -> fertig -> funktioniert.

Leider bekomme ich mit der OPNsense keine Verbindung, weil sie blockiert wird. Die OPNsense legt automatische Firewall-Regeln an, die oberste fürs WAN-Interface ist ein "blockiere allen eingehenden IPv4 und IPv6 Traffic". Meine eigene "allow-Regel" kann nicht wirken, weil sie ganz unten eingereiht wird und nicht nach oben verschoben werden kann; die automatische Blockier-Regel kann auch nicht gelöscht werden.
Ich habe nun gelesen, dass man statt der Firewall Regel eine NAT-Regel anlegen muss; leider funktioiert das genausowenig. Habe stundenlang alle möglichen Einstellungen versucht und bin verzweifelt!

Kann jemand helfen?
November 07, 2025, 04:51:48 PM #1
Die Default-Block-Regel ist nicht "quick", greift also erst nach allen anderen Regeln, selbst wenn sie ganz oben steht.

Möglicherweise hast du den globalen Schalter "block private networks" noch an: Interfaces > WAN.

Oder du hast Firewall > Settings > Advanced > Disable force gateway nicht aktiviert. Das brauchst du, wenn WAN ein Netzwerk ist, in dem auch Systeme stehen, und nicht nur ein Punkt-zu-Punkt Link.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 07, 2025, 10:42:29 PM #2
Vor allem ist ja die Frage, wie Du überhaupt den ausgehenden Traffic ermöglichst. Die Fritzbox kennt ja normalerweise den Bereich 192.168.111.0/24 nicht, bzw. sie weiß nicht, wohin sie Pakete dafür routen soll.

Theoretisch gibt es zwei Möglichkeiten zur Lösung:

1. Du hast in der Fritzbox eine Router für 192.168.111.0/24 angelegt. Dann geht es so wie Patrick sagt.
2. Du nutzt in der OpnSense outbound NAT, so dass sich alle LAN-IPs hinter der 192.168.123.11 verbergen. In diesem Fall brauchst Du zusätzlich eine Port-Forwarding-Regel für den Port 3089 auf den LAN-Client in der OpnSense.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions