OPNsense 26.1.6 – Destination NAT

[bts]

Hallo zusammen

ich habe seit OPNsense 26.1.6 ein Problem mit einer Konstellation, die früher mit einer einfachen Destination-NAT-Regel funktioniert hat.

Ausgangslage:
Die Anfrage kommt aus einem OpenVPN-Netz:

172.17.30.0/24

Ein Client aus diesem Netz greift auf folgende Adresse zu:

10.3.0.10:7000/tcp

Diese Anfrage soll per NAT wie folgt umgesetzt werden:

eingehend auf 10.3.0.10:7000/tcp
Weiterleitung intern auf 10.10.11.5:443/tcp

Ziel:**
Die Verbindung soll so umgesetzt werden, dass die Firewall als Absender erscheint, damit der interne Zielhost 10.10.11.5 das VPN-Netz 172.17.30.0/24 nicht kennen bzw. nicht routen muss.

Früher reichte dafür eine einfache Destination-NAT-Regel. Das scheint in dieser Form nicht mehr zu funktionieren.

Bisher versucht:

Port Forward / Destination NAT
zusätzlich Hybrid Outbound NAT
dort eine zusätzliche NAT-Regel, damit die Anfrage beim internen Ziel mit der Firewall als Source ankommt

Beobachtung:
Im Live Log sieht es so aus, als würde die Übersetzung greifen. Trotzdem öffnet sich die Webseite auf 10.10.11.5:443 nicht.

Frage:
Wie bildet man diese Konstellation unter OPNsense 26.1.6 korrekt ab?

Benötigt es inzwischen zwingend eine Kombination aus:

Port Forward / Destination NAT
Outbound NAT
passende Firewall-Regeln auf OpenVPN und LAN

oder hat sich bei der NAT-Verarbeitung etwas geändert?

Falls jemand so ein Szenario bereits umgesetzt hat, wäre ich für ein Beispiel dankbar.
Wichtig ist vor allem, dass der interne Host nicht direkt ins VPN-Netz zurückrouten muss, sondern die Firewall als Absender verwendet wird.

Vielen Dank