[gelöst] Routerkaskade & NAT

[Atarifreak]

Guten Abend!

Ich habe alles Mögliche versucht und hoffe nun, dass man mir hier den initialen Tipp geben kann. Ich möchte folgendes:

Ich habe als Router und Telefonanlage eine Fritzbox 7490. Dahinter befinden sich einige IP-Cams, die ich vor OPNSense-Zeiten einfach per Portforwarding durchgeroutet hatte, so dass ich die von Außen abfragen konnte. Jetzt möchte ich den Aufbau um eine innere Firewall erweitern, die OPNSense.
Es läuft auch alles, allerdings bekomme ich den Zugriff per NAT ums Verrecken nicht durch die Firewall. Diese befindet sich um Netz der Fritzbox (192.168.1.1) und erhält darin per DHCP immer die WAN-IP 192.168.1.20.

Innerhalb des OPN-Netzes erhält OPN auf LAN die 192.168.2.1 mit aktiven DHCP. Die Cam hat darin z.B. die 192.168.2.10.

Mein bisheriges funktionierendes Verfahren:
Die externe IP-Adresse (z.B. 100.100.100.100) fragt aufg dem entsprechenden Port (z.B. 8080) bei der Fritzbox an und von dieser an die betreffende IP der Cam unter Port 80 weitergeleitet. Schema:

ext. IP:8080 => Fritzbox:8080 => Cam:80

Jetzt beabsichtigt:
Die externe IP-Adresse (z.B. 100.100.100.100) fragt auf dem entsprechenden Port (z.B. 8080) bei der Fritzbox an und von dieser an die OPN (192.168.1.20) weiterhin mit Port 8080 weitergeleitet. Dort wird die dann per NAT auf die Cam (192.168.2.10) auf Port 80 weitergeleitet.  Schema:
ext. IP:8080 => Fritzbox:8080 => OPN:8080 => Cam:80

Soweit die Theorie. Praktisch kommt wirklich nichts durch! Ich habe in der OPN folgende Einstellungen:

NAT - Port Forward:
Interface: WAN
TCP/IP: IPv4
Protocol: TCP
Source: 192.168.1.1 (Fritzbox)
Source port range: any to any (extra großzügig)
Destination: LAN net
Destination port range: 8085 - 8085
Redirect target IP: Single host or Network => 192.168.2.10
Redirect target port: 80
NAT reflection: Use system default
Filter rule association: Pass

Ich habe hier schon alles mögliche durchprobiert, u.a. zusätzlich auch eine Firewallregel, die komplett aus * besteht, also alles durchlässt.
Das Resultat ist aber, dass die OPN die Anfrage komplett ignoriert, so als ob die Weiterleitung von der Fritzbox nicht funktioniert. Es erscheint nicht mal ein Eintrag im Log über eine blockierte Anfrage.  Übrigens funktioniert auch ein Ping aus dem Fritzboxnetz auf die OPN nicht.

Hat jemand einen Tipp??

[fabian]

Source muss auf jedem Fall "Any" sein - Ist nämlich eine beliebige IP aus dem Internet. Damit dürfte zumindest die NAT-Regel korrekt sein. Der nächte schritt ist die Filter Regeln durchzugehen.

Ich würde übrigens von meiner Seite her empfehlen, nur eine Portweiterleitung für OpenVPN auf der Fritzbox zu konfigurieren - dann hängen die Geräte nicht direkt im Internet (ist sicherer).

[fabian]

Schau zusätzlich mal ob Private Adressen und Bogon-Netze gesperrt sind.

[Atarifreak]

Alles klar, NAT habe ich angepasst. Dafür schon mal Danke! 

Bei Interfaces habe ich bei LAN die Blockade beider Netzarten deaktiviert.

Leider kommt noch immer nichts durch. Ist das normal, dass ein Ping aus dem Netz der Fritzbox auf der WAN-IP der OPN nicht ankommt?

[Atarifreak]

Übrigens erhalte ich jetzt einen Logeintrag über eine Blockade, aus dem ich aber nur bedingt schlau werde, weil der Port nicht der ist, den ich eingegeben habe. Ursprünglich war die Eingabe: http://100.100.100.100:8080

Im Log stehen nun einige Einträge dieser Art:

Source: 100.100.100.100:25844
Destination: 192.168.1.20:8080 (also die IP der OPN im Netz der Fritzbox)

Was ist das für ein merkwürdiger Port? In jedem Fall läuft hier nun eine Blockade auf.

[fabian]

Bei Interfaces habe ich bei LAN die Blockade beider Netzarten deaktiviert.

muss in deinem Fall auch im WAN erlaubt sein - gefiltert wird auf OPNsense eingehend.

Leider kommt noch immer nichts durch. Ist das normal, dass ein Ping aus dem Netz der Fritzbox auf der WAN-IP der OPN nicht ankommt?

Könnte auch sein, dass dein Client die Antwort nicht mitbekommt
OPNsense schickt standardmäßig alles an das Gateway - zumindest war es früher mal so (redirect setting für multi-wan).
Würde tcpdump für den Fall mal auf der OPNsense zum testen verwenden.

[Atarifreak]

muss in deinem Fall auch im WAN erlaubt sein - gefiltert wird auf OPNsense eingehend.

Habe ich vergessen zu schreiben, ist natürlich auch in WAN ausgeschaltet. 

Würde tcpdump für den Fall mal auf der OPNsense zum testen verwenden.

Hm ... die einzige "Firewall", die ich bisher "konfiguriert" habe, war die der Fritzbox.  Daher kann ich damit gerade nicht so viel anfangen. Wäre das quasi ein Sniffer für die OPNSense, um mitzuschneiden, was da passiert?

[fabian]

Übrigens erhalte ich jetzt einen Logeintrag über eine Blockade, aus dem ich aber nur bedingt schlau werde, weil der Port nicht der ist, den ich eingegeben habe. Ursprünglich war die Eingabe: http://100.100.100.100:8080

Das ist ein gutes Zeichen, da das heißt, dass zumindest was ankommt

Im Log stehen nun einige Einträge dieser Art:

Source: 100.100.100.100:25844
Destination: 192.168.1.20:8080 (also die IP der OPN im Netz der Fritzbox)

Was ist das für ein merkwürdiger Port? In jedem Fall läuft hier nun eine Blockade auf.

Das bedeutet, dass dein Router den (hoffentlich) zufälligen Port 25844 als Quellport für die Verbindung verwendet und sich auf die IP der Firewall verbinden möchte.


             Client          Server
             (Fritzbox)      (OPNsense)
Port (TCP)    25844            8080
IP          100.100.100.100  192.168.1.20

Würde also mal davon ausgehen, dass deine Portweiterleitung auf der OPNsense nicht funktioniert.

[fabian]

Sehe es gerade: Obej steht, dass du 8085 umleitest, bekommst die Verbindung aber von der Fritzbox auf 8080 umgeleitet.

[Atarifreak]

Würde also mal davon ausgehen, dass deine Portweiterleitung auf der OPNsense nicht funktioniert.

Also dass der NAT-Eintrag noch nicht so ganz ok ist? Oder müssen hier noch andere Regeln definiert werden? Aktuell ist folgendes drin:

FLoating: nix
LAN: Bisher nur die Default-Regeln, die alles durchlassen, also "LAN net" mit überall "*" für IPv4 und IPv6
WAN: Testweise auch eine komplette Durchleitung eingebaut, um überhaupt mal eine Verbindung zu bekommen. Also: IPv4 mit überall "*"

Muss ich vielleicht an anderen Stellen noch etwas anpassen, z.B. bei den Interfaces?

Sehe es gerade: Obej steht, dass du 8085 umleitest, bekommst die Verbindung aber von der Fritzbox auf 8080 umgeleitet.

Was den Port angeht: Bin testweise auf 8085 gewechselt, um einen Unterschied im Log zu entdecken (Weiterleitung in der Fritzbox habe ich natürlich auch angepasst). Stimmt also soweit: Aufruf über http://100.100.100.100:8085 schlägt ebenso fehl.

[Atarifreak]

Ich habe mal Screenshots der betreffenden Einstellungen gemacht, aufgrund der Uploadrestriktionen hier erstmal für NAT.

[fabian]

Destination ist nicht lan net sondern "WAN IP" - nämlich die IP, an die die Fritzbox die Verbindung weiterleitet.

[Atarifreak]

Destination ist nicht lan net sondern "WAN IP" - nämlich die IP, an die die Fritzbox die Verbindung weiterleitet.

DAS wars!! Danke danke danke!!   

Ich gebe ehrlich zu, dass ich etwas Schwierigkeiten damit hatte, was nun Destination und was die Source ist. Ich bin immer davon ausgegangen, Source = externe IP, Destination = IP Cam. Da stimmt meine Denke offensichtlich noch nicht ...?

[fabian]

Ich markier es hiermit als gelöst (doch nicht - geht im deutschen Forum nicht)

[Atarifreak]

Hier mal zur Vollständigkeit im Anhang der komplette Screenshot der korrekten NAT-Einstellungen. Leider schweigt sich das Wiki dazu noch ziemlich aus, lediglich zur pfsense findet man im Netz haufenweise zu dem Thema Tutorials.