Author Topic: Mehrere IP-Adressen auf einem WAN-Anschluss (Read 4962 times)

mdiehl · « **on:** August 06, 2018, 01:33:42 am »

Hallo Forum,
ich habe alle Suchergebnisse durch, bekomme aber mein Wunschsetup nicht zum Laufen:

Was ich technisch habe:
Sophos SG-220 Apliance mit OPNSense 18.7
Externer IP-Kreis: 84.xxx.xxx.80/28, davon eingerichtet als Gateway: 84.xxx.xxx.81
OPNSense läuft auf 84.xxx.xxx.82
Dahinter laufen ein internes Netz 192.168.254.0/24 an LAN und 192.168.253.0/24 an LAN2
Über die 84.xxx.xxx.82 komme ich in das Netz 192.168.254.0 per IPSEC VPN Site to Site
Jetzt möchte ich eine VM (192.168.254.3) mit der 84.xxx.xxx.83 ansprechen.

Dazu habe ich ein 1:1 NAT unter Firewall => NAT => One-to-One eingerichtet:

Interface External IP Internal IP Destination IP
WAN 84.xxx.xxx.83 192.168.254.3

und eine Firewallregel um auf die HTTPS-Seite zu kommen

PROTO Source Port Destination Port Gateway
IPv4 TCP * 443 (HTTPS) 192.168.254.3 443 (HTTPS) *

Allerdings komme ich damit nicht auf die interne IP.
Hat jemand eine Idee was ich falsch mache?

Danke
mdiehl

JeGr · « **Reply #1 on:** August 07, 2018, 01:59:42 pm »

Bei 1:1 bleibt Destination bitte auf "any". Da du nichts angegeben hast, hoffe ich mal dass dem so ist

Deine Regel ist zudem falsch. HTTPS kommt nicht von Port 443, er hört nur (Destination) auf Port 443. Nimm den Source Port raus, dann sollte es gehen.

mdiehl · « **Reply #2 on:** August 07, 2018, 09:05:20 pm »

Hallo JeGr.
vielen Dank für Deine Antwort.
Ich habe mal die Regeln kopiert. Ich denke ich habe verstanden wie es sein soll, aber es geht leider nicht.
Die Firewall-NAT-One-to-One Einstellungen und die Regel findet man im Anhang.

Ich dachte das würde bedeuten, dass automatisch ein NAT zwischen externer IP und interner IP stattfindet. Dann müsste ich mit der passenden Regel den Traffic auf die interne IP zulassen und könnte mit https://externe.ip auf https://interne.ip zugreifen.
Leider funktioniert das nicht.

mdiehl · « **Reply #3 on:** August 07, 2018, 09:21:49 pm »

Okay, jetzt geht es. Ich dachte man müsse entweder Virtual IP setzen oder 1:1 NAT.
Mit der Virtual xxx.xxx.xxx.84 / 28 klappt es jetzt

JeGr · « **Reply #4 on:** August 08, 2018, 04:20:54 pm »

Jein

Du musst in deinem Szenario die Virtual IP konfigurieren, weil du das Netz nicht geroutet bekommst, sondern die IPs dir selbst zuordnen musst - sonst reagiert niemand darauf. Erst dann kommt das Paket an und kann 1:1 NAT und die Firewall Regel durchlaufen.

Nebenbei: Deine Regel genügt mit TCP und HTTPS, auf UDP/443 lauscht normalerweise kein Webservice und daher sollte man das auch nicht öffnen

Grüße

mdiehl · « **Reply #5 on:** August 08, 2018, 09:25:57 pm »

Vielen Dank für deine Hilfe!
Ich habe die Rules angepasst und es läuft alles. Vielen Dank!

Author Topic: Mehrere IP-Adressen auf einem WAN-Anschluss (Read 4962 times)

mdiehl

Mehrere IP-Adressen auf einem WAN-Anschluss

JeGr

Re: Mehrere IP-Adressen auf einem WAN-Anschluss

mdiehl

Re: Mehrere IP-Adressen auf einem WAN-Anschluss

mdiehl

Re: Mehrere IP-Adressen auf einem WAN-Anschluss

JeGr

Re: Mehrere IP-Adressen auf einem WAN-Anschluss

mdiehl

Re: Mehrere IP-Adressen auf einem WAN-Anschluss