Port Weiterleitung OPNSense


#1

Hallo,

Die Frage hört sich doof an, aber ich kriege es nicht hin, eine ganz einfache NAT Portweiterleitung mit OPNSense ( 1.8.9 ) einzurichten, z.B. SSH 2222 ( WAN ) --> 10.16.1.1 (22)

OPNSense und LMN7 laufen in Virtualbox :

OPNSense WAN : 192.168.1.180
OPNSense LAN : 10.16.1.254

LMN7 : 10.16.1.1

Host von Virtualbox : 192.168.1.42

Ich kann von LMN7 nach 192.168.1.42 eine SSH-Verbindung öffnen.
Ich kann von OPNSense nach LMN7 eine SSH-Verbindung auch öffnen.

Aber von 192.168.1.42 --> LMN7 klappt es nicht, und ich sehe in den Live Logs von OPNSense die Richtung 192.168.1.42 --> 10.16.1.1(22), aber mehr nichts.

Mit Wireshark auf dem Host 192.168.1.42 sieht es so aus, als ob das TCP-Handshake untergebrochen ist :
[SYN] geht,
[SYN,ACK] auch, und dann nichts mehr.

Die NAT-Regel, die ich eingestellt habe ist ganz einfach :
Dest : WAN Adresse
Dest Port 2222
… auf 10.16.1.1 Port 22 weiterleiten.

Ich habe auch überprüft in der Konfiguration von OPNSense, dass die lokale Netzwerke nicht gesperrt sind.

Hat jemanden evtl eine Idee ?

Danke und Gruß

Arnaud


#2

Hallo Arnaud,

Host von Virtualbox : 192.168.1.42

Ich kann von LMN7 nach 192.168.1.42 eine SSH-Verbindung öffnen.
Ich kann von OPNSense nach LMN7 eine SSH-Verbindung auch öffnen.

Aber von 192.168.1.42 --> LMN7 klappt es nicht, und ich sehe in den Live
Logs von OPNSense die Richtung 192.168.1.42 --> 10.16.1.1(22), aber mehr
nichts.

Mit Wireshark auf dem Host 192.168.1.42 sieht es so aus, als ob das
TCP-Handshake untergebrochen ist :
[SYN] geht,
[SYN,ACK] auch, und dann nichts mehr.

Die NAT-Regel, die ich eingestellt habe ist ganz einfach :
Dest : WAN Adresse
Dest Port 2222
… auf 10.16.1.1 Port 22 weiterleiten.

Ich habe auch überprüft in der Konfiguration von OPNSense, dass die
lokale Netzwerke nicht gesperrt sind.

hast du auch in der VBox im NAT Netzwerk die Portweiterleitung eingerichtet?
ANT bedeutet, dass da sozusagen ein Router dazwischen steht (wie in der
Schule): auch im Router muss der port weitergeleitet werden.

LG

Holger


#3

Hallo Arnaud,

ich hab das mal in meiner lmn7 Umgebung getestet.
Auch da komme ich, trotz Weiterleitung im NAT der VBox nicht per SSh an
den Server.
Das Livelog in OPNsense sagt beim Block dieses Verbindungsversuchs:
"…
Label: Block Private networks from WAN

"

OPNsense blockt also grundsetzlich alles, was von einem privaten
Adressbereich (meine 10.0.x.y, aber auch dein 192.168.x.y) kommt.

Ich such jetzt mal, wo man das abschalten kann.

LG

Holger


#4

Hallo Holger,

Ich werde es versuchen mit Portweiterleitung in VBox, danke.
Die lokale Netzwerke hatte ich schon abgesperrt : das kannst du in Interfaces --> [LAN] oder [WAN] “weghacken”.

Gruß

Arnaud


#5

Hallo Arnaud,

ich hab das mal in meiner lmn7 Umgebung getestet.
Auch da komme ich, trotz Weiterleitung im NAT der VBox nicht per SSh an
den Server.
Das Livelog in OPNsense sagt beim Block dieses Verbindungsversuchs:
"…
Label: Block Private networks from WAN

"

OPNsense blockt also grundsetzlich alles, was von einem privaten
Adressbereich (meine 10.0.x.y, aber auch dein 192.168.x.y) kommt.

Ich such jetzt mal, wo man das abschalten kann.

das geht unter “Schnittstellen” -> “WAN”
“Blockiere private Netze” Haken raus.

… dann schlägt aber noch eine “Default Deny Rule” zu: also ist meine
Weiterleitungsregel nicht korrekt: ich suche weiter.

LG

Holger


#6

Hallo Holger, hallo Arnaud,

man benötigt 2 Regeln:

Erstens eine bei NAT -> Portweiterleitung
Zweitens eine bei Regeln -> WAN.

Wenn man die Portweiterleitungsregel anlegt, dann kann man ganz unten
bei “Filter Regel Zuordnung” die Option “Zugehörige Filterregel
hinzufügen” auswählen, dann wird die zweite Regel automatisch angelegt.

Und natürlich wie von Holger beschrieben gegebenenfalls das Blocken
privater Netze abschalten.

Beste Grüße

Jörg


#7

Hallo Holger,

Ganz genau, das war es, vielen Dank !
Jetzt wird es angenehmer, damit zu arbeiten.

Viele Grüße

Arnaud


#8

Hallo,

offenbar funktioniert es auch, wenn man “Erlauben” wählt - keine Ahnung,
was sinnvoller ist.

Beste Grüße

Jörg