Port Weiterleitung OPNSense


#1

Hallo,

Die Frage hört sich doof an, aber ich kriege es nicht hin, eine ganz einfache NAT Portweiterleitung mit OPNSense ( 1.8.9 ) einzurichten, z.B. SSH 2222 ( WAN ) --> 10.16.1.1 (22)

OPNSense und LMN7 laufen in Virtualbox :

OPNSense WAN : 192.168.1.180
OPNSense LAN : 10.16.1.254

LMN7 : 10.16.1.1

Host von Virtualbox : 192.168.1.42

Ich kann von LMN7 nach 192.168.1.42 eine SSH-Verbindung öffnen.
Ich kann von OPNSense nach LMN7 eine SSH-Verbindung auch öffnen.

Aber von 192.168.1.42 --> LMN7 klappt es nicht, und ich sehe in den Live Logs von OPNSense die Richtung 192.168.1.42 --> 10.16.1.1(22), aber mehr nichts.

Mit Wireshark auf dem Host 192.168.1.42 sieht es so aus, als ob das TCP-Handshake untergebrochen ist :
[SYN] geht,
[SYN,ACK] auch, und dann nichts mehr.

Die NAT-Regel, die ich eingestellt habe ist ganz einfach :
Dest : WAN Adresse
Dest Port 2222
… auf 10.16.1.1 Port 22 weiterleiten.

Ich habe auch überprüft in der Konfiguration von OPNSense, dass die lokale Netzwerke nicht gesperrt sind.

Hat jemanden evtl eine Idee ?

Danke und Gruß

Arnaud


#2

Hallo Arnaud,

Host von Virtualbox : 192.168.1.42

Ich kann von LMN7 nach 192.168.1.42 eine SSH-Verbindung öffnen.
Ich kann von OPNSense nach LMN7 eine SSH-Verbindung auch öffnen.

Aber von 192.168.1.42 --> LMN7 klappt es nicht, und ich sehe in den Live
Logs von OPNSense die Richtung 192.168.1.42 --> 10.16.1.1(22), aber mehr
nichts.

Mit Wireshark auf dem Host 192.168.1.42 sieht es so aus, als ob das
TCP-Handshake untergebrochen ist :
[SYN] geht,
[SYN,ACK] auch, und dann nichts mehr.

Die NAT-Regel, die ich eingestellt habe ist ganz einfach :
Dest : WAN Adresse
Dest Port 2222
… auf 10.16.1.1 Port 22 weiterleiten.

Ich habe auch überprüft in der Konfiguration von OPNSense, dass die
lokale Netzwerke nicht gesperrt sind.

hast du auch in der VBox im NAT Netzwerk die Portweiterleitung eingerichtet?
ANT bedeutet, dass da sozusagen ein Router dazwischen steht (wie in der
Schule): auch im Router muss der port weitergeleitet werden.

LG

Holger


#3

Hallo Arnaud,

ich hab das mal in meiner lmn7 Umgebung getestet.
Auch da komme ich, trotz Weiterleitung im NAT der VBox nicht per SSh an
den Server.
Das Livelog in OPNsense sagt beim Block dieses Verbindungsversuchs:
"…
Label: Block Private networks from WAN

"

OPNsense blockt also grundsetzlich alles, was von einem privaten
Adressbereich (meine 10.0.x.y, aber auch dein 192.168.x.y) kommt.

Ich such jetzt mal, wo man das abschalten kann.

LG

Holger


#4

Hallo Holger,

Ich werde es versuchen mit Portweiterleitung in VBox, danke.
Die lokale Netzwerke hatte ich schon abgesperrt : das kannst du in Interfaces --> [LAN] oder [WAN] “weghacken”.

Gruß

Arnaud


#5

Hallo Arnaud,

ich hab das mal in meiner lmn7 Umgebung getestet.
Auch da komme ich, trotz Weiterleitung im NAT der VBox nicht per SSh an
den Server.
Das Livelog in OPNsense sagt beim Block dieses Verbindungsversuchs:
"…
Label: Block Private networks from WAN

"

OPNsense blockt also grundsetzlich alles, was von einem privaten
Adressbereich (meine 10.0.x.y, aber auch dein 192.168.x.y) kommt.

Ich such jetzt mal, wo man das abschalten kann.

das geht unter “Schnittstellen” -> “WAN”
“Blockiere private Netze” Haken raus.

… dann schlägt aber noch eine “Default Deny Rule” zu: also ist meine
Weiterleitungsregel nicht korrekt: ich suche weiter.

LG

Holger