Port Weiterleitung OPNSense

Hallo,

Die Frage hört sich doof an, aber ich kriege es nicht hin, eine ganz einfache NAT Portweiterleitung mit OPNSense ( 1.8.9 ) einzurichten, z.B. SSH 2222 ( WAN ) --> 10.16.1.1 (22)

OPNSense und LMN7 laufen in Virtualbox :

OPNSense WAN : 192.168.1.180
OPNSense LAN : 10.16.1.254

LMN7 : 10.16.1.1

Host von Virtualbox : 192.168.1.42

Ich kann von LMN7 nach 192.168.1.42 eine SSH-Verbindung öffnen.
Ich kann von OPNSense nach LMN7 eine SSH-Verbindung auch öffnen.

Aber von 192.168.1.42 --> LMN7 klappt es nicht, und ich sehe in den Live Logs von OPNSense die Richtung 192.168.1.42 --> 10.16.1.1(22), aber mehr nichts.

Mit Wireshark auf dem Host 192.168.1.42 sieht es so aus, als ob das TCP-Handshake untergebrochen ist :
[SYN] geht,
[SYN,ACK] auch, und dann nichts mehr.

Die NAT-Regel, die ich eingestellt habe ist ganz einfach :
Dest : WAN Adresse
Dest Port 2222
… auf 10.16.1.1 Port 22 weiterleiten.

Ich habe auch überprüft in der Konfiguration von OPNSense, dass die lokale Netzwerke nicht gesperrt sind.

Hat jemanden evtl eine Idee ?

Danke und Gruß

Arnaud

Hallo Arnaud,

Host von Virtualbox : 192.168.1.42

Ich kann von LMN7 nach 192.168.1.42 eine SSH-Verbindung öffnen.
Ich kann von OPNSense nach LMN7 eine SSH-Verbindung auch öffnen.

Aber von 192.168.1.42 --> LMN7 klappt es nicht, und ich sehe in den Live
Logs von OPNSense die Richtung 192.168.1.42 --> 10.16.1.1(22), aber mehr
nichts.

Mit Wireshark auf dem Host 192.168.1.42 sieht es so aus, als ob das
TCP-Handshake untergebrochen ist :
[SYN] geht,
[SYN,ACK] auch, und dann nichts mehr.

Die NAT-Regel, die ich eingestellt habe ist ganz einfach :
Dest : WAN Adresse
Dest Port 2222
… auf 10.16.1.1 Port 22 weiterleiten.

Ich habe auch überprüft in der Konfiguration von OPNSense, dass die
lokale Netzwerke nicht gesperrt sind.

hast du auch in der VBox im NAT Netzwerk die Portweiterleitung eingerichtet?
ANT bedeutet, dass da sozusagen ein Router dazwischen steht (wie in der
Schule): auch im Router muss der port weitergeleitet werden.

LG

Holger

Hallo Arnaud,

ich hab das mal in meiner lmn7 Umgebung getestet.
Auch da komme ich, trotz Weiterleitung im NAT der VBox nicht per SSh an
den Server.
Das Livelog in OPNsense sagt beim Block dieses Verbindungsversuchs:
"…
Label: Block Private networks from WAN

"

OPNsense blockt also grundsetzlich alles, was von einem privaten
Adressbereich (meine 10.0.x.y, aber auch dein 192.168.x.y) kommt.

Ich such jetzt mal, wo man das abschalten kann.

LG

Holger

Hallo Holger,

Ich werde es versuchen mit Portweiterleitung in VBox, danke.
Die lokale Netzwerke hatte ich schon abgesperrt : das kannst du in Interfaces --> [LAN] oder [WAN] “weghacken”.

Gruß

Arnaud

Hallo Arnaud,

ich hab das mal in meiner lmn7 Umgebung getestet.
Auch da komme ich, trotz Weiterleitung im NAT der VBox nicht per SSh an
den Server.
Das Livelog in OPNsense sagt beim Block dieses Verbindungsversuchs:
"…
Label: Block Private networks from WAN

"

OPNsense blockt also grundsetzlich alles, was von einem privaten
Adressbereich (meine 10.0.x.y, aber auch dein 192.168.x.y) kommt.

Ich such jetzt mal, wo man das abschalten kann.

das geht unter “Schnittstellen” -> “WAN”
“Blockiere private Netze” Haken raus.

… dann schlägt aber noch eine “Default Deny Rule” zu: also ist meine
Weiterleitungsregel nicht korrekt: ich suche weiter.

LG

Holger

Hallo Holger, hallo Arnaud,

man benötigt 2 Regeln:

Erstens eine bei NAT -> Portweiterleitung
Zweitens eine bei Regeln -> WAN.

Wenn man die Portweiterleitungsregel anlegt, dann kann man ganz unten
bei “Filter Regel Zuordnung” die Option “Zugehörige Filterregel
hinzufügen” auswählen, dann wird die zweite Regel automatisch angelegt.

Und natürlich wie von Holger beschrieben gegebenenfalls das Blocken
privater Netze abschalten.

Beste Grüße

Jörg

Hallo Holger,

Ganz genau, das war es, vielen Dank !
Jetzt wird es angenehmer, damit zu arbeiten.

Viele Grüße

Arnaud

Hallo,

offenbar funktioniert es auch, wenn man “Erlauben” wählt - keine Ahnung,
was sinnvoller ist.

Beste Grüße

Jörg

Ich antworte mal kurz auf diesen alten Thread, denn ich habe das gleiche Problem und finde keine Lösung:
Unter OPNSense ist eine DMZ eingerichtet, in der demnächst die „öffentlichen“ Dienste laufen sollen.

Der Zugriff über LAN —> DMZ funktioniert (sowohl über DNS als auch über IP)
Der Zugriff DMZ —> DMZ funktioniert ebenfalls (auch via DNS)

Der Zugriff von WAN („rotes Netz“) in die DMZ will einfach nicht. Es wird leider auch nichts im Live-Protokoll gelogged, so dass ich nicht weiß, wo ich suchen soll.
Ich habe schon einen weiteren Client mit ins WAN gehängt (er bekommt eine IP von der FritzBox).

Ports 80/443 sollen auf die VM in der DMZ umleiten. Dazu sind Portweiterleitungen sowie WAN-Regeln WAN —> DMZ bereits eingerichtet.
Private Netze/Bogons werden auch nicht geblockt.

Es kommt dennoch nichts an, bzw erhalte ich „Unable to retrieve … Verbindungsaufbau abgelehnt!“
Wo kann ich weitersuchen? Wireshark liefert auch nichts brauchbares. Die Weiterleitung auf der Fritzbox ist für Port 80/443 natürlich ebenfalls eingerichtet.

Schöne Grüße,
Michael

OpnSense lauscht selbst auf Port 443. Hast du das schon bedacht?
ICh habe den Port auf 444 geändert, damit ich port 443 weiterleiten kann. Port 80 weiß ich nicht, aber hat glaube ich keiner Änderung bedurft.
VG, Tobias

Hi @Tobias
Hatte ich noch nicht bedacht, spielt aber für das WAN-Interface imho auch keine Rolle?!? Port 22 wird ja beispielsweise auch per Portweiterleitung nach innen gelegt, obwohl OPNSense selbst ebenfalls auf Port 22 lauscht (aber nur über LAN erreichbar ist).

Ich bin mittlerweile aber einen Schritt weiter: ein Aufruf aus dem WAN („rotes Netz“) à la elinks http(s)://<WAN-Adresse-der-OPNSense> liefert jetzt die Webseite aus der DMZ (80 und 443). Es fehlt noch die Weiterleitung von außen nach innen – die will noch nicht. Das liegt vermutlich an der Fritzbox.

(Ich bin nicht ganz sicher, wie die FB reagiert, wenn es da einen anderen Eintrag gibt, der ebenfalls auf 80 umleitet aber nicht aktiv ist. Klappt das oder muss man den inaktiven Eintrag vollständig löschen?)

Schönen Gruß,
Michael

Funktioniert jetzt.
HAProxy läuft jetzt hier zusammen mit LE direkt auf der OPNSense-FW.

1 Like

Hallo zusammen,
ich möchte auf einen Docker-Host in die DMZ der lmn7 Services wie MRBS oder Nextcloud laufen lassen.
Extern, also mit eigener IP außerhalb der lmn7, läuft das schon super. Aber ohne BelWü muss man halt IPs sparen…

DMZ eingerichtet, Docker-Host installiert und die Port-Weiterleitung vom WAN-Modul nach 172.17.255.1 (IP des Dockerhosts) angelegt.

Von Außen funktioniert’s soweit.
Allerdings, wenn ich mit einem Client aus dem Schulnetz auf nc.meinesschule.de gehe, laufe ich in einem Timeout.

Kann mit jemand Tipp geben, wie auch mit Rechnern aus dem Schulnetz auf den Docker-Host umgeleitet werde?

Schon mal vielen Dank für’s mitdenken.

Gruß,
Mathias

Hallo Mathias,
wir haben das auch genau so gemacht. Ich nehme an, dass du mit nc.meineschule.de einen AAA-Eintrag bei eurem Website/Domain-Provider meinst. Dann musst du:

  • Bei Unbound einen DNS-Override in der OPNSense hinzufügen, damit deine Clients nicht die öffntliche IP als Antwort erhalten, sondern die interne (172.17.255.1).
  • das Routing von PAED/LAN in DMZ erlauben. Normalerweise ist bei OPNSense eine „Allow to Any“-Regel enthalten, die das abdeckt; wenn du die bearbeitet oder gelöscht hast, musst du eine entsprechende Regel erstellen.

Beste Grüße
Fabian

Hallo Mathias,

wie wird denn im Schulnetz der Hostname nc.meinesschule.de aufgelöst?
Sinnvoll wäre die 172.17.255.1.

Beste Grüße

Jörg

Hallo Fabian,

Genau das war’s vielen Dank.

Das musste ich nicht machen. Es hat auch so funktioniert.
Nur so aus Interesse: Wo stellt man das ein?

Leider kann ich deine Antwort nicht als Lösung markieren, weil bereits eine Antwort als Lösung markiert wurde…

Vielen Dank,
Mathias

Hallo Jörg,
unser Schulnetz hat die Domäne linuxmuster.lan (staufer-gymnasium.de war zu lang…).
Der Name wurde also wie jeder andere auch über die DNS-Server im Internet aufgelöst.
Mit Fabian’s Idee mit dem DNS-Override bekommt auch der Server bei den Namensauflösung die 172.17.255.1.
Problem also gelöst :slight_smile:

Nochmals Danke für’s Mitdenken.
Gruß,
Mathias

Schau dir mal das an:

Beste Grüße
Fabian

Hallo Frank,
vielen Dank für den Tip.
Gruß,
Mathias